Informacijski pooblaščenec Republika Slovenija
SLO | ENG

Iskalnik po odločbah in mnenjih VOP

+ -

Opozarjamo, da  posamezna gradiva  na naši spletni strani niso prilagojena na nov evropski okvir varstva osebnih podatkov, zato jih je treba uporabljati preudarno in smiselno ter ob upoštevanju nove evropske ureditve. Stare vsebine so še vedno uporabne za razumevanje prakse, saj se z novo Uredbo 2016/679 in Direktivo 2016/680, temeljni koncepti varstva osebnih podatkov in področna zakonodaja bistveno ne spreminjajo.  Stališča Informacijskega pooblaščenca, izražena v mnenjih in smernicah glede ureditve pred pričetkom uporabe Uredbe 2016/679 in implementacijo Direktive 2016/680 zato niso nujno uporabljiva za nov evropski okvir varstva osebnih podatkov.  


 

Datum: 01.02.2018
Naslov: Naslovi službene elektronske pošte
Številka: 0712-3-2018/28
Vsebina: Elektronska pošta, Definicija OP
Pravni akt: Mnenje

Informacijski pooblaščenec (v nadaljevanju IP) je prejel vaše elektronsko sporočilo, v katerem vas zanima, ali v skladu z novo evropsko Splošno uredbo o varstvu podatkov elektronski naslov podjetja infoping@podjetjepong.si predstavlja osebni podatek in ali potrebujete soglasje posameznikov za obdelavo in hrambo teh podatkov. Enako vas zanima glede elektronskega naslova ime.priimekping@podjetjepong.si.

 

 

V nadaljevanju vam na podlagi predstavljenega dejanskega stanja ter na podlagi 7. točke prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/2007 – uradno prečiščeno besedilo; v nadaljevanju ZVOP-1) ter 2. člena Zakona o Informacijskem pooblaščencu (Uradni list RS št. 113/2005 in 51/2007-ZUstS) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.

 

 

Objekt varstva osebnih podatkov je lahko le posameznik, torej fizična oseba, in ne pravna oseba. To pomeni, da elektronski naslov podjetja (na primer info@podjetje.si) načeloma ni osebni podatek. Izjemoma bi takšen poštni naslov lahko predstavljal osebni podatek, če je dodeljen le eni osebi in bi to osebo bilo moč identificirati.

 

Elektronski naslov uslužbenca, na primer ime.priimek@podjetje.si, je osebni podatek, saj vsebuje informacijo o imenu, priimku in zaposlitvi osebe in s tem je osebo mogoče določiti ali pa postane vsaj določljiva. To pomeni, da je za zakonito obdelavo navedenega elektronskega naslova potrebno imeti pravno podlago, to je lahko npr. soglasje posameznika (6. člen Splošne uredbe o varstvu podatkov).

 

 

Obrazložitev:

 

IP uvodoma pojasnjuje, da se Splošna Uredba (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (v nadaljevanju Splošna uredba o varstvu podatkov) prične uporabljati 25. 5. 2018.

 

IP na začetku ugotavlja, da se odgovor na vaše vprašanje glede nove evropske zakonodaje ter obdelave elektronskih naslovov podjetja in uslužbencev v bistvenem ne razlikuje s stanjem sedanje zakonske ureditve in definicije osebnih podatkov po ZVOP-1. Skladno s 1. točko 4. člena Splošne uredbe o varstvu podatkov je osebni podatek katera koli informacija v zvezi z določenim ali določljivim posameznikom. Posameznik je določljiv, če ga je mogoče neposredno ali posredno določiti, zlasti z navedbo identifikatorja, kot je ime, identifikacijska številka, podatki o lokaciji, spletni identifikator, ali z navedbo enega ali več dejavnikov, ki so značilni za fizično, fiziološko, genetsko, duševno, gospodarsko, kulturno ali družbeno identiteto tega posameznika. Definicija osebnih podatkov se ni v večji meri spremenila v primerjavi s sedaj veljavno definicijo iz 6. člena ZVOP-1, razlika pa je v tem, da evropski zakonodajalec ne določa več omejitve definicije osebnih podatkov v primeru, da bi identifikacija povzročala velike stroške, nesorazmerno velik napor ali bi zahtevala veliko časa. Obdelava osebnih podatkov pa pomeni, kakor določa 2. točka 4. člena Splošne uredbe o varstvu podatkov, vsako dejanje ali niz dejanj, ki se izvaja v zvezi z osebnimi podatki ali nizi osebnih podatkov z avtomatiziranimi sredstvi ali brez njih. Skladno z navedeno definicijo hramba in uporaba osebnih podatkov predstavljata obdelavo osebnih podatkov. Zanima vas, ali bodo po novi zakonodaji splošni elektronski naslovi poslovnih subjektov in elektronski naslovi uslužbencev v podjetju predstavljali osebne podatke.

