Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Iskalnik po mnenjih GDPR

+ -
Datum: 30.12.2019
Naslov: Hramba poslovne dokumentacije
Številka: 0712-1/2019/2973
Vsebina: Delovna razmerja, Pravne podlage, Telekomunikacije in pošta, Zavarovanje osebnih podatkov
Pravni akt: Mnenje

Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaše zaprosilo za mnenje glede hrambe poslovne dokumentacije na službenem e-mail naslovu.

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba o varstvu podatkov), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju: ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju: ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.

 

IP uvodoma poudarja, da lahko podaja nezavezujoča mnenja in pojasnila, ne more pa v okviru mnenja presojati primernosti izbrane pravne podlage ali namenov oziroma obsega obdelave osebnih podatkov v konkretnem primeru. Enako velja glede ustreznosti posameznih aktov delodajalca in izjav, ki jih podpišejo zaposleni delavci.

 

IP uvodoma pojasnjuje, da v okviru komunikacije prek elektronske pošte predstavlja zbirko osebnih podatkov zgolj zbirka t.i. prometnih podatkov (elektronski naslovi, na katere je posameznik poslal elektronsko sporočilo in od katerih je sporočilo prejel; datum in čas pošiljanja in prejema sporočila; zadeva sporočila in drugi tehnični podatki v povezavi s sporočilom – priponka, velikost, itd.). Zato pri elektronski pošti Splošna uredba o varstvu podatkov in deloma ZVOP-1 varujeta le prometne podatke, medtem ko je sama vsebina elektronske pošte varovana v okviru določb o kršitvi tajnosti občil iz 139. člena Kazenskega zakonika oziroma določb o zahtevi za prenehanje kršitve osebnostnih pravic iz 134. člena Obligacijskega zakonika. Delodajalec ima pravico do oblasti nad svojimi sredstvi in pravico, da nadzira, ali je ta oprema uporabljena skladno z namenom, za katerega je bila zaposlenemu dana v uporabo, delavec pa lahko utemeljeno pričakuje določeno stopnjo zasebnosti na delovnem mestu, kar izhaja že iz 46. člena Zakona o delovnih razmerjih (ZDR-1; Uradni list RS, št. 21/13, 78/13 – popr., 47/15 – ZZSDT, 33/16 – PZ-F, 52/16, 15/17 – odl. US, 22/19 - ZPosS). Ta določa, da delodajalec varuje in spoštuje delavčevo osebnost ter upošteva in ščiti njegovo zasebnost.

 

ZDR-1 v 48. členu nadalje določa, da se lahko osebni podatki delavcev zbirajo, obdelujejo, uporabljajo in posredujejo tretjim osebam samo, če je to določeno s tem ali drugim zakonom ali če je to potrebno zaradi uresničevanja pravic in obveznosti iz delovnega razmerja ali v zvezi z delovnim razmerjem. Osebni podatki delavcev, za zbiranje katerih ne obstaja več zakonska podlaga, se morajo takoj izbrisati in prenehati uporabljati.

 

Ob tem IP opozarja na načelo najmanjšega obsega podatkov, ki določa, da morajo biti pod pogojem, da obstaja pravna podlaga, osebni podatki, ki se obdelujejo, ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo. Navedeno načelo pomeni, da je potrebno obdelovati samo toliko osebnih podatkov delavcev, kolikor je nujno potrebno za izpolnitev namena v konkretnem primeru.

 

Delodajalec mora v skladu s še veljavnima 24. in 25. členom ZVOP-1 ter členom 32 Splošne uredbe o varstvu podatkov zagotoviti tudi ustrezne tehnične in organizacijske postopke in ukrepe, s katerimi bo preprečil nepooblaščeno obdelavo, uničenje, izgubo ali spremembo osebnih podatkov. Upravljavci osebnih podatkov morajo v svojih aktih predpisati postopke in ukrepe za zavarovanje osebnih podatkov in določiti osebe, ki so odgovorne za posamezne zbirke osebnih podatkov. Iz zapisanega izhaja, da mora upravljavec sorazmerno natančno predpisati postopke in ukrepe, s katerimi bo varoval elektronsko pošto zaposlenih (npr. Pravilnik o varnosti oz. Pravilnik glede uporabe službene elektronske pošte), ki naj tudi določajo, kaj se zgodi z neaktivnimi predali elektronske pošte nekdanjih zaposlenih (npr.  vsebina se izbriše ali pa se arhivira). IP poudarja, da mora biti zaposlenemu pred prenehanjem delovnega razmerja dana možnost, da še zadnjič vpogleda v svoje zasebne podatke in svoj predal elektronske pošte ter vsebino, ki se nanaša na njegovo zasebnost (osebne podatke) po lastni presoji izbriše oziroma shrani na drug podatkovni medij ter obvesti svoje kontakte, da na ta elektronski naslov ne bo več dostopen. Hkrati IP izpostavlja, da je arhivirana elektronska pošta, vezana na elektronski predal nekdanjega zaposlenega, še vedno zbirka osebnih podatkov, kar pomeni, da ukrepi za zavarovanje po še veljavnem 24. in 25. členu ZVOP-1 ter členu 32 Splošne uredbe o varstvu podatkov zanjo veljajo kot obveznost delodajalca. Resda so pogoji dostopanja do arhivske pošte s strani delodajalca precej milejši kakor v primeru, ko gre za delujoč poštni predal, vendar to ne pomeni, da lahko do vsebine arhivirane poštne baze dostopa kdorkoli, pač pa zgolj pooblaščena oseba in še to na podlagi utemeljenih razlogov. Torej je tudi v primeru arhivirane pošte baze delodajalec dolžan zagotoviti ustrezne varnostne ukrepe, s katerimi bo preprečil nepooblaščeno obdelavo osebnih podatkov.

 

Za dodatna pojasnila vas IP usmerja na mnenje št. 0712-1/2017/1538, z dne 3. 8. 2017:

https://www.ip-rs.si/varstvo-osebnih-podatkov/iskalnik-po-odlocbah-in-mnenjih/odlocbe-in-mnenja-vop/?tx_jzvopdecisions_pi1%5BshowUid%5D=2950

 

Dodatna pojasnila boste našli tudi v Smernicah o varstvu osebnih podatkov v delovnih razmerjih, ki se nahajajo na povezavi:

https://www.ip-rs.si/fileadmin/user_upload/Pdf/smernice/Smernice_-_Varstvo_OP_v_delovnih_razmerjih_verzija_1.1_koncna.pdf

 

 

S spoštovanjem.

 

 

Pripravil:

Matej Sironič,                                                  

Svetovalec pooblaščenca

za varstvo osebnih podatkov

 

 

Mojca Prelesnik, univ. dipl. prav.,

Informacijska pooblaščenka