Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Mnenja - VOP

+ -
Datum: 10.01.2018
Naslov: Uporaba elektronskih naslovov za komuniciranje z zaposlenimi
Številka: 0712-1/2018/31
Vsebina: Elektronska pošta, Šolstvo, Zavarovanje osebnih podatkov
Pravni akt: Mnenje

Prejeli smo vaš dopis, v katerem pojasnjujete, da ste prejeli informacijo, da naj učitelji in drugi strokovni delavci (morda celo vsi, zaposleni v šolstvu) ne bi smeli za službeno komunikacijo uporabljati drugih strežnikov (gmail, hotmail ipd.) temveč samo arnesovega, in sicer iz razloga, ker naj bi le arnes zagotavljal ustrezno zaščito, drugi pa ne. Zavedate se, da ste dolžni varovati osebne in tudi poslovne podatke, kar v komunikaciji upoštevate, vendar, kot navajate, nikoli ne moreš v celoti zagotoviti, da ne bi bil kakšen podatek morda tudi posredno prepoznan. Ker bi radi vzpostavili zaščiteno komuniciranje, ki bi zagotavljalo izvajanje varstva osebnih podatkov in določil iz ZDR-1 ter drugih predpisov, imate v načrtu izdelati kontakte vseh zaposlenih - njihovih mail naslovov in telefonskih številk, preko katerih lahko komunicirate za službene potrebe (te podatke bi zaposleni podali s svojim podpisom). Službeno komunikacijo preko mail naslovov sicer že izvajate, vendar večina najraje uporablja gmail.

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju na podlagi 7. točke prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07, uradno prečiščeno besedilo, v nadaljevanju ZVOP-1) ter 2. člena Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašimi vprašanji.

 

IP uvodoma pojasnjuje, da po našem vedenju ne gre za zahtevo, ki bi bila izrecno opredeljena na nivoju zakona, so pa nekatere določbe v zvezi s tem opredeljene v Uredbi o upravnem poslovanju (Uradni list RS, št. 20/05 s spremembami in dopolnitvami, v nadaljevanju Uredba). Natančneje 72. člen uredbe ureja primerno uporabo elektronske pošte, in sicer določa:

 

(1) Javni uslužbenci uporabljajo sistem elektronske pošte v službene namene, v skladu z določili informacijske varnostne politike organa. Uporaba v druge namene je dopustna le izjemoma, če ne ogroža varnosti informacijskega sistema upravnega organa, če vplivno ne obremenjuje diskovnih zmogljivosti, če ne zmanjšuje prepustnosti sistema elektronske pošte ali kakorkoli vpliva na zmanjševanje produktivnosti ostalih javnih uslužbencev. O dopustnosti uporabe odloči predstojnik v skladu s pravili informacijske stroke.

(2) Javni uslužbenec ne sme spreminjati nastavitev svojega predala elektronske pošte, razen v primeru nujnih in predpisanih vzdrževalnih del. Za uporabo dodatnih široko razširjenih pripomočkov (kot je npr. replikacija ali kopija poštne zbirke iz centralnega strežnika na lokalno delovno postajo ali prenosnik, preusmerjanje pošte na strežnike, ki so vidni v svetovnem spletu, sprejemanje poštnih sporočil na druge poštne naslove), se mora pridobiti posebno dovoljenje oziroma odobritev službe za informatiko organa.

(3) Preusmerjanje službene elektronske pošte ni dovoljeno na zasebne elektronske naslove.

(4) Javni uslužbenci morajo sistem elektronske pošte uporabljati tako, da pri tretjih osebah, ki so prejemniki elektronskih sporočil, ne nastane dvom, ali gre za službeno sporočilo ali za zasebno sporočilo, ki je zgolj poslano s službenega naslova.

