Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Iskalnik po mnenjih GDPR

+ -
Datum: 20.11.2019
Naslov: Neupravičenost razkritja elektronske pošte
Številka: 0712-1/2019/2662
Vsebina: Elektronska pošta, Pravne podlage, Vrtec
Pravni akt: Mnenje

Informacijski pooblaščenec (v nadaljevanju IP) je prejel vaše zaprosilo za mnenje. Opisujete primer, ko neizbrani kandidat za delovno mesto na svet zavoda šole/vrtca/dijaškega doma naslovi dopis, s katerim svet zavoda obvesti o kršitvah in diskriminaciji pri postopku izbire ustreznega kandidata za določeno delovno mesto. Ravnatelj šole/vrtca/dijaškega doma želi podati svetu zavoda svoj pisni zagovor glede prijavljenih kršitev in diskriminacije, ki mu želi priložiti elektronsko korespondenco med ravnateljem in neizbranim kandidatom po zaključenem postopku izbire novega zaposlenega. Sprašujete, ali neposredna predložitev takšne elektronske korespondence (ki vključuje npr. tudi telefonsko številko neizbranega kandidata) svetu zavoda predstavlja kršitev varstva osebnih podatkov in njihovo neupravičeno razkritje.

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov, v nadaljevanju Splošna uredba), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.

 

Uvodoma IP poudarja, da izven postopka inšpekcijskega nadzora oziroma upravnega postopka konkretnih obdelav osebnih podatkov ne more presojati. V mnenju lahko zato podamo zgolj splošna pojasnila, ne moremo pa presojati ustreznosti konkretnega ravnanja posameznih upravljavcev.

 

Prav tako IP izpostavlja, da vsi osebni podatki sami po sebi ne uživajo zaščite po ZVOP-1 in Splošni uredbi, temveč so te zaščite deležni le v primeru, če gre za obdelavo osebnih podatkov v celoti ali delno z avtomatiziranimi sredstvi in za drugačno obdelavo kakor z avtomatiziranimi sredstvi za osebne podatke, ki so del zbirke ali so namenjeni oblikovanju dela zbirke, kot to določa člen 2(1) Splošne uredbe. Vsebina zasebnega elektronskega sporočila načeloma ne vsebuje varovanih osebnih podatkov po Splošni uredbi, razen če bi sporočilo vsebovalo osebne podatke, ki so del zbirke osebnih podatkov ali so namenjeni vključitvi v zbirko osebnih podatkov. V primeru elektronske pošte so to načeloma zgolj t.i. prometni podatki (naslov prejemnika in pošiljatelja, podatki o času prejema, pošiljanja ipd.) in ne sama vsebina sporočila, ki sodi pod okvir varstva širše pravice do zasebnosti na podlagi 37. člena Ustave Republike Slovenije (Uradni list RS, št. 33/91-I s spremembami in dopolnitvami), ki varuje tajnost pisem in drugih občil. Za nadzor te pravice pa IP ni pristojen, temveč je predvideno sodno varstvo.

 

Nadalje IP pojasnjuje, da je za vsako obdelavo osebnih podatkov treba imeti ustrezno in zakonito pravno podlago. Te so določene v členu 6(1) Splošne uredbe in so za javni sektor, kamor spadajo javni zavodi, naslednje:

- zakon (točka (c)),

- privolitev, kadar ne gre za izvajanje javnih nalog (točka (a)),

- sklenitev ali izvajanje pogodbe (točka (b)),

- izvajanje javne naloge (točka (e)).

 

Javni zavod kot upravljavec mora torej imeti za obdelavo osebnih podatkov neizbranega kandidata ustrezno pravno podlago. V okviru presoje zakonitosti konkretnega zaposlitvenega postopka le-to najverjetneje predstavlja zakon (npr. Zakon o delovnih razmerjih, Uradni list RS, št. 21/13 s spremembami in dopolnitvami) oziroma izvajanje javne naloge. Izbira ustrezne pravne podlage za obdelavo osebnih podatkov, upoštevajoč konkretne okoliščine in namen obdelave, pa je obveznost upravljavca.

 

Glede primera, ki ga opisujete, IP pojasnjuje, da bi šlo najverjetneje za situacijo posredovanja osebnih podatkov znotraj istega upravljavca upoštevaje, da sta tako svet zavoda kot tudi ravnatelj organa vrtca oziroma šole in načeloma nista samostojna upravljavca. V tem smislu torej ne bi šlo za »razkritje« osebnih podatkov neizbranega kandidata izven javnega zavoda, za katerega bi ravnatelj potreboval posebno pravno podlago po členu 6(1) Splošne uredbe. Vprašanje, kdo znotraj upravljavca ter v kakšnih primerih je upravičen do določenih osebnih podatkov neizbranega kandidata, pa je predmet notranje organizacije. IP ob tem zgolj opozarja, da so skladno s četrtim odstavkom še veljavnega 24. člena ZVOP-1 funkcionarji, zaposleni in drugi posamezniki, ki opravljajo dela ali naloge pri osebah, ki obdelujejo osebne podatke, dolžni varovati tajnost osebnih podatkov, s katerimi se seznanijo pri opravljanju njihovih funkcij, del in nalog. Dolžnost varovanja tajnosti osebnih podatkov jih obvezuje tudi po prenehanju funkcije, zaposlitve, opravljanja del ali nalog ali opravljanja storitev pogodbene obdelave.

 

 

Lep pozdrav,

 

 

Mojca Prelesnik, univ. dipl. prav.,                                                

informacijska pooblaščenka

 

 

Pripravila:                                                                                                                              

Tina Ivanc, univ. dipl. prav.,
svetovalka IP za varstvo osebnih podatkov