Preusmeritev službene elektronske pošte na zasebni elektronski naslov
+ -Številka: 07121-1/2023/101
Kategorije: Varnost osebnih podatkov
Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaše zaprosilo za mnenje glede posredovanja službene elektronske pošte s strani zaposlenega na zasebni elektronski naslov.
Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22; ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, 51/07 – ZustS-A; ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.
Delodajalec kot upravljavec osebnih podatkov mora v skladu z 32. členom Splošne uredbe z izvajanjem ustreznih tehničnih in organizacijskih ukrepov zagotoviti ustrezno raven varnosti osebnih podatkov glede na tveganje.
Osebni podatki morajo biti ves čas prenosa (tudi pošiljanja preko elektronske pošte) ustrezno zavarovani s postopki in ukrepi, ki nepooblaščenim osebam preprečujejo dostop do osebnih podatkov, pri čemer so postopki in ukrepi zavarovanja odvisni od tveganja, ki ga predstavlja prenos, in vrste osebnih podatkov, ki se prenašajo.
O b r a z l o ž i t e v:
IP uvodoma poudarja, da lahko podaja neobvezujoča mnenja in pojasnila, ne sme pa izven konkretnih inšpekcijskih postopkov preverjati primernosti izbrane pravne podlage ali namenov oziroma obsega obdelave osebnih podatkov v konkretnem primeru.
IP uvodoma pojasnjuje, da v okviru komunikacije prek elektronske pošte predstavlja zbirko osebnih podatkov zgolj zbirka t.i. prometnih podatkov (elektronski naslovi, na katere je posameznik poslal elektronsko sporočilo in od katerih je sporočilo prejel; datum in čas pošiljanja in prejema sporočila; zadeva sporočila in drugi tehnični podatki v povezavi s sporočilom – priponka, velikost, itd.). Zato pri elektronski pošti Splošna uredba varuje le prometne podatke, medtem ko je sama vsebina elektronske pošte varovana v okviru določb o kršitvi tajnosti občil iz 139. člena Kazenskega zakonika oziroma določb o zahtevi za prenehanje kršitve osebnostnih pravic iz 134. člena Obligacijskega zakonika.
IP uvodoma splošno pojasnjuje, da je treba za vsako obdelavo osebnih podatkov najprej zagotoviti ustrezno pravno podlago. V skladu s členom 6(1) Splošne uredbe o varstvu podatkov je obdelava osebnih podatkov zakonita le in kolikor je izpolnjen vsaj eden od naslednjih pogojev:
(a) posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov;
(b) obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe;
(c) obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca;
(d) obdelava je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe;
(e) obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu;
(f) obdelava je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok.
Pri tem opozarjamo, da se točka (f) ne uporablja pri za obdelavo s strani javnih organov pri opravljanju njihovih nalog.
IP nadalje pojasnjuje, da 24. člen Splošne uredbe določa, da, ob upoštevanju narave, obsega, okoliščin in namenov obdelave, pa tudi tveganj za pravice in svoboščine posameznikov, ki se razlikujejo po verjetnosti in resnosti, upravljavec izvede ustrezne tehnične in organizacijske ukrepe, da zagotovi in je zmožen dokazati, da obdelava poteka v skladu s to uredbo. Ti ukrepi se pregledajo in dopolnijo, kjer je to potrebno. Nadalje varnost osebnih podatkov ureja 32. člen Splošne uredbe, ki določa, da ob upoštevanju najnovejšega tehnološkega razvoja in stroškov izvajanja ter narave, obsega, okoliščin in namenov obdelave, pa tudi tveganj za pravice in svoboščine posameznikov, ki se razlikujejo po verjetnosti in resnosti, upravljavec in obdelovalec z izvajanjem ustreznih tehničnih in organizacijskimi ukrepov zagotovita ustrezno raven varnosti glede na tveganje, vključno med drugim z naslednjimi ukrepi, kot je ustrezno:
(a) psevdonimizacijo in šifriranjem osebnih podatkov;
(b) zmožnostjo zagotoviti stalno zaupnost, celovitost, dostopnost in odpornost sistemov in storitev za obdelavo;
(c) zmožnostjo pravočasno povrniti razpoložljivost in dostop do osebnih podatkov v primeru fizičnega ali tehničnega incidenta;
(d) postopkom rednega testiranja, ocenjevanja in vrednotenja učinkovitosti tehničnih in organizacijskih ukrepov za zagotavljanje varnostni obdelave.