Menimo, da gre sicer za odločitev organa, kateri sistem elektronske pošte bo uporabljal - ali bo izbral storitev zasebnega ali javnega sektorja, vsekakor pa mora pri tej odločitvi upoštevati vse vidike, tudi vidik varnosti in zasebnosti. Smiselno bi bilo oceniti, ali je bolj primerno uporabljati storitve slovenske akademsko raziskovalne mreže, kjer se podatki nahajajo na strežnikih v naši državi, kot pa uporabiti storitve in strežnike tujih ponudnikov, ki so izven naše jurisidkcije. IP kot državni organ ne more mimo razkritij E. Snowdena o dostopu obveščevalnih agencij do podatkov na strežnikih ameriških ponudnikov informacijskih storitev, kot so Google, Amazon, Facebook, Microsoft in drugi, zato težko zagovarjamo odločitev, da se zaradi potencialno večje uporabnosti in praktičnosti rešitev, slovenski organi javne uprave ali javnega sektorja ne odločijo za informacijske rešitve, ki jih ponujajo zaupanja vredni ponudniki iz slovenske javne uprave, ki podatke hranijo na naših tleh in so podvrženi nadzoru pristojnih organov Republike Slovenije. Poleg vprašanj varnosti podatkov se namreč odpira tudi vprašanje ustrezne ureditve pogodbene obdelave osebnih podatkov s tujimi ponudniki in (vsemi) njihovimi podizvajalci (glejte 11. člen ZVOP-1 ter še strožje določbe 28. člena Splošne Uredbe[1] (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov)) ter iznosa podatkov v tretje države, ki je posebej urejen in morate izpolniti posebne obveznosti iz ZVOP-1 (glejte člene ZVOP-1 od 62. do 71.)

 

Prav tako se nam ne zdi primerno – tudi upoštevaje uvodoma omenjene določbe 3. odstavka 72. člena uredbe, da zaposleni v šolstvu za službene namene uporabljajo zasebne naslove elektronske pošte in menimo, da bi morala organizacija, kot je šola, vsem zaposlenim zagotoviti dovolj varen, služben predal elektronske pošte. Zbirka podatkov o elektronskih naslovih in telefonskih številkah zaposlenih pa ni zbirka podatkov na osnovi soglasja (oz. privolitve) zaposlenega, temveč se šteje, da gre za osebne podatke, ki se (lahko) obdelujejo na podlagi zakonodaje oziroma potrebnosti za izvajanje pogodbe, in sicer na podlagi Zakona o delovnih razmerjih (48. člen ZDR-1) v povezavi z 2. odstavkom 9. člena ZVOP-1 ter so praviloma del zbirke osebnih podatkov o zaposlenih. Zaposleni lahko seveda uporabljajo tudi zasebne naslove, a priporočamo, da le za zasebno in ne za službeno komunikacijo. V ožji državni upravi zaposleni za službeno korespondenco uporabljamo službene elektronske predale, ki jih zagotavlja Ministrstvo za javno upravo in tudi morebitne preference posameznih zaposlenih, ki bi za službene namene raje uporabljali zasebne predale, ne morejo pretehtati nad določbami Uredbe o upravnem poslovanju.

 

V letu 2017 se nam ne zdi sprejemljivo, da vsak učitelj nima svojega službenega elektronskega naslova in menimo, da je mogoče zelo enostavno utemeljiti, da obdelava podatkov v zvezi s tem naslovom ni predmet privolitve zaposlenega, temveč nekaj, kaj je nujno za izvrševanje pravic in obveznosti, ki izhajajo iz delovnega razmerja (2. odstavek 9. člena ZVOP-1 v povezavi z 48. členom ZDR-1).

 

IP glede na navedeno predlaga, da za službene naslove elektronske pošte razmislite o uporabi storitev elektronske pošte slovenskih ponudnikov iz javne uprave, dodelitev naslovov in obdelava osebnih podatkov pa lahko poteka na podlagi 2. odstavka 9. člena ZVOP-1 v povezavi z 48. členim ZDR-1 in privolitev zaposlenih v obdelavo teh podatkov ni potrebna. Glede morebitne objave kontaktnih podatkov zaposlenih pa vas napotujemo na 2. odstavek 106. člen ZVOP-1, ki določa, da upravljavci osebnih podatkov lahko javnosti posredujejo in javno objavijo osebno ime, naziv ali funkcijo, službeno telefonsko številko in naslov službene elektronske pošte predstojnika in tistih zaposlenih, katerih delo je pomembno zaradi poslovanja s strankami oziroma uporabniki storitev, do uveljavitve posebnega zakona, ki bo uredil ta vprašanja[2].

 

 

 

Lep pozdrav,

 

Mojca Prelesnik, univ.dipl.prav.,                                                  

informacijska pooblaščenka

 

 

Pripravil:                                                                                                                              

mag. Andrej Tomšič,
namestnik informacijske pooblaščenke       

 


[1] Več o novem evropskem okviru za varstvo podatkov, ki se prične uporabljati 25.5.2018 najdete na posebni podstrani IP: https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/

 

[2] Zakon tega vprašanja še ni uredil in tudi ni pričakovati, da bo v bližnji prihodnosti uredil to vprašanje.