Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Iskalnik po mnenjih GDPR

+ -
Datum: 16.06.2019
Naslov: Seznanitev z vsebino elektronskega sporočila
Številka: 0712-1/2019/1460
Vsebina: Delovna razmerja, Elektronska pošta
Pravni akt: Mnenje

Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaše zaprosilo za mnenje glede seznanitve vseh zaposlenih z vsebino vašega elektronskega sporočila s strani delodajalca (predsednice sveta zavoda).

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba o varstvu podatkov), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju: ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju: ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.

 

IP uvodoma poudarja, da lahko podaja nezavezujoča mnenja in pojasnila, ne sme pa izven konkretnih inšpekcijskih postopkov preverjati primernosti izbrane pravne podlage ali namenov oziroma obsega obdelave osebnih podatkov v konkretnem primeru.

 

IP uvodoma splošno pojasnjuje tudi, da vsi osebni podatki sami po sebi ne uživajo zaščite po ZVOP-1 in Splošni uredbi o varstvu podatkov, temveč so te zaščite deležni le v primeru, če gre za obdelavo osebnih podatkov v celoti ali delno z avtomatiziranimi sredstvi in za drugačno obdelavo kakor z avtomatiziranimi sredstvi za osebne podatke, ki so del zbirke ali so namenjeni oblikovanju dela zbirke, kot to določa člen 2(1) Splošne uredbe o varstvu podatkov. Vsebina zasebnega elektronskega sporočila načeloma ne vsebuje varovanih osebnih podatkov po Splošni uredbi o varstvu podatkov, razen če bi sporočilo vsebovalo osebne podatke, ki so del zbirke osebnih podatkov ali so namenjeni vključitvi v zbirko osebnih podatkov. V primeru elektronske pošte so to načeloma zgolj t.i. prometni podatki (naslov prejemnika in pošiljatelja, podatki o času prejema, pošiljanja ipd.) in ne sama vsebina sporočila, ki sodi pod okvir varstva širše pravice do zasebnosti na podlagi 37. člena Ustave RS. Za nadzor te pravice pa IP ni pristojen, temveč je predvideno sodno varstvo.

 

IP pojasnjuje, da Splošna uredba o varstvu podatkov v 6. členu sicer določa različne pravne podlage za zakonito obdelavo osebnih podatkov. Obdelava je tako zakonita le in kolikor je za konkretni namen obdelave in konkretne osebne podatke izpolnjen eden od naslednjih pogojev:

  • posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov;
  • obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe;
  • obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca;
  • obdelava je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe;
  • obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu;
  • obdelava je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok.

Ob tem je treba upoštevati, da se zadnja alinea ne more uporabljati za obdelavo s strani javnih organov pri opravljanju njihovih nalog.

 

Predsednica sveta zavoda, ki je, kot navajate, z vsebino vašega elektronskega sporočila seznanila vse zaposlene v zavodu, bi za obdelavo vaših osebnih podatkov torej morala imeti eno izmed naštetih pravnih podlag, sicer obdelava ni bila zakonita.

 

Področje delovnega prava je specialno urejeno v posebnih zakonih, predvsem v Zakonu o delovnih razmerjih (ZDR-1; Uradni list RS, št. 21/13, 78/13 – popr., 47/15 – ZZSDT, 33/16 – PZ-F, 52/16, 15/17 – odl. US) in Zakonu o  evidencah na področju dela in socialne varnosti (ZEPDSV; Uradni list RS, št. 40/06). Zaradi izrazite neenakosti moči strank v delovnopravnih razmerjih oziroma zaradi varstva delavca, ki je v razmerju do delodajalca zagotovo šibkejša stranka, je zakonodajalec to področje uredil strožje, zaradi česar na tem področju praviloma niti v zasebnem sektorju ne dopušča avtonomije strank v smislu, da bi delodajalec lahko brez podlage v zakonu od delavca zahteval katerekoli osebne podatke ali jih obdeloval na drugi pravni podlagi (npr. privolitev, pogodba, …). V 46. členu ZDR-1 tudi določa, da mora delodajalec varovati in spoštovati delavčevo osebnost ter upoštevati in ščititi delavčevo zasebnost.

