Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Mnenja - VOP

+ -
Datum: 20.07.2006
Naslov: Zasebnost elektronske pošte
Številka: 0712-68/2006/2
Vsebina: Telekomunikacije in pošta
Pravni akt: Mnenje

Spoštovani,

 

pred dnevi ste poklicali Urad Informacijskega pooblaščenca in nas zaprosili za mnenje o zasebnosti elektronske pošte. Ker ne sprašujete konkretno, kaj vas zanima, vam podajamo splošno mnenje.

 

Ker lahko avtentično razlago posameznih določb zakona daje le Državni zbor, neobvezno pa predlagatelj zakona, vam na podlagi informacij, ki ste nam jih posredovali, v nadaljevanju na podlagi 7. točke prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 86/04 in 113/05, v nadaljevanju ZVOP-1) ter 2. in 18. člena Zakona o Informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje.

 

Ustava Republike Slovenije (Uradni list RS, št. 33/91, s spremembami, v nadaljevanju Ustava) v 1. odst. 38. člena določa, da je zagotovljeno varstvo osebnih podatkov. Prepovedana je uporaba osebnih podatkov v nasprotju z namenom njihovega zbiranja. 2. odst. 38. člena določa, da zbiranje, obdelovanje, namen uporabe, nadzor in varstvo tajnosti osebnih podatkov določa zakon. Ta pravica je posebej urejena v ZVOP-1.

 

Ustava v 1. odst. 37. člena zagotavlja tajnost pisem in drugih občil. V 2. odst. pa Ustava določa, da lahko samo zakon predpiše, da se na podlagi odločbe sodišča za določen čas ne upošteva varstvo tajnosti pisem in drugih občil in nedotakljivost človekove zasebnosti, če je to nujno za uvedbo ali potek kazenskega postopka ali za varnost države.

 

Pooblaščenec uvodoma poudarja, da ZVOP-1 ne pokriva celotnega spektra zasebnosti, pač pa zgolj tisti del, ki se nanaša na zbirke osebnih podatkov. ZVOP-1 je torej konkretizacija ustavne pravice do varstva osebnih podatkov, ki je določena v 38. členu Ustave. Seveda pa to ne pomeni, da posameznik ne uživa drugih pravic – razlika je zgolj v načinu varstva pravic in uveljavljanja škode v primeru njihove kršitve.

 

Poudariti je potrebno tudi, da se »pravice zasebnosti«, ki so določene od 35. člena Ustave dalje, pogosto povezujejo. Glede na vaše vprašanje je klasičen takšen primer Halford v. Združeno kraljestvo, ki ga je obravnavalo Evropsko sodišče za človekove pravice (v nadaljevanju ESČP). V tem primeru je sodišče ugotovilo, da je imela policistka pri uporabi službenega telefona pravico do pričakovanja zasebnosti. ESČP je torej jasno zapisalo, da ima posameznik pravico do varovanja zasebnosti tudi na delovnem mestu in pri uporabi službenih komunikacijskih sredstev. Kot so še zapisali avtorji Komentarja Ustave, predmet varstva 37. člena Ustave ni zgolj sama vsebina komunikacije, temveč vsi podatki, ki so integralni del te komunikacije, kar je predvsem pomembno pri komuniciranju preko računalniških omrežij (npr. elektronska pošta), kjer se tvori vrsta tovrstnih podatkov. Varovana torej ni zgolj vsebina komunikacije, temveč tudi podatki, povezani z njo – gre za t. i. prometne podatke. Pri uporabi telefona se je celo izoblikovalo stališče, da pravnega varstva ne zasluži zgolj sama vsebina pogovora, ampak tudi vsi podatki, povezani s telefonsko komunikacijo, kot so npr. spremljanje klicanih številk z določenega telefona, čas klica in trajanje pogovora. Avtorji Komentarja Ustave so še navedli, da je z ustavnega vidika to argumentacijo mogoče prenesti na občevanje preko računalniških omrežij. Pooblaščenec pri tem opozarja, da se v tem delu pravica do zasebnosti iz 37. člena Ustave RS (varstvo tajnosti pisem in drugih občil) povezuje tudi s pravico do varstva osebnih podatkov iz 38. člena Ustave RS, saj v konkretnem primeru prometni podatki veljajo za zbirko osebnih podatkov, katere »zasebnost« varuje 38. člen Ustave RS.

 

3. člen ZVOP-1 določa, da morajo biti osebni podatki, ki se obdelujejo, ustrezni in po obsegu primerni glede na namene, za katere se zbirajo in nadalje obdelujejo (načelo sorazmernosti).

 

Osebni podatek je v skladu z 1. tč. 6. člena katerikoli podatek, ki se nanaša na posameznika, ne glede na obliko, v kateri je izražen.

