Informacijski pooblaščenec Republika Slovenija
    SLO | ENG
dekorativna slika

Mnenja - VOP

+ -
Datum: 13.08.2006
Naslov: Delodajalčev nadzor elektronske pošte in dostopa do interneta zaposlenega
Številka: 092-4/2006/536
Vsebina: Delovna razmerja, Svetovni splet
Pravni akt: Mnenje

Spoštovani,

 

pred dnevi ste poklicali Informacijskega pooblaščenca in nas zaprosili za mnenje.

 

Zanimalo vas je naše mnenje o zasebnosti elektronske pošte in vpogledu dostopa do interneta.

 

Ker ne sprašujete konkretno, kaj vas zanima, vam podajamo splošno mnenje o tem vprašanju.

 

Ker lahko avtentično razlago posameznih določb zakona daje le Državni zbor, neobvezno pa predlagatelj zakona, vam na podlagi informacij, ki ste nam jih posredovali, v nadaljevanju na podlagi 7. točke prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 86/04 in 113/05, v nadaljevanju ZVOP-1) ter 2. in 18. člena Zakona o Informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje.

 

Ustava Republike Slovenije (Uradni list RS, št. 33/91, s spremembami, v nadaljevanju Ustava) v 1. odst. 38. člena določa, da je zagotovljeno varstvo osebnih podatkov. Prepovedana je uporaba osebnih podatkov v nasprotju z namenom njihovega zbiranja. 2. odst. 38. člena določa, da zbiranje, obdelovanje, namen uporabe, nadzor in varstvo tajnosti osebnih podatkov določa zakon. Ta pravica je posebej urejena v ZVOP-1.

 

Ustava v 1. odst. 37. člena zagotavlja tajnost pisem in drugih občil. V 2. odst. pa Ustava določa, da lahko samo zakon predpiše, da se na podlagi odločbe sodišča za določen čas ne upošteva varstvo tajnosti pisem in drugih občil in nedotakljivost človekove zasebnosti, če je to nujno za uvedbo ali potek kazenskega postopka ali za varnost države.

 

Pooblaščenec uvodoma poudarja, da ZVOP-1 ne pokriva celotnega spektra zasebnosti, pač pa zgolj tisti del, ki se nanaša na zbirke osebnih podatkov. ZVOP-1 je torej konkretizacija ustavne pravice do varstva osebnih podatkov, ki je določena v 38. členu Ustave.

 

Poudariti je potrebno tudi, da se »pravice do zasebnosti«, ki so določene od 35. člena Ustave dalje, pogosto povezujejo. Na to kaže primer Halford v. Združeno kraljestvo, ki ga je obravnavalo Evropsko sodišče za človekove pravice (v nadaljevanju ESČP). V tem primeru je sodišče ugotovilo, da je imela policistka pri uporabi službenega telefona pravico do pričakovanja zasebnosti. ESČP je torej jasno zapisalo, da ima posameznik pravico do varovanja zasebnosti tudi na delovnem mestu in pri uporabi službenih komunikacijskih sredstev. Kot so zapisali avtorji Komentarja Ustave Republike Slovenije (ur. Šturm, Fakulteta za podiplomske državne in evropske študije, Ljubljana 2002, str. 395, v nadaljevanju Komentar Ustave), predmet varstva 37. člena Ustave ni zgolj sama vsebina komunikacije, temveč vsi podatki, ki so integralni del te komunikacije, kar je predvsem pomembno pri komuniciranju preko računalniških omrežij (npr. elektronska pošta), kjer se tvori vrsta tovrstnih podatkov. Varovana torej ni zgolj vsebina komunikacije, temveč tudi podatki, povezani z njo – gre za t. i. prometne podatke. Pri uporabi telefona se je celo izoblikovalo stališče, da pravnega varstva ne zasluži zgolj sama vsebina pogovora, ampak tudi vsi podatki, povezani s telefonsko komunikacijo, kot so npr. spremljanje klicanih številk z določenega telefona, čas klica in trajanje pogovora. Avtorji Komentarja Ustave so še navedli, da je z ustavnega vidika to argumentacijo mogoče prenesti na komuniciranje preko računalniških omrežij. Pooblaščenec pri tem opozarja, da se v tem delu pravica do zasebnosti iz 37. člena Ustave RS (varstvo tajnosti pisem in drugih občil) povezuje tudi s pravico do varstva osebnih podatkov iz 38. člena Ustave RS, saj v konkretnem primeru prometni podatki veljajo za zbirko osebnih podatkov, katere »zasebnost« varuje 38. člen Ustave RS.

