Vpogled v elektronsko pošto zaposlenega

Datum

13.01.2025

Številka

07121-1/2024/1617

Kategorije

Delovna razmerja, Elektronska pošta, Privolitev

Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaše zaprosilo za mnenje glede vpogleda v elektronsko korespondenco zaposlenih.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22; ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba o varstvu podatkov) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, 51/07 – ZUstS-A; ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

Upoštevajoč določbe ZDR-1 lahko delodajalec osebne podatke delavca obdeluje samo, če ima za to podlago v zakonu ali če je to potrebno zaradi uresničevanja pravic in obveznosti iz delovnega razmerja ali v zvezi z delovnim razmerjem.

Vprašanje nadzora službene elektronske pošte v marsičem presega zgolj vidike varovanja osebnih podatkov, saj gre za širše vprašanje posegov v komunikacijsko zasebnost posameznikov oziroma zaposlenih.

Splošno delodajalec nima pravne podlage za vpogled v vsebino elektronske pošte zaposlenega niti za vpogled v t.i. prometne podatke. Vendar pa delodajalec lahko vnaprej opredeli in pisno obvesti zaposlene, v katerih izrednih primerih in pod katerimi strogimi pogoji ter po kakšnem postopku lahko izjemoma to stori. Takšni razlogi morajo biti taksativni in izjemni, zato bi bilo v takšnih primerih treba presojati vsak primer posebej.

Obrazložitev

IP uvodoma poudarja, da lahko podaja neobvezujoča mnenja in pojasnila, ne sme pa izven konkretnih nadzornih ali drugih upravnih postopkov preverjati primernosti izbrane pravne podlage ali namenov oziroma obsega obdelave osebnih podatkov v konkretnem primeru. IP tako v okviru mnenja ne more presojati ustreznosti konkretnih ravnanj, ki jih navajate v vašem zaprosilu za mnenje, ampak v nadaljevanju podaja splošna pojasnila.

IP splošno pojasnjuje, da mora upravljavec (v konkretnem primeru delodajalec) pred uvedbo posamezne rešitve presoditi dopustnost in sorazmernost obdelav osebnih podatkov, ki bodo obdelovani v njenem okviru. Vsaka obdelava osebnih podatkov mora potekati transparentno in skladno z določbami Splošne uredbe. Ta v prvem odstavku 6. člena določa, da je obdelava osebnih podatkov zakonita le in kolikor je za konkretni namen obdelave izpolnjen eden od naslednjih pogojev:

posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov;

obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe;

obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca;

obdelava je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe;

obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu;

obdelava je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok.

Izbor ustrezne pravne podlage za posamezno obdelavo je obveznost upravljavca (v konkretnem primeru delodajalca), ki mora pri tem upoštevati konkretne okoliščine in namene obdelave. IP splošno pojasnjuje, da glede obdelave osebnih podatkov delavcev veljajo načeloma enaka pravila za delodajalce v zasebnem in javnem sektorju, pri čemer so za ugotavljanje zakonitosti konkretne obdelave pomembni posamezni področni predpisi, zlasti Zakon o delovnih razmerjih (Uradni list RS, št. 21/13, 78/13 – popr., 47/15 – ZZSDT, 33/16 – PZ-F, 52/16, 15/17 – odl. US, 22/19 – ZPosS, 81/19, 203/20 - ZIUPOPDVE, 119/21 - ZČmlS-A, 202/21 - odl. US, 15/22, 54/22 – ZUPŠ-1, 114/23, 136/23 – ZIUZDS; v nadaljevanju: ZDR-1) in Zakon o evidencah na področju dela in socialne varnosti (Uredni list RS, št. 40/06, 50/23). ZDR-1 v 48. členu določa, da se lahko osebni podatki delavcev zbirajo, obdelujejo, uporabljajo in posredujejo tretjim osebam samo, če je to določeno s tem ali drugim zakonom ali če je to potrebno zaradi uresničevanja pravic in obveznosti iz delovnega razmerja ali v zvezi z delovnim razmerjem. Nadalje v tretjem odstavku 48. člena določa, da se morajo osebni podatki delavcev, za zbiranje katerih ne obstoji več zakonska podlaga, takoj zbrisati in prenehati uporabljati.