Pri določanju ustrezne ravni varnosti se upoštevajo zlasti tveganja, ki jih pomeni obdelava, zlasti zaradi nenamernega ali nezakonitega uničenja, izgube, spremembe, nepooblaščenega razkritja ali dostopa do osebnih podatkov, ki so poslani, shranjeni ali kako drugače obdelani.
Iz navedenih zahtev Splošne uredbe ter iz vseh uveljavljenih varnostnih standardov in smernic, ki urejajo področje varovanja podatkov (npr. ISO 27001, COBIT, NIST, priporočila CISA), je zagotavljanje ustrezne zaupnosti dostopa do osebnih in drugih pomembnih podatkov osnovni gradnik informacijske varnosti in dolžnost, ki se ji upravljavec ne more izogniti. Delodajalec (v konkretnem primeru občina) kot upravljavec osebnih podatkov mora tako v skladu z 32. členom Splošne uredbe z izvajanjem ustreznih tehničnih in organizacijskih ukrepov zagotoviti ustrezno raven varnosti osebnih podatkov glede na tveganje. Če je v vašem zaprosilu za mnenje opisana avtomatska preusmeritev elektronske pošte predvidena s strani delodajalca (ob zagotovljeni ustrezni pravni podlagi) in je ob tem poskrbljeno za ustrezno varnost osebnih podatkov, potem načeloma takšna rešitev ne bi smela biti vprašljiva z vidika varstva osebnih podatkov in posega v zasebnost. IP ob tem poudarja, da IP v okviru neobvezujočega mnenja dokončno ne more dokončno presojati o ustreznosti takšne rešitve.
Ob tem IP opozarja na načelo najmanjšega obsega podatkov, ki določa, da morajo biti pod pogojem, da obstaja pravna podlaga, osebni podatki, ki se obdelujejo, ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo. Navedeno načelo pomeni, da je potrebno obdelovati samo toliko osebnih podatkov, kolikor je nujno potrebno za izvrševanje zakonitih pristojnosti, nalog ali obveznosti.
Iz zgoraj navedenega izhaja, da morajo biti osebni podatki ves čas prenosa (tudi pošiljanja preko elektronske pošte) ustrezno zavarovani s postopki in ukrepi, ki nepooblaščenim osebam preprečujejo dostop do osebnih podatkov, pri čemer so postopki in ukrepi zavarovanja odvisni od tveganja, ki ga predstavlja prenos, in vrste osebnih podatkov, ki se prenašajo.
IP sklepno poudarja, da mora vsak upravljavec sam, glede na tveganja, presoditi, kateri so tisti ukrepi, ki so potrebni za zagotavljanje ustrezne varnosti osebnih podatkov. V kolikor osebni podatki med prenosom niso ustrezno zavarovani in do njih lahko dostopajo nepooblaščene osebe, bi lahko šlo za kršitev navedenih določb Splošne uredbe. IP ob tem ponavlja, da v okviru neobvezujočega mnenja ne more presojati, ali gre v konkretnem primeru za kakršnokoli kršitev, saj presojo o ustreznosti ukrepov lahko izvede le v okviru konkretnega inšpekcijskega ali upravnega postopka.
Lepo vas pozdravljamo.
Pripravil:
Matej Sironič,
Svetovalec pooblaščenca
za varstvo osebnih podatkov
Mojca Prelesnik, univ. dipl. prav.,
Informacijska pooblaščenka