 

3. člen ZVOP-1 določa, da morajo biti osebni podatki, ki se obdelujejo, ustrezni in po obsegu primerni glede na namene, za katere se zbirajo in nadalje obdelujejo (načelo sorazmernosti).

 

Osebni podatek je v skladu z 1. tč. 6. člena katerikoli podatek, ki se nanaša na posameznika, ne glede na obliko, v kateri je izražen. Obdelava osebnih podatkov pomeni v skladu z 3. tč. 6. člena kakršnokoli delovanje ali niz delovanj, ki se izvaja v zvezi z osebnimi podatki, … zlasti zbiranje, pridobivanje, vpogled, uporaba, razkritje s prenosom, sporočanje, širjenje ali drugo dajanje na razpolago… Zbirka osebnih podatkov je v skladu z 5. tč. 6. člena ZVOP-1 vsak strukturiran niz podatkov, ki vsebuje vsaj en osebni podatek, ki je dostopen na podlagi meril, ki omogočajo uporabo ali združevanje podatkov, ne glede na to, ali je niz centraliziran, decentraliziran ali razpršen na funkcionalni ali geografski podlagi; strukturiran niz podatkov je niz podatkov, ki je organiziran na takšen način, da določi ali omogoči določljivost posameznika.

 

Pravne podlage za obdelavo osebnih podatkov v javnem sektorju so določene v 9. členu ZVOP-1. Osebni podatki se lahko v skladu s 1. odst. 9. člena obdelujejo, če obdelavo osebnih podatkov in osebne podatke, ki se obdelujejo, določa zakon. Zgolj z zakonom pa se lahko določi tudi, da se določeni osebni podatki lahko obdelujejo na podlagi osebne privolitve posameznika. 3. odst. 9. člena dopušča še obdelavo osebnih podatkov posameznikov, ki so z javnim sektorjem sklenili pogodbo ali pa so na podlagi pobude posameznika z njim v fazi pogajanj za sklenitev pogodbe, če je obdelava osebnih podatkov potrebna in primerna za izvedbo pogajanj za sklenitev pogodbe ali za izpolnjevanje pogodbe.

 

ZVOP-1 v 10. členu določa, da se osebni podatki v zasebnem sektorju lahko obdelujejo, če obdelavo osebnih podatkov in osebne podatke, ki se obdelujejo, določa zakon ali če je obdelava določenih osebnih podatkov podana osebna privolitev posameznika. Obdelava osebnih podatkov je v skladu z 2. odst. 10. člena ZVOP-1 dopustna tudi v primeru, ko je posameznik z zasebnim sektorjem sklenil pogodbo ali pa je z njim v fazi pogajanj za sklenitev pogodbe, če je obdelava potrebna in primerna za izvedbo pogajanj za sklenitev pogodbe ali za izpolnjevanje pogodbe.

 

Na podlagi navedenega je torej elektronski naslov osebni podatek le pod pogojem, da se preko njega posameznika določi ali je ta določljiv, pri čemer način identifikacije ne povzroča velikih stroškov, nesorazmerno velikega napora ali ne zahteva veliko časa. Elektronski naslovi, iz katerih so razvidni ime, priimek in zaposlitev posameznika, so podatki, ki omogočajo določljivost posameznika. Ti podatki torej posameznika določijo neposredno ali pa je z njimi ta vsaj določljiv. Službeni elektronski naslovi so nedvomno osebni podatek, ki nedvomno določi posameznika, saj o posamezniku razkrijejo ime, priimek in zaposlitev. Ti trije osebni podatki skorajda brez izjeme omogočijo dokaj enostavno identifikacijo posameznika.