Upoštevajoč določbe ZDR-1 lahko torej delodajalec osebne podatke delavca obdeluje samo, če ima za to podlago v zakonu ali če je to potrebno zaradi uresničevanja pravic in obveznosti iz delovnega razmerja ali v zvezi z delovnim razmerjem. Pri tem so mišljene pravic in obveznosti obeh, tako delavca kot delodajalca. Delodajalec mora natančno izkazati, zakaj je potrebna takšna obdelava osebnih podatkov delavca. Pri tem mora delodajalec v skladu s 46. členom ZDR-1 varovati in spoštovati delavčevo osebnost ter upoštevati in ščititi delavčevo zasebnost. Delodajalec mora torej paziti tudi na spoštovanje zasebnosti in dostojanstva delavca, odgovornost delodajalca pa narašča z intenzivnostjo posega v zasebnost. Ob tem IP opozarja na načelo najmanjšega obsega podatkov, ki določa, da morajo biti pod pogojem, da obstaja pravna podlaga, osebni podatki, ki se obdelujejo, ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo. Navedeno načelo pomeni, da je potrebno obdelovati samo toliko osebnih podatkov zaposlenih, kolikor je nujno potrebno za izpolnitev namena v konkretnem primeru.

Če okoliščine delovnega razmerja tega ne terjajo oziroma če delodajalec ne izkaže, da je obdelava osebnih podatkov delavca potrebna zaradi uresničevanja pravic in obveznosti iz delovnega razmerja ali v zvezi z delovnim razmerjem, jih načeloma ne sme obdelovati. Ob tem IP izpostavlja tudi, da je obdelava delavčevih osebnih podatkov na podlagi njegove osebne privolitve dopustna le pod pogojem, da njena zavrnitev nima nikakršnih posledic na delovno razmerje oziroma na delavčev pravni položaj. Osebna privolitev v delovnih razmerjih torej je oziroma naj bo bolj izjema kot pravilo, saj je delodajalec v razmerju do delavca močnejša stranka in so možnosti za zlorabo tega instituta v delovnih razmerjih toliko večje. Tudi smernice Delovne skupine po členu 29 glede privolitve kot pravne podlage za obdelavo osebnih podatkov v delovnih razmerjih poudarjajo neprostovoljno naravo razmerja delavec - delodajalec, kar ovira veljavnost privolitve. Temeljni kriterij za dopustnost privolitve v delovnih razmerjih je po mnenju Delovne skupine po členu 29, da podaja ali zavrnitev privolitve za zaposlene nima nikakršnih negativnih posledic. Pri tem je treba upoštevati podrobnejša določila glede pogojev, po katerih se šteje, da je privolitev veljavna, ki so določeni v 7. členu Splošne uredbe o varstvu podatkov. Privolitev posameznika mora biti konkretna, razumljiva izjava ali drugo nedvoumno pritrdilno dejanje in dokazljiva. Molk ali kakršnakoli nedejavnost tako ne pomeni privolitve. Posameznik mora torej jasno podati privolitev za zbiranje in obdelavo svojih osebnih podatkov za konkreten namen. IP poudarja, da mora biti privolitev v primerih, ko obdelava podatkov vključuje več različnih namenov, podana za vsak namen posebej. Namen mora biti jasno in nedvoumno opredeljen, saj je konkreten, ekspliciten in legitimen namen obdelave predpogoj za pridobitev veljavne privolitve. Upravljavec mora biti zmožen dokazati, da je posameznik privolil v obdelavo svojih osebnih podatkov. Posameznik ima tudi pravico, da svojo privolitev kadarkoli prekliče.

Pri izvedbi posameznih postopkov in ukrepov je torej treba vedno upoštevati tudi načelo sorazmernosti in vedno izbrati tisti ukrep, ki najmanj poseže v pravice delavca glede na zasledovani zakoniti cilj. Posameznih ukrepov torej ne bi smeli odrejati, če je mogoče primerljiv učinek doseči z milejšimi ukrepi. Če se na ravni posamezne organizacije (v konkretnem primeru na ravni delodajalca) določen ukrep opredeli kot nujen, potreben in učinkovit, pa ga je treba izvajati na način, ki najmanj posega v zasebnost posameznika in brez prekomerne obdelave osebnih podatkov.

V zvezi z vpogledom v elektronsko pošto zaposlenega IP posebej pojasnjuje, da vprašanje nadzora službene elektronske pošte v marsičem presega zgolj vidike varovanja osebnih podatkov. Gre namreč za širše vprašanje posegov v komunikacijsko zasebnost posameznikov oziroma zaposlenih (35. in 37. člen Ustave RS), katerih varstvo je v Sloveniji zagotovljeno v kazenskem pravu v okviru določb o kršitvi tajnosti občil 139. člena Kazenskega zakonika (KZ-1; Uradni list RS, št. 50/12 - UPB, 6/16 - popr., 54/15, 38/16, 27/17, 23/20, 91/20, 95/21, 186/21, 105/22 – ZZNŠPP, 16/23, 107/24 – odl. US) oziroma v civilnem pravu v okviru določb o zahtevi za prenehanje kršitve osebnostnih pravic 134. člena Obligacijskega zakonika (OZ; Uradni list RS, št. 97/07 - UPB, 64/16 - odl. US, 20/18 - OROZ631) in pripadajočih določb o odškodninski odgovornosti za takšen poseg. Prekomerni poseg v upravičeno pričakovano zasebnost zaposlenih tako torej ne zgolj ogroža zakonitost delodajalčevega konkretnega dejanja (v tem primeru notranje preiskave suma storitve kaznivega dejanja s strani zaposlenih), ampak delodajalca potencialno izpostavlja tudi odškodninski oziroma kazenski odgovornosti. Ob tem IP poudarja, da zakonodaja RS točno določa, kateri (državni) organi so pristojni za odkrivanje, preiskovanje in pregon kaznivih dejanj.

