Varstvo osebnih podatkov v zvezi s prejemanjem pošte
+ -Številka: 07121-1/2023/371
Kategorije: Telekomunikacije in pošta, Varnost osebnih podatkov
Pri Informacijskem pooblaščencu (IP) smo dne 24. 2. 2023 prejeli vaš dopis, v katerem nam postavljate naslednja vprašanja: ali je v Sloveniji dovoljeno zasebno pošto pošiljati v prozornem plastičnem ovoju; ali je dovoljeno odpiranje zasebne pošte s strani poštne uslužbenke brez privolitve stranke ter ali je podpisovanje pogodbe na poštnem okencu dopustno?
Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22, ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba), 76. člena Zakona o varstvu osebnih podatkov na področju obravnavanja kaznivih dejanj (Uradni list RS, št. 177/20, ZVOPOKD) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A, ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.
1. Pisemske ovojnice, v katerih se nahaja vsebina pisma z osebnimi podatki morajo biti izdelane in zlepljene na način, s katerim se zagotovi, da se iz ovojnic ob sortiranju, rokovanju in prenosu ni možno seznaniti z vsebino pošiljke.
2. IP ni pristojen za podajo mnenja glede posega v pravico do komunikacijske zasebnosti in s tem tajnosti pisem in drugih občil iz 37. člena Ustave RS. Posamezniki imajo v takem primeru na voljo sodno (kazensko in civilno) varstvo.
O b r a z l o ž i t e v:
IP uvodoma pojasnjuje, da se vaše vprašanje v zvezi s pošiljanjem pošte v prozornih ovojnicah, iz katerih je možno razbrati vsebino pošiljke, dotika področja varnosti osebnih podatkov, ki je podrobneje urejana v 32. členu Splošne uredbe ter 3. poglavju ZVOP-2. Varnost osebnih skladno z načelom celovitosti in zaupnosti osebnih podatkov tako obsega organizacijske, tehnične in logično-tehnične postopke in ukrepe, da so osebni podatki obdelani na način, ki zagotavlja ustrezno varnost osebnih podatkov, vključno z zaščito pred nedovoljeno ali nezakonito obdelavo ter pred nenamerno izgubo, uničenjem ali poškodbo. Obdelava osebnih podatkov mora skladno s tem potekati na način, da se med drugim preprečuje nepooblaščen dostop (v zvezi s tem že sam vpogled) do osebnih podatkov pri njihovem prenosu, vključno s prenosom po telekomunikacijskih sredstvih in omrežjih.
Upravljavci in obdelovalci osebnih podatkov morajo tako poskrbeti za ustrezne tehnične in organizacijske ukrepe, da se zagotovi ustrezna varnost osebnih glede na tveganje, vključno med drugim z naslednjimi ukrepi:
a) psevdonimizacijo in šifriranjem osebnih podatkov;
b) zmožnostjo zagotoviti stalno zaupnost, celovitost, dostopnost in odpornost sistemov in storitev za obdelavo;
c) zmožnostjo pravočasno povrniti razpoložljivost in dostop do osebnih podatkov v primeru fizičnega ali tehničnega incidenta;
d) postopkom rednega testiranja, ocenjevanja in vrednotenja učinkovitosti tehničnih in organizacijskih ukrepov za zagotavljanje varnostni obdelave.
Pri določanju ustrezne ravni varnosti se upoštevajo zlasti tveganja ki jih pomeni obdelava, zlasti zaradi nenamernega ali nezakonitega uničenja, izgube, spremembe, nepooblaščenega razkritja ali dostopa do osebnih podatkov, ki so poslani, shranjeni ali kako drugače obdelani.
Upoštevaje napisano to pomeni, da morajo biti osebni podatki v času prenosa po pošti (oz. prek prenosa v kuverti) ustrezno zavarovani, pri čemer so postopki in ukrepi za zavarovanje odvisni od tveganja, ki ga predstavlja prenos in narava osebnih podatkov, ki se prenašajo (npr. vsebina in občutljivost vsebine pošiljke). Informacijski pooblaščenec stoji na stališču, da morajo biti osebni podatki, ki se prenašajo prek pošte, zavarovani na takšen način, da se prepreči nepooblaščena seznanitev z osebnimi podatki, ki se prenašajo, kjer morajo biti ovojnice izdelane in zlepljene na način, s katerim se zagotovi, da se iz ovojnic ob sortiranju, rokovanju in prenosu ni možno seznaniti z vsebino pošiljke.
Ne glede na to IP o ustreznosti zavarovanja osebnih podatkov v konkretnem primeru ne more presojati v okviru neobvezujočega mnenja, temveč lahko to stori šele v okviru inšpekcijskega postopka. Če želite podati prijavo zaradi kršitev varstva osebnih podatkov, lahko to oddate na obrazcu, ki je dostopen na spletni strani IP, kjer je opisan tudi način vložitve prijave: https://www.ip-rs.si/varstvo-osebnih-podatkov/pravice-posameznika/vlozitev-prijave. Ob prijavi priložite ustrezno dokumentacijo, s konkretnimi navedbami kje, kdaj in kaj se je zgodilo, ter od kod ste prejeli informacijo o kršitvi z vsemi morebitnimi dokazili.
V zvezi s tem, ali je dovoljeno odpiranje zasebne pošte s strani poštne uslužbenke brez privolitve stranke ter ali je podpisovanje pogodbe na poštnem okencu dopustno pa IP poudarja, da je pristojen zgolj za tisti del pravice do zasebnosti, ki se nanaša na varstvo osebnih podatkov in ki ga ureja 38. člen Ustave Republike Slovenije (Ur. l. RS, št. 33/91-I in naslednji; v nadaljevanju Ustava RS). Vaše vprašanje pa se v tem delu dotika področja širše pravice do zasebnosti in osebnostnih pravic (35. člen Ustave RS). V danem primeru pa je relevanten tudi 37. člen Ustave RS, ki določa, da je zagotovljena tajnost pisem in drugih občil (komunikacijska zasebnost).
V primeru posegov v pravico do zasebnosti in kršitev tajnosti pisem in drugih občil imajo posamezniki (v kolikor dejansko pride do nezakonitega posega v pravice posameznika) na voljo sodno (kazensko in civilno) varstvo.
Dodatno v zvezi s tem še pojasnjujemo, da 53. člen Zakona o poštnih storitvah (UL RS, št. 51/09 in 77/10, v nadaljevanju ZPSto-2) določa, da morajo izvajalci poštnih storitev varovati zaupnost poštnih pošiljk v skladu z zakonom, ki ureja varstvo osebnih podatkov. Pravne in fizične osebe, ki izvajajo poštne storitve, morajo varovati zaupnost poštnih pošiljk tudi po koncu dejavnosti, v okviru katere so jo bile dolžne varovati. Za nadzor nad izvajanjem Zakona o poštnih storitvah (tudi z vidika prekrškovnih postopkov zaradi kršitev 53. člen ZPSto-2) je pristojna Agencija za komunikacijska omrežja in storitve (AKOS), na katero se lahko uporabnik poštnih storitev obrne z morebitno prijavo tovrstnih kršitev.
V upanju, da smo na vaša vprašanja odgovorili, vas lepo pozdravljamo,
Pripravil:
Grega Rudolf,
asistent svetovalca pri IP
Mojca Prelesnik, univ. dipl. prav.,
informacijska pooblaščenka