Glede obdelave osebnih podatkov delavcev veljajo načeloma enaka pravila za delodajalce v zasebnem in javnem sektorju, pri čemer so za ugotavljanje zakonitosti konkretne obdelave pomembni posamezni področni predpisi. ZDR-1 v 48. členu določa, da se lahko osebni podatki delavcev zbirajo, obdelujejo, uporabljajo in posredujejo tretjim osebam samo, če je to določeno s tem ali drugim zakonom ali če je to potrebno zaradi uresničevanja pravic in obveznosti iz delovnega razmerja ali v zvezi z delovnim razmerjem. Nadalje v tretjem odstavku 48. členu določa, da se morajo osebni podatki delavcev, za zbiranje katerih ne obstoji več zakonska podlaga, takoj zbrisati in prenehati uporabljati. Upoštevajoč določbe ZDR-1 lahko torej delodajalec načeloma vaše osebne podatke obdeluje samo, če ima za to podlago v zakonu ali če je to potrebno zaradi uresničevanja pravic in obveznosti iz delovnega razmerja ali v zvezi z delovnim razmerjem. V konkretnem primeru bi moral torej vaš delodajalec izkazati, da je bilo za dosego teh namenov potrebno z vsebino vašega elektronskega sporočila ustanovitelju zavoda seznaniti vse vaše sodelavce.

V vašem zaprosilu navajate, da ste elektronsko pošto z vašimi osebnimi podatki poslali ustanovitelju zavoda kot prošnjo za pomoč in ne kot uradno pisanje (prijavo). V praksi se lahko pojavi problem mešanja poslovne in zasebne vsebine. V takšnih primerih zaposleni običajno sam presodi, kaj sodi med poslovno in kaj med zasebno pošto IP je na temo varstva osebnih podatkov zaposlenih pri vpogledu delodajalca v vsebino elektronske pošte in s tem povezane prometne podatke izdal že več mnenj, ki so dostopna tudi na spletni strani IP:

https://www.ip-rs.si/varstvo-osebnih-podatkov/iskalnik-po-odlocbah-in-mnenjih/odlocbe-in-mnenja-vop/

Iz teh mnenj med drugim izhaja tudi, da zaposleni tudi na delovnem mestu upravičeno pričakuje določen krog zasebnosti in da mora delodajalec za obdelavo osebnih podatkov zaposlenega vedno imeti pravno podlago v smislu 48. člena ZDR-1. Glede varstva širše pravice do zasebnosti na podlagi 37. člena Ustave RS, ki varuje tajnost pisem in drugih občil, pa je, kot rečeno, predvideno sodno varstvo. Načeloma je torej za poseg v zasebnost elektronskih komunikacij potrebna sodna odredba in delodajalec na splošno nima pravne podlage za vpogled v vsebino elektronske pošte zaposlenega. Vpogled v elektronski predal zaposlenega bi bil lahko dopusten le izjemoma pod vnaprej določenimi strogimi pogoji v primeru, ko se namenov, zaradi katerih se pregled opravi, ne more doseči na drug, milejši način, torej z manjšim posegov v delavčevo zasebnost.

Na podlagi navedenega IP meni, da se z vsebino spornega elektronskega sporočila, ki ste ga poslali ustanovitelju zavoda in ki vsebuje vaše osebne podatke, vsekakor ne bi smeli seznaniti vsi zaposleni v zavodu, v kolikor gre za osebno/zasebno pisanje. Glede vprašanja, kje je meja med zasebno in poslovno pošto, se IP v okviru mnenja ne more opredeliti, saj je to odvisno od vrste konkretnih okoliščin posameznega primera. Vpogled v vsebino določenega elektronskega sporočila s strani posameznih drugih zaposlenih v zavodu bi bil v določenih primerih lahko načeloma utemeljen le z dovoljenjem delodajalca v primerih, če bi šlo za uradno pošto, torej za evidentiran dokument, ki bi bil povezan z delovnimi nalogami konkretne zaposlene osebe.

IP ob tem opozarja na načelo najmanjšega obsega podatkov, ki določa, da morajo biti pod pogojem, da obstaja pravna podlaga, osebni podatki, ki se obdelujejo, ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo. Navedeno načelo pomeni, da je potrebno obdelovati samo toliko osebnih podatkov, kolikor je nujno potrebno za dosego posamičnega zakonitega namena obdelave.

 

 

S spoštovanjem.

 

 

Mojca Prelesnik, univ. dipl. prav.,

Informacijska pooblaščenka