Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Iskalnik po mnenjih GDPR

+ -
Datum: 06.03.2019
Naslov: Razkritje elektronskih naslovov
Številka: 0712-1/2019/511
Vsebina: Elektronska pošta, Zavarovanje osebnih podatkov
Pravni akt: Mnenje

Informacijski pooblaščenec (v nadaljnjem besedilu IP) je prejel vaše zaprosilo za mnenje glede skupinskega pošiljanja elektronske pošte. Dobili ste dopis sveta staršev, ki je bil naslovljen na več posameznikov, e-naslovi pa niso bili prekriti.

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljnjem besedilu Splošna uredba o varstvu podatkov), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljnjem besedilu ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.

 

Pri pošiljanju e-sporočila več prejemnikom hkrati mora upravljavec naslove prejemnikov e-sporočila vpisati v rubriko »Skp« (skrita kopija). Za posredovanje oz. razkrivanje e-naslovov staršev drugim članom sveta staršev mora šola pridobiti njihovo osebno privolitev.

 

Vsak upravljavec nosi obveznost zakonite in poštene obdelave osebnih podatkov, konkretnih obdelav osebnih podatkov pa IP izven postopka inšpekcijskega nadzora ne more presojati.

 

Za zakonito obdelavo osebnih podatkov je treba (tako po Splošni uredbi o varstvu podatkov kot prej po ZVOP-1) imeti ustrezno pravno podlago. Splošna uredba o varstvu podatkov določa pravne podlage v prvem odstavku člena 6:

»Obdelava je zakonita le in kolikor je izpolnjen vsaj eden od naslednjih pogojev:

(a) posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov;

(b) obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe;

(c) obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca;

(d) obdelava je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe;

(e) obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu;

(f) obdelava je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok.«

 

Pravno podlago za obdelavo osebnih podatkov v javnem sektorju, kamor se uvrščajo tudi javni zavodi, ureja še veljavni 9. člen ZVOP-1, ki v prvem odstavku določa, da se osebni podatki v javnem sektorju lahko obdelujejo, če obdelavo osebnih podatkov in osebne podatke, ki se obdelujejo, določa zakon. Z zakonom se lahko določi, da se določeni osebni podatki obdelujejo le na podlagi osebne privolitve posameznika. Skladno s še veljavnim drugim odstavkom istega člena lahko nosilci javnih pooblastil obdelujejo osebne podatke tudi na podlagi osebne privolitve posameznika brez podlage v zakonu, kadar ne gre za izvrševanje njihovih nalog kot nosilcev javnih pooblastil. Zbirke osebnih podatkov, ki nastanejo na tej podlagi, morajo biti ločene od zbirk podatkov, ki nastanejo na podlagi izvrševanja nalog nosilca javnih pooblastil.

 

Posredovanje oziroma razkrivanje e-naslovov staršev predstavlja obdelavo osebnih podatkov, za katero mora šola (ali vrtec) imeti ustrezno pravno podlago. E-naslovi, ki pripadajo staršem, so namreč osebni podatki in so del zbirke osebnih podatkov, katere upravljavec je šola (ali vrtec), zato so varovani z določbami Splošne uredbe o varstvu podatkov. Vsi upravljavci so v zvezi z varstvom osebnih podatkov in njihovo obdelavo tako po Splošni uredbi o varstvu podatkov (člen 32) kot po ZVOP-1 zavezani sprejeti ustrezne tehnične in organizacijske ukrepe (tako člena 24 in 25). Ustrezno zavarovanje osebnih podatkov pri pošiljanju e-sporočila več prejemnikom hkrati se zagotovi na način, da se naslove prejemnikov e-sporočila vpiše v rubriko »Skp« (skrita kopija) in ne v rubriko »Za« ali »Kp«. V nasprotnem primeru mora šola pred posredovanjem e-naslovov staršev drugim članom sveta staršev pridobiti njihovo osebno privolitev.

 

Lep pozdrav,

 

 

Pripravila:                    

Karolina Kušević, univ. dipl. prav.,                                            Mojca Prelesnik, univ. dipl. prav.,

svetovalka IP                                                                            informacijska pooblaščenka