Varovanje osebnih podatkov v kuverti

Datum

04.11.2025

Številka

07121-1/2025/1295

Kategorije

Telekomunikacije in pošta, Varnost osebnih podatkov

Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaše zaprosilo za mnenje glede poštne pošiljke, ki je bila poslana na način, da je deloma razkrivala vsebino. Med drugim naj bi bili vidni osebno ime, bivši naslov ter davčna številka naslovnika ter del vsebine dokumentacije. Zanima vas, kakšne možnosti postopanja ima oseba, katere podatki so bili razkriti, zlasti v luči tega, da je pošiljka potovala tri dni, nato pa en dan na prevzem čakala tudi na pošti.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22, 40/25 – ZInfV-1; v nadaljevanju: ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, 51/07 – ZUstS-A; ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

Pri sprejetju odločitve o stopnji varnosti podatkov mora upravljavec upoštevati stopnjo tehnološkega razvoja, stroške izvajanja, naravo, obseg, okoliščine in namene obdelave ter tveganje za pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki.

Osebni podatki morajo biti tekom prenosa v kuverti po fizični pošti ustrezno zavarovani, postopki in ukrepi za zavarovanje pa bodo odvisni od konkretne situacije oziroma od tveganja, ki ga predstavlja prenos.  Podatki morajo biti zavarovani na način, da se prepreči nepooblaščena seznanitev z njimi, kar pomeni, da morajo biti ovojnice izdelane in zlepljene na način, da se ob sortiranju, rokovanju in prenosu ni možno seznaniti z vsebino pošiljke.

Izvajalci poštnih storitev morajo varovati zaupnost poštnih pošiljk v skladu z zakonom, ki ureja varstvo osebnih podatkov. Ta obveznost velja tudi po koncu dejavnosti, v okviru katere so jo bile dolžne varovati. Za nadzor nad izvajanjem ZPSto-2 je pristojna AKOS, na katero se lahko obrnete z morebitno prijavo kršitev, tudi kršitve 53. člena ZPSto-2.  

Obrazložitev

IP uvodoma poudarja, da lahko podaja neobvezujoča mnenja in pojasnila, ne sme pa izven konkretnih nadzornih ali drugih upravnih postopkov preverjati primernosti izbrane pravne podlage ali namenov oziroma obsega obdelave osebnih podatkov v konkretnem primeru.

IP uvodoma poudarja tudi, da je tajnost pisem in drugih občil zagotovljeno s 37. členom Ustave RS (Ustava RS; Uradni list RS, št. 33/91-I, s spremembami in dopolnitvami). Ob tem IP opozarja, da je pristojen le za tisti del pravice do zasebnosti, ki se nanaša na varstvo osebnih podatkov in ga ureja 38. člen Ustave Republike Slovenije.

IP pojasnjuje, da Splošna uredba v (f) točki prvega odstavka 5. člena predpisuje, da se podatki obdelujejo na način, ki zagotavlja ustrezno varnost osebnih podatkov, vključno z zaščito pred nedovoljeno ali nezakonito obdelavo ter pred nenamerno izgubo, uničenjem ali poškodbo z ustreznimi tehničnimi ali organizacijskimi ukrepi. Gre za načelo celovitosti in zaupnosti podatkov, ki je med drugim namenjeno tudi preprečevanju nepooblaščenih vpogledov v osebne podatke pri njihovem prenosu. Za zagotavljanje varnosti podatkov je odgovoren upravljavec, ki je v konkretnem primeru pošiljatelj podatkov. Pri sprejetju odločitve o stopnji varnosti mora upoštevati stopnjo tehnološkega razvoja, stroške izvajanja, naravo, obseg, okoliščine in namene obdelave, predvsem pa tveganje za pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki. Zlasti pomembna je ocena verjetnosti in resnosti tveganja.

Osebni podatki morajo biti torej tekom prenosa v kuverti po fizični pošti ustrezno zavarovani, postopki in ukrepi za zavarovanje pa bodo odvisni od konkretne situacije oziroma od tveganja, ki ga predstavlja prenos. To je pogosto povezano s samo naravo podatkov, ki se prenašajo (npr. pri zdravstvenih podatkih bo tveganje večje). V splošnem pa velja, kot je IP že izpostavil v mnenju št. 07121-1/2023/371 z dne 17. 3. 2023, da morajo biti osebni podatki, ki se prenašajo prek pošte, zavarovani na takšen način, da se prepreči nepooblaščena seznanitev z njimi. Ovojnice morajo biti izdelane in zlepljene na način, s katerim se zagotovi, da se ob sortiranju, rokovanju in prenosu ni možno seznaniti z vsebino pošiljke. Iz vašega dopisa izhaja, da je bila kuverta sicer zlepljena, vendar pa je bilo skozi prozorno okence možno prebrati osebne podatke naslovnika, med drugim davčno številko naslovnika, ter del vsebine. To bi lahko bilo problematično z vidika zavarovanja osebnih podatkov.

IP ob tem ponavlja, da ustreznosti zavarovanja osebnih podatkov v konkretnem primeru ne more presojati v okviru neobvezujočega mnenja, temveč lahko to stori šele v okviru nadzornega ali drugega upravnega postopka. Če želite na IP podati prijavo zaradi kršitev varstva osebnih podatkov, si lahko pomagate z obrazcem, ki je dostopen na:

https://www.ip-rs.si/varstvo-osebnih-podatkov/pravice-posameznika/vlozitev-prijave.

Iz vašega dopisa izhaja še, da je poštna pošiljka nekaj dni potovala ter čakala na prevzem, zaradi česar vas skrbi razkritje podatkov. To področje sicer ureja Zakon o poštnih storitvah (UL RS, št. 51/09, 77/10; v nadaljevanju: ZPSto-2), ki v 53. členu določa, da morajo izvajalci poštnih storitev varovati zaupnost poštnih pošiljk v skladu z zakonom, ki ureja varstvo osebnih podatkov. Ta obveznost velja tudi po koncu dejavnosti, v okviru katere so jo bile dolžne varovati. Za nadzor nad izvajanjem ZPSto-2 pa ni pristojen IP, temveč Agencija za komunikacijska omrežja in storitve (v nadaljevanju AKOS), na katero se lahko obrnete z morebitno prijavo kršitev, tudi kršitve 53. člena ZPSto-2. 

Lepo vas pozdravljamo.

Pripravil:

Matej Sironič,

Svetovalec pooblaščenca I

dr. Jelena Virant Burnik,

Informacijska pooblaščenka