 

V skladu z navedenimi definicijami je potrebno ugotoviti, da je vsebina elektronskega sporočila del pravice do zasebnosti. Iz same vsebine 37. člena Ustave pa je mogoče razbrati, da vsebina elektronskega sporočila ne sodi v okvir ZVOP-1, saj v skladu z definicijo zbirke osebnih podatkov, (običajno) ne gre za zbirko osebnih podatkov.

 

Zbirka poslanih in prejetih elektronskih sporočil (t. i. inbox, outbox) vsebuje:

• zbirko elektronskih naslovov, na katere je posameznik poslal elektronsko sporočilo ali ga je od naslovnika prejel;

• datum in čas pošiljanja oziroma sprejema;

• zadevo (subject);

• drugi tehnični podatki v povezavi s sporočilom (priponka, velikost …).

 

V skladu z razlago primera Halford v. Združeno kraljestvo je moč potrditi, da so prometni podatki tudi osebni podatki. Prav tako sta obe zbirki osebnih podatkov, saj, kot že ugotovljeno, elektronski naslov posameznika načeloma lahko pomeni osebni podatek (izjema bi bila, četudi en elektronski naslov v takšni zbirki ne bi bil osebni podatek), več elektronskih naslovov posameznikov pa se da tudi urediti v strukturiran niz podatkov, saj se jih da obdelovati po abecednem vrstnem redu, po datumu prejema ali oddaje, po velikosti ipd. Pogosto se da iz vhodne in izhodne elektronske pošte (predvsem iz podatkov o pošiljatelju in po navedeni zadevi – subject) ugotoviti tudi druge osebne podatke posameznika, kot so zdravstveno stanje posameznika (npr. prijava na specialistični zdravniški pregled preko elektronske pošte), versko prepričanje (janez.novakping@rkcpong.si), politično pripadnost (janez.novakping@ldspong.si ali sds.si ali sns.si, sindikalno pripadnost (joze.novakping@sindikatxypong.si) (vsi ti podatki so tudi občutljivi osebni podatki), sorodstvena (npr. Subject/Zadeva: Prosim te za sestrsko uslugo) in drugačna razmerja, premoženjsko stanje (npr. Subject/Zadeva: Kdaj bo nakazilo – sem brez denarja) itd.

 

Odprta dilema pa ostaja ob vprašanju, kakšno stopnjo zasebnosti lahko delojemalec na delovnem mestu upravičeno pričakuje in kdaj pomeni poseg v komuniciranje zaposlenega poseg v nedotakljivost njegove zasebnosti. V takšni situaciji je na eni strani prisoten interes delodajalca, ki ima pravico do izvrševanja lastninske pravice nad svojimi sredstvi in pravico, da nadzira, ali je ta oprema uporabljena skladno z namenom, za katerega je bila zaposlenemu dana v uporabo. Na drugi strani pa obstaja interes posameznika (zaposlenega), ki utemeljeno pričakuje določeno stopnjo zasebnosti in zaupnosti na delovnem mestu (podrobneje glej Komentar Ustave, str. 401).

 

Da ima delavec pravico do zasebnosti na delovnem mestu je poudarilo tudi Kasacijsko sodišče Francije. V enem primerov je obrazložilo, da ima delavec tudi med delovnim časom in na delovnem mestu pravico do spoštovanja zasebnega življenja, vključno s pravico do tajnosti občil. Delodajalec, ki bere sporočila, ki jih zaposleni pošilja ali sprejema preko službenega računalnika, krši temeljne pravice delavca, kot jih določa 8. člen Evropske konvencije o človekovih pravicah ... Uporaba računalniške tehnologije resda že sama po sebi predstavlja in omogoča izvajanje nadzora nad zaposlenimi s strani nadrejenih, vendar pa je nujno, da kljub oženju zasebnega prostora na delovnem mestu delček zasebnega življenja – tako pomemben za svobodo in osebnost posameznikov – preživi tudi na delovnem mestu … Čeprav je tehnično povsem mogoče, da delodajalci, zato da bi se izognili različnim težavam in zlorabam, delavcu prepovedo uporabo službenih računalnikov v osebne namene (in izvajanje prepovedi nadzirajo), je tovrstna prepoved – kot ugotavljajo strokovnjaki – v 21. stoletju povsem nerealna.

