Ravnanje s skupnimi predali elektronske pošte

Datum

28.10.2025

Številka

07120-1/2025/477

Kategorije

Delovna razmerja, Elektronska pošta

pri Informacijskem pooblaščencu (IP) smo prejeli vaše zaprosilo za mnenje glede ravnanja s skupnimi predali elektronske pošte. Kot ste pojasnili imajo vaše območne enote vsaka svoj splošni elektronski predal, v katere prejemajo različne vloge strank, prijave, dopise, najave, preusmerjeno elektronsko pošto iz glavnega predala uprave in drugo elektronsko pošto, ki jo javni uslužbenci, ki opravljajo naloge glavne pisarne na območnih enotah, skladno s pravili upravljanja z dokumentarnim gradivom uvrščajo v zbirko dokumentarnega gradiva. Vsaka območna enota pokriva tri različna delovna področja in v te predale se torej stekajo vhodni elektronski dokumenti z vseh treh področij.

Z več enot ste prejeli predlog, da se dostop do teh skupnih predalov zaradi »praktičnosti« omogoči vsem zaposlenim v enoti. Torej vsak zaposleni bi lahko prebiral vso vhodno pošto, hkrati pa tudi izhodno, ker bi vsak imel tudi možnost pošiljanja elektronske pošte s teh naslovov. Delodajalcu se z vidika varstva osebnih podatkov ne zdi dopustno, da bi vsak zaposleni lahko dostopal do osebnih podatkov v vlogah, dopisih, prijavah, posledično tudi do vira prijav, in drugih podatkov, ker je obdelava osebnih podatkov, kamor šteje tudi vpogled, dopustna, če ima zakonito podlago in je potrebna za izvajanje (konkretne) naloge v javnem interesu, pri čemer je treba upoštevati tudi načelo sorazmernosti. Območne enote pri tem izhajajo iz stališča, da vsi zaposleni podpišejo izjavo o varovanju osebnih podatkov. Po mnenju pooblaščene osebe za varstvo osebnih podatkov je že dostop vseh treh (vsebinsko različnih) vodij oddelkov na enoti do skupnega elektronskega predala posamezne območne enote lahko sporno, saj so za naloge glavne pisarne določeni pooblaščeni javni uslužbenci, katerih naloge in odgovornost so jasni. Z vidika odgovornosti za organizacijo in rezultate dela je po njegovem mnenju sprejemljivo, da ima poleg uslužbencev glavne pisarne dostop le direktor območne enote.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22, 40/25 – ZInfV-1; v nadaljevanju: ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A; v nadaljevanju ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

Uvodoma moramo izpostaviti, da se IP v okviru nezavezujočih mnenj ne more in ne sme opredeljevati, ali je konkretne postopek pri določenem zavezancu skladen z zakonodajo o varstvu osebnih podatkov; zakonitost in skladnost obdelav osebnih podatkov v okviru konkretne postopke obdelav osebnih podatkov pri določenem zavezancu lahko IP preveri le v okviru uradnega inšpekcijskega postopka.

Temeljna izhodišča za urejanje postopkov in procesov obdelav osebnih podatkov, kar vključuje tudi ravnanje z predali pošte pri zavezancih podajajo temeljna načela varstva osebnih podatkov, pri čemer je poleg načela informacijskega varnosti osebnih podatkov (celovitost, zaupnost in razpoložljivost) pri zadevnem vprašanju bistveno načelo minimizacije obdelave osebnih podatkov in načelo namenskosti. Skladno z načelom minimizacije obdelave osebnih podatkov in načelom namenskosti naj bi znotraj organizacije posamezni zaposleni oziroma skupine zaposlenih dostopale le do tistih osebnih podatkov, do katerih je to potrebno zaradi delovnih nalog in pooblastil, ki jih ti zaposleni izvajajo oziroma izvršujejo. Pri tem je treba izhajati iz potrebe po vedenju, upoštevaje omenjena načela pa je pristojnost in odgovornost za določitev dostopnih pravic na vodstvu organizacije. V vsakem konkretnem primeru je torej potreben premislek, kdo naj bi dostopal do določenih informacijskih virov oziroma sredstev (dokumentov, aplikacij, informacijskih rešitev ipd.) glede na to, kakšne naloge opravlja v organizaciji in posledično do česa utemeljeno potrebuje dostop.

Kot tudi sami ugotavljate je pomembno načelo sorazmernosti in zgolj stališče oziroma argument, da vsi zaposleni podpišejo izjavo o varovanju osebnih podatkov, ne more nadomestiti upoštevanja načela sorazmernosti oziroma minimizacije obdelave. Gre za koristen in priporočljiv ukrep z vzidka zagotavljanja varnosti, ne more pa nadomestiti načel minimizacije in namenskosti.

IP podrobno ne pozna vaših delovnih procesov in poslovnih potreb in tudi če bi jih, je v prvi vrsti na zavezancu, da upoštevaje vse relevantne okoliščine sprejme odločitev, kdo lahko dostopa do določenih predalov elektronske pošte, kot smo pa izpostavili je pri tem treba izhajati iz (dejanske) potrebe po vedenju. Zgolj praktičnost ali enostavnost poslovanja pri tem ne sme biti izhodišče, saj bi to lahko vodilo v »dostop vseh do vsega«, kar je v neskladju s temeljnimi načeli varstva osebnih podatkov.

Podobno kot predlaga vaša pooblaščena oseba za varstvo osebnih podatkov menimo, da morajo biti za naloge glavne pisarne določeni pooblaščeni javni uslužbenci, katerih naloge vključujejo posredovanje prejetih sporočil ustreznim oddelkom oziroma osebam glede na njihovo področje dela, z vidika odgovornosti za organizacijo in rezultate dela pa se tudi nam zdi sprejemljivo, da ima poleg uslužbencev glavne pisarne dostop tudi direktor območne enote. Rešitev, v skladu s katero bi se dostop do skupnih predalov in do vse vhodne in izhodne pošte omogočil vsem zaposlenim v enoti je tudi po mnenju IP neskladna tako z načelom minimizacije obdelave osebnih podatkov, kakor tudi z vašo obveznostjo, da z ustreznimi postopki in ukrepi poskrbite za varnost osebnih podatkov, katerih upravljavec ste.

Lepo vas pozdravljamo,

dr. Jelena Virant Burnik,

Informacijska pooblaščenka

Pripravil:

mag. Andrej Tomšič,

namestnik informacijske pooblaščenke