IP ponavlja, da zaposleni tudi na delovnem mestu upravičeno pričakuje določeno stopnjo zasebnosti. Ob tem IP izpostavlja, da mora delodajalec v skladu z 32. členom Splošne uredbe zagotoviti ustrezne tehnične in organizacijske postopke in ukrepe, s katerimi bo preprečil nepooblaščeno obdelavo, uničenje, izgubo ali spremembo osebnih podatkov. V svojih aktih mora predpisati postopke in ukrepe za zavarovanje osebnih podatkov in določiti osebe, ki so odgovorne za posamezne zbirke osebnih podatkov. Upravljavec (v konkretnem primeru delodajalec) mora torej sorazmerno natančno predpisati postopke in ukrepe, s katerimi bo varoval elektronsko pošto zaposlenih (npr. Pravilnik o varnosti osebnih podatkov ali Pravilnik glede uporabe službene elektronske pošte). Uporaba informacijskih tehnologij na delovnem mestu in pravice delodajalca do nadzora njihove rabe v zakonodaji nista izrecno regulirana, zato splošno velja, da je delodajalec dolžan cilj, ki ga zasleduje, podpreti s čim manj invazivnimi in represivnimi ukrepi. Vsaka oblika nadzora, ki pomeni poseg v pravico do zasebnosti, mora biti najprej skladna z ustavnimi določili glede varstva zasebnosti, hkrati pa bodisi vnaprej utemeljena in transparentno predstavljena zaposlenim v internih aktih delodajalca (v kakšnih primerih, na kakšen način in kdo ga lahko izvaja) bodisi imeti zakonsko podlago.

Splošno delodajalec načeloma torej nima pravne podlage za vpogled v vsebino elektronske pošte zaposlenega niti za vpogled v t.i. prometne podatke. Vendar pa delodajalec lahko vnaprej opredeli in pisno obvesti zaposlene, v katerih izrednih primerih in pod katerimi strogimi pogoji ter po kakšnem postopku lahko izjemoma to stori. Seveda morajo biti takšni razlogi taksativni in izjemni, zato bi bilo v takšnih primerih treba presojati vsak primer posebej. Zaposleni morajo biti o obdelavi osebnih podatkov tudi ustrezno obveščeni v skladu s 13. in 14. členom Splošne uredbe. Predhodna obveščenost zaposlenih pa sama po sebi še ne pomeni, da je nadzor nad službenimi sredstvi dopusten in je tako potrebni, ne pa nujno tudi zadostni pogoj za zakonitost nadzora uporabe delovnih sredstev, ki vključuje obdelavo osebnih in/ali komunikacijskih podatkov. Bistveno je tudi, da je nadzor oziroma vpogled naprav oziroma sredstev dopusten le izjemoma v primeru, ko se namenov, zaradi katerih se pregled opravi, ne more doseči na drug, milejši način, torej z manjšim posegom v zasebnost zaposlenega. Ob tem IP znova opozarja na načelo najmanjšega obsega podatkov, ki določa, da morajo biti pod pogojem, da obstaja pravna podlaga, osebni podatki, ki se obdelujejo, ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo. Navedeno načelo pomeni, da je potrebno obdelovati samo toliko osebnih podatkov, kolikor je nujno potrebno za dosego zakonitega namena obdelave.

Tako tudi vpogled v elektronsko pošto zaposlenega sam po sebi ni eksplicitno prepovedan, vendar je ob tem vsekakor treba upoštevati predpisane interne postopke in ukrepe za zavarovanje, ki veljajo v posamezni organizaciji, katerih pa, kot omenjeno, IP ne more presojati izven nadzornega ali drugega upravnega postopka.

Nadalje IP ponovno poudarja, da je varovanje tajnosti komunikacij določeno že z ustavo in se vanjo načeloma lahko posega le na podlagi sodne odredbe. Navedeno je treba upoštevati tudi pri zavarovanju in preiskavi elektronske pošte in morebitnih ostalih virov podatkov.

