Obdelava osebnih podatkov zaposlenih

Datum

16.07.2025

Številka

07121-1/2025/877

Kategorije

Pravne podlage, Delovna razmerja

pri Informacijskem pooblaščencu (IP) smo 30. 6. 2025 prejeli vaše zaprosilo za mnenje glede dopustnosti obdelave osebnih podatkov zaposlenih v okviru službene elektronske pošte, predvsem v povezavi z natančnostjo, zakonitostjo in posredovanjem teh podatkov znotraj in izven organizacije.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22, ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A, ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašimi vprašanji.

Osebni podatki se lahko, tudi v okviru delovnega razmerja, obdelujejo le, če za to obstaja ustrezna pravna podlaga, pri čemer je treba v primeru vsebine elektronske pošte upoštevati tudi morebiten vidik posegov v širšo komunikacijsko zasebnost. Obdelava osebnih podatkov pa mora vedno potekati v skladu z načeli varstva osebnih podatkov, določenimi v 5. členu Splošne uredbe.

Obveznost upravljavca je, da pri obdelavi uporablja zgolj točne in posodobljene podatke. Upravljavec je dolžan brez odlašanja popraviti ali izbrisati netočne podatke, kadar se izkaže, da niso več točni ali potrebni glede na namen, za katerega so bili zbrani.

Pri presoji točnosti je treba upoštevati naravo podatka: pri dejanskih podatkih se točnost preverja glede na objektivno stanje, pri subjektivnih podatkih, kot so mnenja ali vrednostne ocene, pa, ali je pravilno povzeta vsebina izraženega stališča.

Posredovanje osebnih podatkov znotraj podjetja ali izven njega je dopustna le v okviru namena, ki izhaja iz pravne podlage za obdelave, nikakor pa ni dopustno posredovanje osebnih podatkov neupravičenim tretjim osebam izven tega okvira.

Obrazložitev

Uvodoma opozarjamo, da konkretnega in dokončnega odgovora o zakonitosti obdelave osebnih podatkov v okviru mnenja v nobenem primeru ne moremo podati, saj lahko IP posamezne primere obdelave podatkov konkretno presoja zgolj v okviru nadzornega postopka.

Osebni podatki se lahko obdelujejo le takrat in v obsegu, kadar je to v skladu s pravnimi podlagami za obdelavo osebnih podatkov iz prvega odstavka 6. in 9. člena Splošne uredbe (privolitev; sklenitev ali izvajanje pogodbe; zakonska obveznost; zaščita življenjskih interesov posameznika; izvajanje javne naloge; zakoniti interesi upravljavca, če ne prevladajo interesi in pravice oz. svoboščine posameznika). V kontekstu delovnega razmerja se lahko osebni podatki skladno z 48. členom Zakona o delovnih razmerjih (Uradni list RS, št. 21/13, s sprem. in dop.; v nadaljevanju: ZDR-1) zbirajo, obdelujejo, uporabljajo in posredujejo tretjim osebam samo, če je to določeno s tem ali drugim zakonom ali če je to potrebno zaradi uresničevanja pravic in obveznosti iz delovnega razmerja ali v zvezi z delovnim razmerjem.

Poleg tega mora obdelava osebnih podatkov potekati v skladu z vsemi načeli Splošne uredbe iz 5. člena:

(a)zakonitost, pravičnost in preglednost: osebni podatki morajo biti obdelani zakonito, pošteno in na pregleden način v zvezi s posameznikom, na katerega se nanašajo osebni podatki;

(b)omejitev namena: osebni podatki morajo biti zbrani za določene, izrecne in zakonite namene ter se ne smejo nadalje obdelovati na način, ki ni združljiv s temi nameni;

(c)najmanjši obseg podatkov: osebni podatki morajo biti ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo;

(d)točnost: osebni podatki morajo biti točni in, kadar je to potrebno, posodobljeni; sprejeti je treba vse razumne ukrepe za zagotovitev, da se netočni osebni podatki brez odlašanja izbrišejo ali popravijo ob upoštevanju namenov, za katere se obdelujejo;

(e)omejitev shranjevanja: osebni podatki morajo biti hranjeni v obliki, ki dopušča identifikacijo posameznikov, na katere se nanašajo osebni podatki, le toliko časa, kolikor je potrebno za namene, za katere se osebni podatki obdelujejo;

(f)celovitost in zaupnost: osebni podatki se morajo obdelovati na način, ki zagotavlja ustrezno varnost osebnih podatkov, vključno z zaščito pred nedovoljeno ali nezakonito obdelavo ter pred nenamerno izgubo, uničenjem ali poškodbo z ustreznimi tehničnimi ali organizacijskimi ukrepi.

