Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Iskalnik po mnenjih GDPR

+ -
Datum: 11.02.2019
Naslov: Sprememba naslova elektronskega predala in preusmeritev elektronske pošte
Številka: 0712-1/2019/256
Vsebina: Delovna razmerja, Elektronska pošta
Pravni akt: Mnenje

Informacijski pooblaščenec (v nadaljevanju IP) je po elektronski pošti prejel vašo prošnjo za mnenje glede ustreznosti oziroma problematičnosti spremembe e-poštnih naslovov zaradi spojitve (oz. prevzema ali pripojitve) ali drugega statusnega preoblikovanja gospodarske družbe ter izvedbe preusmeritve elektronskih poštnih sporočil iz starih elektronskih naslovov na nove elektronske naslove istega zaposlenega. Navajate, da ste v več odločbah IP zasledili, da predstavlja izvedba preusmeritve elektronskih sporočil iz elektronskega naslova nekdanjega zaposlenega na skupen naslov podjetja kršitev komunikacijske zasebnosti, razen v določenih izjemnih primerih. Zanima vas, ali bi obstajala kakršnakoli težava z vidika varstva komunikacijske zasebnosti tudi v primeru, ko se zaradi statusnega preoblikovanja družbe (npr. prevzem, spojitev…) elektronska pošta, ki jo stranke pošljejo na elektronske naslove stare družbe, npr. (janezping@aaapong.si), avtomatsko preusmeri na nov elektronski naslov, npr. (janezping@bbbpong.si). Uporabnik poštnega naslova je še vedno isti zaposleni, le elektronski naslov se, zaradi statusnega preoblikovanja družbe (npr. zaradi spremembe firme družbe), spremeni. V takšnem primeru se namreč zgodi, da imajo določene stranke še vedno shranjene stare elektronske naslove ali pa jih preprosto najdejo na kakšnih drugih spletnih straneh ter nato pošljejo povpraševanja ali drugo korespondenco na stare poštne naslove družbe.

 

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Uredba), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašimi vprašanji.

 

IP uvodoma pojasnjuje, da v okviru komunikacije prek elektronske pošte predstavlja zbirko osebnih podatkov zgolj zbirka t.i. prometnih podatkov (elektronski naslovi, na katere je posameznik poslal elektronsko sporočilo in od katerih je sporočilo prejel; datum in čas pošiljanja in prejema sporočila; zadeva sporočila in drugi tehnični podatki v povezavi s sporočilom – priponka, velikost, itd.). Zato pri elektronski pošti Splošna uredba in deloma ZVOP-1 varuje le prometne podatke, medtem ko je sama vsebina elektronske pošte varovana v okviru določb o kršitvi tajnosti občil iz 139. člena Kazenskega zakonika oziroma določb o zahtevi za prenehanje kršitve osebnostnih pravic iz 134. člena Obligacijskega zakonika. Delodajalec ima pravico do oblasti nad svojimi sredstvi in pravico, da nadzira, ali je ta oprema uporabljena skladno z namenom, za katerega je bila zaposlenemu dana v uporabo, delavec pa lahko utemeljeno pričakuje določeno stopnjo zasebnosti na delovnem mestu, kar izhaja že iz 46. člena Zakona o delovnih razmerjih (ZDR-1). Ta določa, da delodajalec varuje in spoštuje delavčevo osebnost ter upošteva in ščiti njegovo zasebnost.

 

IP na tem mestu izpostavlja, da v sklopu neobvezujočega mnenja vsekakor ne more presojati konkretnih dejanj obdelav, temveč lahko to stori šele v okviru inšpekcijskega postopka, zato v nadaljevanju podaja splošna pojasnila. Delodajalec kot upravljavec, ki v statusno preoblikovani družbi določa namene in sredstva obdelave, mora v skladu s še veljavnima 24. in 25. členom ZVOP-1 ter 32. členom Uredbe zagotoviti ustrezne tehnične in organizacijske postopke in ukrepe, s katerimi bo preprečil nepooblaščeno obdelavo, uničenje, izgubo ali spremembo osebnih podatkov. Upravljavci osebnih podatkov morajo v svojih aktih predpisati postopke in ukrepe za zavarovanje osebnih podatkov in določiti osebe, ki so odgovorne za posamezne zbirke osebnih podatkov. Iz zapisanega izhaja, da mora upravljavec sorazmerno natančno predpisati postopke in ukrepe, s katerimi bo varoval elektronsko pošto zaposlenih (npr. Pravilnik o varnosti oz. Pravilnik glede uporabe službene elektronske pošte), ki naj tudi določajo, kaj se zgodi z neaktivnimi predali elektronske pošte (elektronski predali »starega« podjetja, elektronski predali bivših sodelavcev itd.). Če je časovno omejena avtomatska preusmeritev e-pošte ob sklenjenem ustreznem dogovoru z zaposlenim vezana izključno na dva sicer različna e-naslova, ki pa sta dodeljena istemu zaposlenemu in torej ne prihaja do situacij, ko bi lahko osebni podatki in/ali vsebina prišla v roke nepooblaščenih tretjih, potem načeloma najverjetneje z vidika posegov v zasebnost ne bi smelo biti težav. IP pa o tem v mnenju dokončno ne more presojati, niti ni pristojen presojati o morebitnih drugih vidikih ustreznosti takšne rešitve.

 

Sicer pa IP priporoča rešitev nastavitve avtomatskega odzivnika na način, da ta pošiljatelje obvesti, da določeni predal elektronske pošte ni več aktiven, da naslovnik sporočila ne bo prejel oz. prebral ter na kateri (drug) naslov naj se obrnejo.

 

Hkrati IP izpostavlja, da je arhivirana elektronska pošta, vezana na stari elektronski predal, še vedno zbirka osebnih podatkov, kar pomeni, da ukrepi za zavarovanje po še veljavnem 24. in 25. členu ZVOP-1 ter 32. členu Uredbe zanjo veljajo kot obveznost delodajalca. Torej je tudi v primeru arhivirane pošte baze delodajalec dolžan zagotoviti ustrezne varnostne ukrepe, s katerimi bo preprečil nepooblaščeno obdelavo osebnih podatkov. Dodatna pojasnila boste našli tudi v Smernicah o varstvu osebnih podatkov v delovnih razmerjih, ki se nahajajo na povezavi: https://www.ip-rs.si/fileadmin/user_upload/Pdf/smernice/Smernice_-_Varstvo_OP_v_delovnih_razmerjih.pdf

 

V upanju, da ste dobili odgovor na svoje vprašanje, vas lepo pozdravljamo.

 

 

Mojca Prelesnik, univ.dipl.prav.,

informacijska pooblaščenk

 

 

 

Pripravila:

Jasmina Mešić,
svetovalka pooblaščenca za preventivo