Informacijski pooblaščenec Republika Slovenija
   
dekorativna slika

Pošiljanje plačilnih list po elektronski pošti

+ -

Opozorilo: Mnenje je bilo izdano na podlagi določb Zakona o varstvu osebnih podatkov (ZVOP-1, Uradni list RS, št. 94/07 - uradno prečiščeno besedilo), ki je z dnem 26. 1. 2023 prenehal veljati in ga je nadomestil nov Zakon o varstvu osebnih podatkov (ZVOP-2, Uradni list RS, št. 163/22), zato mnenje ni več nujno aktualno. Mnenja po ZVOP-2 so na voljo tukaj.

Datum: 18.04.2018
Številka: 0712-1/2018/950
Kategorije: Elektronska pošta, EMŠO in davčna, Občutljivi OP

Spoštovani,

Informacijski pooblaščenec (v nadaljevanju IP) je po elektronski pošti prejel vaš dopis, v katerem navajate, da se je delodajalec odločil, da vam bo plačilne liste pošiljal po elektronski pošti. Pri tem je za geslo za odpiranje datoteke določil vašo davčno številko, ki vam ga je prav tako posredoval po elektronski pošti.

V zvezi z navedenim nas naprošate za pojasnilo glede ustreznosti uporabe vaše davčne številke s strani delodajalca, saj se vam zdi sporno, da vam delodajalec posreduje plačilne liste in geslo, v tem primeru davčno številko, na vaš elektronski naslov.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju na podlagi 7. točke prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07, uradno prečiščeno besedilo, v nadaljevanju ZVOP-1) ter 2. člena Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.

Ker plačilna lista zaposlenega vsebuje varovane osebne podatke, mora delodajalec poskrbeti za zavarovanje med samim prenosom po elektronski pošti. Če so iz plačilne liste razvidni tudi občutljivi osebni podatki (npr. članstvo v sindikatu), jih je pri prenosu potrebno varovati še strožje – t.j. s kriptiranjem. V primeru elektronskega pošiljanja plačilnih list je delodajalec dolžan zagotoviti verodostojnost dokumenta.

IP svetuje, da se šifro, s katero je mogoče odpreti zaščiteno datoteko, posameznemu zaposlenemu sporoči osebno. Poudarjamo tudi, da davčna številka ne predstavlja varnega gesla. Konkretno ustreznost zavarovanja osebnih podatkov, pa lahko IP presoja zgolj v okviru inšpekcijskega postopka.

IP pojasnjuje, da je posredovanje osebnih podatkov prek elektronskih omrežij pod splošnimi pogoji dopustno. Pri tem opozarja, da je pri komunikaciji prek elektronske pošte v delovnem okolju zaradi možnosti zlorab in nepooblaščenega dostopa pri obdelavi osebnih podatkov potrebna posebna skrbnost.

Ker iz vaše prošnje za pojasnilo ne izhaja ali je vaš delodajalec subjekt zasebnega ali javnega sektorja, podajamo nekaj splošnih pojasnil glede pravnih podlag za obdelavo osebnih podatkov. Pravno podlago za obdelavo osebnih podatkov je v ZVOP-1 na splošno urejena v 8. členu, ki pravi, da se osebni podatki lahko obdelujejo le, če obdelavo osebnih podatkov in osebne podatke, ki se obdelujejo določa zakon ali če je za obdelavo določenih osebnih podatkov podana osebna privolitev posameznika. V 9. in 10. členu pa je določena tudi pravna ureditev za obdelavo osebnih podatkov za zasebni in javni sektor.

Za občutljive osebne podatke, ki jih lahko vsebuje plačilna lista, je z ZVOP-1 predpisano posebno varstvo. Če plačilna lista posameznega zaposlenega vsebuje občutljive osebne podatke, kot jih določa 19. točka 6. člena ZVOP-1, mora delodajalec poskrbeti za kriptriranje elektronskega sporočila. Pri prenosu občutljivih osebnih podatkov preko telekomunikacijskih omrežij se namreč skladno z 14. členom ZVOP-1 šteje, da so podati ustrezno zavarovani, če se posredujejo z uporabo kriptografskih metod in elektronskega podpisa tako, da je zagotovljena njihova nečitljivost oziroma neprepoznavnost med prenosom. IP torej v praksi dopušča, da se elektronska pošta, ki vsebuje občutljive osebne podatke, posreduje v kriptirani obliki z uporabo prosto dostopne programske opreme. Dokument z varovanimi in občutljivimi osebnimi podatki, ki se posreduje prek elektronske pošte, pa mora biti zavarovan tudi z geslom, ki se naslovniku sporoči po drugem mediju (npr. osebno). Davčna številka po mnenju IP ne predstavlja varnega gesla. Varno geslo naj bo dolgo vsaj 8 znakov in naj vsebuje male in velike črke, številke, posebne znake in ločilo.

Dokončno presojo zakonitosti pa lahko IP izvede le v okviru inšpekcijskega postopka.

Lep pozdrav,

Mojca Prelesnik, univ.dipl.prav.,                                                  

informacijska pooblaščenka

Pripravil:                                                                                                                                

Tomaž Brodgesell,
informatik