V okoliščinah, ko obstaja razhajanje med osebnimi podatki, ki se nahajajo v uradnih evidencah upravljavca (npr. kadrovska ali zdravstvena evidenca), in podatki, ki jih posamezni zaposleni navajajo v službeni komunikaciji (npr. o dolžini bolniškega staleža), IP poudarja, da mora upravljavec zagotoviti, da so podatki točni in posodobljeni. Če je podatek objektivno netočen, ne postane avtomatično točen zgolj zato, ker se posreduje v uradni oziroma službeni komunikaciji. Vsako širjenje ali nadaljnja obdelava netočnih podatkov, ki so v nasprotju z dejanskim stanjem, lahko predstavlja kršitev načela točnosti. Upravljavec je dolžan brez odlašanja popraviti ali izbrisati netočne podatke, kadar se izkaže, da niso več točni ali potrebni glede na namen, za katerega so bili zbrani.

IP pa ob tem izpostavlja, da kriterij za opredelitev osebnega podatka ni povezan z razlikovanjem med subjektivnim in objektivnim značajem informacije, temveč izhaja iz definicije osebnega podatka v 1. točki 4. člena Splošne uredbe. Skladno z Mnenjem 4/2007 o pojmu osebnih podatkov Delovne skupine za varstvo osebnih podatkov iz člena 29  izraz »katera koli informacija« zahteva široko razlago pojma osebnega podatka. Pojem osebnih podatkov vključuje vse vrste trditev o osebi – tako objektivne (npr. prisotnost določene snovi v krvi) kot subjektivne (npr. mnenja ali ocene). Informacija se lahko šteje za osebni podatek tudi, če ni nujno resnična ali dokazana. Osebni podatki so lahko torej tudi subjektivne informacije, kot so stališča, mnenja in vrednostne ocene.

V zvezi s tem pa je treba pojasniti, da upravljavec nima diskrecijske pravice glede spoštovanja načela točnosti – vedno je dolžan zagotoviti, da so osebni podatki, ki jih obdeluje, točni in po potrebi posodobljeni. Pri tem pa je presoja točnosti lahko odvisna od narave podatka; pri dejanskih podatkih se točnost ugotavlja glede na objektivno stanje, medtem ko se pri subjektivnih osebnih podatkih (kot so mnenja ali ocene) presoja, ali je pravilno povzeta oziroma prikazana vsebina izraženega stališča.

Poleg tega IP poudarja, da mora upravljavec vedno preveriti, ali je konkretni namen, zaradi katerega se podatki posredujejo ali obdelujejo, skladen z namenom, zaradi katerega so bili zbrani, in ali je nadaljnja obdelava zakonita. Posredovanje osebnih podatkov znotraj organizacije ali izven nje bi bilo eventualno dopustno le, če bi bilo to nujno za izvajanje zakonitih nalog oziroma bi za to obstajala konkretna pravna podlaga. V nasprotnem primeru takšno posredovanje pomeni kršitev načela omejitve namena in najmanjšega obsega podatkov.

Sklepno IP izpostavlja, da pravila Splošne uredbe praviloma veljajo tudi za obdelavo osebnih podatkov v službeni elektronski pošti. Upravljavci morajo zato pri vsakršni obdelavi osebnih podatkov zaposlenih ravnati s posebno skrbnostjo, zagotoviti točnost podatkov, preveriti pravno podlago in namen obdelave ter zagotoviti, da podatki niso dostopni neupravičenim osebam znotraj ali zunaj organizacije. Ob tem pa IP dodaja, da vprašanje nadzora službene e-pošte presega zgolj področje varstva osebnih podatkov – gre namreč tudi za širše vprašanje varovanja komunikacijske zasebnosti zaposlenih.

Več informacij o obdelavi osebnih podatkov v delovnem razmerju pa si lahko preberete tudi v Smernicah Varstvo osebnih podatkov v delovnih razmerjih, ki so dosegljive na https://www.ip-rs.si/publikacije/priro%C4%8Dniki-in-smernice/smernice-po-splo%C5%A1ni-uredbi-o-varstvu-podatkov-gdpr/varstvo-osebnih-podatkov-v-delovnih-razmerjih in v Priročniku »Kako so moji podatki varovani v delovnem razmerju?«, ki je dostopen na https://www.ip-rs.si/fileadmin/user_upload/Pdf/brosure/brosura_delovna_populacija.pdf.

V upanju, da smo odgovorili na vaše vprašanje, vas lepo pozdravljamo.

dr. Jelena Virant Burnik,

informacijska pooblaščenka