 

Skladno  z navedeno definicijo je pravni objekt varstva osebnih podatkov lahko le posameznik, torej fizična oseba, in ne pravna oseba. Tako je zapisalo že Ustavno sodišče Republike Slovenije je v svoji odločbi, št. U-I 298/04 z dne 27. 10. 2005, in sicer da uživajo varstvo osebnih podatkov le posamezniki, pri čemer takšnega varstva ne uživajo imetniki transakcijskih računov, ki so pravne osebe in fizične osebe, ki na trgu nastopajo kot gospodarski subjekt. Iz navedenega izhaja, da elektronski naslov info@podjetje.si ne predstavlja osebnega podatka v smislu 1. točke 4. člena Splošne uredbe o varstvu podatkov. To pomeni, da za hrambo in uporabo takšnih elektronskih naslovov ni potrebno in niti ne bo potrebno pridobiti soglasja podjetja za obdelavo osebnih podatkov.

 

IP pa ugotavlja, da bi ne glede na navedeno splošni elektronski naslov oziroma elektronski naslov podjetja, kot na primer info@podjetje.si, lahko izjemoma predstavljal osebni podatek. Namreč, če bi bil takšen elektronski naslov dodeljen zgolj eni določeni osebi in bi ga le ta uporabljala, bi ta oseba lahko postala neposredno ali posredno določljiva. V kolikor je objektivno mogoče osebo identificirati na podlagi elektronske pošte, predstavlja tak podatek osebni podatek. V takem primeru bo potrebno upoštevati določbe Splošne uredbe o varstvu podatkov in nove nacionalne zakonodaje iz tega področja (namreč pripravlja se t.i. ZVOP-2).

 

Elektronski naslovi posameznih uslužbencev (na primer ime.priimek@podjetje.si) nedvomno še vedno predstavljajo osebne podatke. Namreč, elektronski naslov, iz katerega so razvidni ime, priimek ter podatek o zaposlitvi, zadostujejo pogoju, da posameznik postane določen ali vsaj določljiv. Namreč ti trije osebni podatki (navadno) omogočijo dokaj enostavno identifikacijo posameznika. To pomeni, da bo za zakonito obdelavo elektronskih naslovov posameznih uslužbencev po 6. členu Splošne uredbe o varstvu podatkov potrebno imeti eno izmed pravnih podlag. V vašem primeru bo to najverjetneje privolitev posameznika v obdelavo njegovih podatkov, ki je urejena v 7. člen Splošne uredbe o varstvu podatkov. O veljavni (informirani) privolitvi si lahko podrobneje preberete v Smernicah Delovne skupine člena 29, ki so dostopne na povezavi: https://www.ip-rs.si/fileadmin/user_upload/Pdf/mnenja/Mednarodna_mnenja/wp259_enpdf.pdf.  

 

Za več informacij o Splošni uredbi o varstvu podatkov vas IP napotuje na svojo spletno stran: https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/.

 

 

Upamo, da smo vam z našimi pojasnili uspeli pomagati.

 

S spoštovanjem,

 

 

Pripravila:

Neja Domnik, univ. dipl. prav.,

raziskovalka pri IP

 

Informacijski pooblaščenec:

Mojca Prelesnik, univ. dipl. prav.,

 Informacijska pooblaščenka