 

Obdelava osebnih podatkov pomeni v skladu z 3. tč. 6. člena kakršnokoli delovanje ali niz delovanj, ki se izvaja v zvezi z osebnimi podatki, … zlasti zbiranje, pridobivanje, vpogled, uporaba, razkritje s prenosom, sporočanje, širjenje ali drugo dajanje na razpolago…

 

Zbirka osebnih podatkov je v skladu z 5. tč. 6. člena ZVOP-1 vsak strukturiran niz podatkov, ki vsebuje vsaj en osebni podatek, ki je dostopen na podlagi meril, ki omogočajo uporabo ali združevanje podatkov, ne glede na to, ali je niz centraliziran, decentraliziran ali razpršen na funkcionalni ali geografski podlagi; strukturiran niz podatkov je niz podatkov, ki je organiziran na takšen način, da določi ali omogoči določljivost posameznika.

 

Pravne podlage za obdelavo osebnih podatkov v javnem sektorju so določene v 9. členu ZVOP-1. Osebni podatki se lahko v skladu s 1. odst. 9. člena obdelujejo, če obdelavo osebnih podatkov in osebne podatke, ki se obdelujejo, določa zakon. Zgolj z zakonom pa se lahko določi tudi, da se določeni osebni podatki lahko obdelujejo na podlagi osebne privolitve posameznika. 3. odst. 9. člena dopušča še obdelavo osebnih podatkov posameznikov, ki so z javnim sektorjem sklenili pogodbo ali pa so na podlagi pobude posameznika z njim v fazi pogajanj za sklenitev pogodbe, če je obdelava osebnih podatkov potrebna in primerna za izvedbo pogajanj za sklenitev pogodbe ali za izpolnjevanje pogodbe.

 

ZVOP-1 v 10. členu določa, da se osebni podatki v zasebnem sektorju lahko obdelujejo, če obdelavo osebnih podatkov in osebne podatke, ki se obdelujejo, določa zakon ali če je obdelava določenih osebnih podatkov podana osebna privolitev posameznika. Obdelava osebnih podatkov je v skladu z 2. odst. 10. člena ZVOP-1 dopustna tudi v primeru, ko je posameznik z zasebnim sektorjem sklenil pogodbo ali pa je z njim v fazi pogajanj za sklenitev pogodbe, če je obdelava potrebna in primerna za izvedbo pogajanj za sklenitev pogodbe ali za izpolnjevanje pogodbe.

 

V skladu z vsemi navedenimi zakonskimi določili ZVOP-1 Pooblaščenec v nadaljevanju uvodoma konkretizira osnovne pojme in postavi meje pristojnosti ZVOP-1 v konkretni zadevi.

 

Na podlagi navedenega je torej elektronski naslov osebni podatek, le če posameznika določi, ali je ta določljiv. Elektronski naslovi, iz katerih so razvidni ime, priimek in zaposlitev posameznika, so podatki, ki zadostujejo, da je posameznik vsaj določljiv. Ti podatki torej posameznika določijo ali pa je ta vsaj določljiv brez večjega napora. Službeni elektronski naslovi so nedvomno osebni podatek, ki nedvomno določi posameznika, saj o posamezniku razkrije ime, priimek in zaposlitev. Ti trije osebni podatki (navadno) omogočijo dokaj enostavno identifikacijo posameznika.

 

V skladu z navedenimi definicijami je potrebno ugotoviti, kateri deli elektronskega sporočila sodijo pod okrilje varstva osebnih podatkov v smislu ZVOP-1. Nedvomno je vsebina elektronskega sporočila del pravice do zasebnosti. Iz same vsebine 37. člena Ustave je mogoče razbrati, da vsebina elektronskega sporočila ne sodi v okvir ZVOP-1, pa tudi v skladu z definicijo zbirke osebnih podatkov, (običajno) ne gre za zbirko osebnih podatkov.

 

Zbirka poslanih in prejetih elektronskih sporočil (t. i. inbox, outbox) vsebuje:

• zbirko elektronskih naslovov, na katere je posameznik poslal elektronsko sporočilo ali ga je od naslovnika prejel;

• datum in čas pošiljanja oziroma sprejema;

• zadevo (subject);

• drugi tehnični podatki v povezavi s sporočilom (priponka, velikost …).

