Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Iskalnik po mnenjih GDPR

+ -
Datum: 10.09.2019
Naslov: Razkritje OP v elektronskem sporočilu
Številka: 0712-1/2019/2051
Vsebina: Inšpekcijski postopki, Uradni postopki
Pravni akt: Mnenje

Informacijski pooblaščenec (v nadaljevanju IP) je prejel vaše zaprosilo za mnenje. Navajate, da ste ministrstvu po elektronski poti zastavili vprašanje, ki se nanaša na ustreznost rabe slovenskega jezika v šoli v konkretnem primeru. Vaše vprašanje pa je ministrstvo, skupaj z vašimi osebnimi podatki (ime, priimek, elektronska pošta), posredovalo šoli. Menite, da bi morali glede na to, da je bila ugotovljena nepravilnost, vaše pisanje obravnavati kot prijavo in varovati vir prijavitelja. Zanima vas mnenje IP glede ustreznosti takšnega razkritja vaših osebnih podatkov.

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov, v nadaljevanju Splošna uredba), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem. Ob tem izpostavljamo, da IP izven postopka inšpekcijskega nadzora oziroma drugega upravnega postopka konkretnih obdelav osebnih podatkov ne more presojati. V mnenju lahko zato podamo zgolj splošna pojasnila z vidika varstva osebnih podatkov, ne moremo pa presojati ustreznosti konkretnega ravnanja posameznih upravljavcev.

 

Pojem osebni podatek pomeni skladno s členom 4(1) Splošne uredbe katero koli informacijo v zvezi z določenim ali določljivim posameznikom; določljiv posameznik je tisti, ki ga je mogoče neposredno ali posredno določiti, zlasti z navedbo identifikatorja, kot je ime, identifikacijska številka, podatki o lokaciji, spletni identifikator, ali z navedbo enega ali več dejavnikov, ki so značilni za fizično, fiziološko, gensko, duševno, gospodarsko, kulturno ali družbeno identiteto tega posameznika. Ime, priimek ter osebni elektronski naslov posameznika tako nedvomno predstavljajo osebne podatke. Predmet varstva po Splošni uredbi in ZVOP-1 so tudi drugi t.i. prometni podatki (npr. datum in čas pošiljanja oziroma sprejema, zadeva in drugi tehnični podatki v povezavi z elektronskim sporočilom), če omogočajo določitev posameznika.

 

Skladno s členom 4(2) Splošne uredbe pomeni obdelava vsako dejanje ali niz dejanj, ki se izvaja v zvezi z osebnimi podatki ali nizi osebnih podatkov z avtomatiziranimi sredstvi ali brez njih, kot je zbiranje, beleženje, urejanje, strukturiranje, shranjevanje, prilagajanje ali spreminjanje, priklic, vpogled, uporaba, razkritje s posredovanjem, razširjanje ali drugačno omogočanje dostopa, prilagajanje ali kombiniranje, omejevanje, izbris ali uničenje.

 

Za vsako obdelavo osebnih podatkov je treba imeti ustrezno in zakonito pravno podlago. Te so določene v členu 6(1) Splošne uredbe in so za javni sektor, kamor spadajo tudi ministrstva in javni zavodi, naslednje:

- zakon (točka (c)),

- privolitev, kadar ne gre za izvajanje javnih nalog (točka (a)),

- sklenitev ali izvajanje pogodbe (točka (b)),

- izvajanje javne naloge (točka (e) v zvezi s četrtim odstavkom 9. člena ZVOP-1).

 

Iz navedenega izhaja, da predstavlja posredovanje oziroma razkritje osebnih podatkov pošiljatelja e-sporočila obdelavo osebnih podatkov, za katero mora imeti ministrstvo kot upravljavec ustrezno pravno podlago. Razkritje prometnih podatkov, ki so del elektronskega sporočila, brez ustrezne privolitve pošiljatelja ali brez podlage v zakonu torej praviloma predstavlja kršitev določb Splošne uredbe in ZVOP-1. Izbira ustrezne pravne podlage za obdelavo osebnih podatkov, upoštevajoč konkretne okoliščine in namen obdelave, pa je obveznost upravljavca. IP tako v okviru mnenja ne more dokončno odgovoriti na vaše vprašanje, saj lahko opravi dokončno presojo le v okviru inšpekcijskega postopka. Prav tako IP ni pristojen presojati, ali bi ministrstvo vaše vprašanje moralo obravnavati kot prijavo po Zakonu o inšpekcijskem nadzoru (Uradni list RS, št. 43/07 – uradno prečiščeno besedilo in 40/14).

 

IP na koncu dodaja, da je bilo nanj v preteklih letih naslovljeno veliko podobnih vprašanj, ki se nanašajo na varstvo osebnih podatkov v zvezi z elektronsko pošto. Odgovore pa boste najlažje našli tako, da v Iskalniku po odločbah in mnenjih VOP na spletni strani https://www.ip-rs.si/vop/ izberete vsebinsko področje »Elektronska pošta«.

 

 

Lep pozdrav,

 

                                                                                                     Mojca Prelesnik, univ. dipl. prav.,                                                

                                                                                                           informacijska pooblaščenka

Pripravila:                                                                                                                              

Tina Ivanc, univ. dipl. prav.,
svetovalka IP za varstvo osebnih podatkov