 

Pooblaščenec je ugotavljal tudi, ali je osebni podatek tudi podatek o obisku spletnih strani na delovnem mestu. Prav gotovo gre za podatek, ki se nanaša na delavca kot posameznika, saj ob zasebni uporabi svetovnega spleta na službeni opremi (lahko) izkazuje svoje interese, počutja ali druga osebna stanja (denimo oddaja zahtevka za odobritev večjega kredita preko spletne strani banke nakazuje na premoženjsko stanje posameznika, nakup zdravila proti migreni na spletni strani proizvajalca zdravil nakazuje na zdravstveno stanje posameznika, ipd.). Glede na navedeno Pooblaščenec meni, da je tudi podatek o obisku spletnih strani posameznika ali spremljanje njegovih aktivnosti na svetovnem spletu osebni podatek in kot tak varovan v skladu z ZVOP-1. Pooblaščenec pri tem poudarja tudi, da je podatek o obiskanih spletnih strani, v skladu z vsem navedenim, tudi tisto področje, ko se združujeta tako vsebina kot prometni – torej osebni – podatek. Zato so podatki o obisku spletnih strani tudi izjemno občutljivi za obdelavo.

 

Končno mnenje v okviru ZVOP-1

 

V skladu z vsem navedenim delodajalec torej načeloma nima pravne podlage za v vsebino e pošte niti za vpogled v tako imenovane prometne podatke o elektronski pošti, torej podatke o tem, kdo je elektronsko pošto poslal, oziroma komu je bila poslana). Seveda pa je na drugi strani potrebno opozoriti tudi na pravico delodajalca, da bdi nad svojimi sredstvi in tudi skrbi za pravilnost in zakonitost poslovanja, kot tudi za smotrnost porabe sredstev. Zato je priporočljivo, da delodajalci pisno vnaprej obvestijo zaposlene, v katerih primerih lahko vpogledajo v prometne podatke o elektronski pošti. Seveda morajo biti takšni razlogi taksativni in izjemni, zato bi v takšnih primerih bilo potrebno presojati vsak primer posebej. Vse navedeno pa ne pomeni, da delodajalec ne more omejiti uporabe službenega elektronskega naslova, če bi se iz drugih razlogov (ne z vpogledom v zasebno pošto, pač pa denimo na podlagi odzivov tretjih oseb na sporočila, počasno delovanje omrežja zaradi pošiljanja slikovnih ali zvočnih datotek, povečano število virusov …) izkazalo, da posameznik elektronskega naslova ne uporablja v skladu z vsem navedenim in v skladu s politiko delodajalca glede uporabe službenih sredstev. Kot je že navedeno, sta namreč oprema in službeni elektronski naslov last delodajalca, delavec pa ima kot imetnik zgolj pravico do uporabe; zato lahko delodajalec prosto omejuje dostop do službenega elektronskega naslova.

 

Glede podatkov o obisku spletnih strani pa Pooblaščenec meni, da delodajalec v takšne primere načeloma nima vpogleda, saj se pri takšnem podatku mešata t. i. prometni podatek in vsebina, s tem pa gre za poseg v dve ustavni pravici – pravico do varstva osebnih podatkov (38. člen Ustave RS) in pravico do varstva tajnosti pisem in drugih občil (37. člen Ustave RS). Vpogled delodajalca v takšne podatke bi bilo torej potrebno obravnavati posamično, od primera do primera, in šele ob izpolnjenem pogoju, da obstajajo izjemni razlogi za takšen vpogled.

 

S spoštovanjem,

 

Informacijski pooblaščenec

Nataša Pirc Musar, univ. dipl. prav.,

pooblaščenka