 

V skladu z razlago primera Halford v. Združeno kraljestvo je moč nedvoumno potrditi, da so prometni podatki tudi osebni podatki. Prav tako se da z natančnim upoštevanjem definicije zbirke osebnih podatkov ugotoviti, da sta obe zbirki osebnih podatkov, saj, kot že ugotovljeno, elektronski naslov posameznika načeloma lahko pomeni osebni podatek (izjema bi bila, četudi en elektronski naslov v takšni zbirki ne bi bil osebni podatek), več elektronskih naslovov posameznikov pa se da tudi urediti v strukturiran niz podatkov, saj se jih da obdelovati po abecednem vrstnem redu, po datumu prejema ali oddaje, po velikosti ipd. Pogosto se da iz vhodne in izhodne elektronske pošte (predvsem iz podatkov o pošiljatelju in po navedeni zadevi – subject) ugotoviti tudi druge osebne podatke posameznika, kot so zdravstveno stanje posameznika, versko prepričanje, sindikalno pripadnost (vsi ti podatki so tudi občutljivi osebni podatki), sorodstvena in drugačna razmerja, premoženjsko stanje itd.

 

Odprta dilema pa ostaja ob vprašanju, kakšno stopnjo zasebnosti lahko delojemalec na delovnem mestu upravičeno pričakuje in kdaj pomeni poseg v komuniciranje zaposlenega poseg v nedotakljivost njegove zasebnosti. V takšni situaciji je na eni strani prisoten interes delodajalca, ki ima pravico do izvrševanja lastninske pravice nad svojimi sredstvi in pravico, da nadzira, ali je ta oprema uporabljena skladno z namenom, za katerega je bila zaposlenemu dana v uporabo. Na drugi strani pa obstaja interes posameznika (zaposlenega), ki utemeljeno pričakuje določeno stopnjo zasebnosti in zaupnosti na delovnem mestu (podrobneje glej Komentar Ustave, str. 401).

 

Da ima delavec pravico do zasebnosti na delovnem mestu je poudarilo tudi Kasacijsko sodišče Francije (Pooblaščenec opozarja, da primer navaja zgolj kot zanimivost in primerjalno pravni vidik). To je zapisalo, da ima delavec tudi med delovnim časom in na delovnem mestu pravico do spoštovanja zasebnega življenja, vključno s pravico do tajnosti občil. Delodajalec, ki bere sporočila, ki jih zaposleni pošilja ali sprejema preko službenega računalnika, krši temeljne pravice delavca, kot jih določa 8. člen EKČP ... Uporaba računalniške tehnologije resda že sama po sebi predstavlja in omogoča izvajanje nadzora nad zaposlenimi s strani nadrejenih, vendar pa je nujno, da kljub oženju zasebnega prostora na delovnem mestu delček zasebnega življenja – tako pomemben za svobodo in osebnost posameznikov – preživi tudi na delovnem mestu … Čeprav je tehnično povsem mogoče, da delodajalci, zato da bi se izognili različnim težavam in zlorabam, delavcu prepovedo uporabo službenih računalnikov v osebne namene (in izvajanje prepovedi nadzirajo), je tovrstna prepoved – kot ugotavljajo strokovnjaki – v 21. stoletju povsem nerealna. Menimo, da je splošna popolna prepoved uporabe e-pošte v neslužbene namene nerealna in krši pravno načelo sorazmernosti.

 

Končno mnenje v okviru ZVOP-1

V skladu z vsem navedenim delodajalec torej načeloma nima pravne podlage za vpogled v tako imenovane prometne podatke o elektronski pošti (torej, kdo vam je elektronsko pošto poslal, oziroma komu ste jo poslali vi). Seveda pa je na drugi strani potrebno opozoriti tudi na pravico delodajalca, da bdi nad svojimi sredstvi in tudi skrbi za pravilnost in zakonitost poslovanja, kot tudi za smotrnost porabe sredstev. Zato je priporočljivo, da delodajalci pisno vnaprej obvestijo zaposlene, v katerih primerih lahko vpogledajo v prometne podatke o elektronski pošti. Seveda morajo biti takšni razlogi zelo, zelo izjemni – v takšnih primerih bi bilo pač potrebno presojati vsak primer posebej. Vse navedeno pa ne pomeni, da vam delodajalec ne more omejiti uporabe vašega službenega elektronskega naslova, če bi se iz drugih razlogov (ne z vpogledom v zasebno pošto, pač pa denimo na podlagi visokega računa za posredovanje večje količine podatkov, odzivov tretjih oseb na vaša sporočila, počasno delovanje omrežja zaradi pošiljanja slikovnih ali zvočnih datotek, povečano število virusov …) izkazalo, da vašega elektronskega naslova ne uporabljate v skladu z vsem navedenim in v skladu s politiko delodajalca glede uporabe službenih sredstev. Kot je že navedeno, sta namreč oprema in službeni elektronski naslov last delodajalca, delavec pa ima kot imetnik zgolj pravico do uporabe; zato lahko delodajalec prosto omejuje dostop do službenega elektronskega naslova.

 

S spoštovanjem,

 

Informacijski pooblaščenec

Nataša Pirc Musar, univ. dipl. prav.,

pooblaščenka