IP pojasnjuje tudi, da se je glede posameznih vprašanj v vašem zaprosilu za mnenje v preteklosti že opredeljeval (posamezne dele nekaterih takih mnenj ste tudi navedli v vašem zaprosilu za mnenje). Iz teh mnenj izhaja, da je vpogled v elektronski predal zaposlenega brez njegove vednosti lahko dopusten zgolj v skrajno izjemnih okoliščinah, ko se namenov, zaradi katerih se pregled opravi, ne more doseči na drug, milejši način (torej v primeru, ko zakoniti interes delodajalca očitno prevlada nad interesi posameznikov, na katere se osebni podatki nanašajo). Najustreznejši način za vpogled v elektronski predal je vezan na pridobitev sodne odredbe. Takšni primeri dopustnega vpogleda so zelo redki in izjemni (npr. realno grozeča poslovna škoda zaradi nezmožnosti pridobitve podatka, ki se nahaja v predalu dolgotrajno odsotnega delavca). IP poudarja, da bi bilo tudi v izjemnih primerih najprimerneje vpogled v elektronsko pošto, zaposlenega dopustiti le do ravni t.i. prometnih podatkov, v vsebino pa vpogledovati zgolj na podlagi odredbe sodišča. Izjemne okoliščine, ko je dopusten vpogled brez vednosti zaposlenega, mora biti sposoben izkazati delodajalec, vpogled pa mora biti praviloma predviden tudi v internih aktih delodajalca, s katerimi morajo biti zaposleni seznanjeni.

IP pojasnjuje, da pogoji, predstavljeni v prejšnjih odstavkih tega mnenja, povsem enako veljajo tudi za vpogled v elektronsko pošto zaposlenih v odvisnih družbah. Ob tem IP dodaja, da uvodna določba št. 48 Splošne uredbe določa, da imajo upravljavci, ki so del povezane družbe ali institucij, povezanih z osrednjim telesom, lahko zakoniti interes za posredovanje osebnih podatkov znotraj povezane družbe v notranje upravne namene, vključno z obdelavo osebnih podatkov strank ali zaposlenih.

Glede revizije IP pojasnjuje, da ZRev-2 v prvem odstavku 37. člena določa, da mora poslovodstvo pravne osebe, pri kateri poteka revidiranje, revizijski družbi posredovati vso zahtevano dokumentacijo in ji omogočiti vpogled v poslovne knjige, spise in računalniške zapise. Odločitev o tem, katera dokumentacija in s tem kateri osebni podatki bodo predmet revizije, je tako v pristojnosti revizijske družbe. Dostop do omenjene dokumentacije in s tem tudi do osebnih podatkov (tudi zaposlenih) omogoča nadaljnjo obdelavo, ki je potrebna za izvedbo revizijske storitve. IP ob tem dodaja, da ZRev-2 v prvem odstavku 38. člena določa, da mora revizijska družba kot zaupne varovati vse podatke, dejstva in okoliščine, za katere je izvedla pri opravljanju revidiranja. Nadalje v prvem odstavku 44. člena določa, da mora revizijska družba revidiranje v pravni osebi opravljati neodvisno, nepristransko ter v skladu s pravili revidiranja.

IP sklepno ponavlja, da v okviru neobvezujočega mnenja ne more presojati ustreznosti posameznih rešitev oziroma ravnanja posameznih zavezancev, ampak to lahko presoja le v okviru konkretnega nadzornega oziroma drugega upravnega postopka, ko so znane vse konkretne okoliščine posameznega primera. Presoja glede zakonitosti obdelave oziroma obstoja pravne podlage za posamezno obdelavo je primarno vedno na upravljavcu osebnih podatkov. Upravljavec (v konkretnem primeru delodajalec) je torej v vsakem posameznem primeru odgovoren za zakonitost ter sorazmernost obdelav osebnih podatkov, ki jih izvaja. IP pa sklepno povzema, da v kolikor za obdelavo osebnih podatkov zaposlenega ne bi bila podana nobena od v tem mnenju navedenih pravnih podlag, morebitna obdelava njegovih osebnih podatkov ne bi bila zakonita.

IP sklepno dodaja, da je o vprašanjih glede relacije delodajalec - zaposleni obširno pisal v smernicah Varstvo osebnih podatkov v delovnih razmerjih. Smernice so dostopne na spletni strani IP:

https://www.ip-rs.si/fileadmin/user_upload/Pdf/smernice/Smernice_-_Varstvo_OP_v_delovnih_razmerjih_verzija_1.1_koncna.pdf

Lepo vas pozdravljamo.

Pripravil:Pripravil

Matej Sironič, Svetovalec pooblaščenca za varstvo osebnih podatkov

dr. Jelena Virant Burnik, Informacijska pooblaščenka