Pošiljanje OP po navadni pošti

Datum

18.02.2025

Številka

07121-1/2025/180

Kategorije

Telekomunikacije in pošta, Varnost osebnih podatkov

Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaše zaprosilo za mnenje glede pošiljanja osebnih podatkov po navadni pošti.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22; v nadaljevanju: ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, 51/07 – ZUstS-A; ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

Ob  vsakršni obdelavi osebnih podatkov (tudi pri posredovanju oziroma prenosu) mora upravljavec poskrbeti za ustrezno zavarovanje osebnih podatkov, pri čemer IP opozarja, da je izbor primernih tehničnih in organizacijskih ukrepov za zavarovanje osebnih podatkov odgovornost upravljavca osebnih podatkov.

Nepooblaščeno odpiranje poštnih pošiljk, naslovljenih na druge osebe, v skladu s prvim odstavkom 139. člena Kazenskega zakonika predstavlja kaznivo dejanje kršitve tajnosti občil.

Obrazložitev

IP uvodoma poudarja, da lahko podaja neobvezujoča mnenja in pojasnila, ne sme pa izven konkretnih nadzornih ali drugih upravnih postopkov preverjati primernosti izbrane pravne podlage ali namenov oziroma obsega obdelave osebnih podatkov v konkretnem primeru. IP tako ne nudi storitve pregleda različnih rešitev, ki jih uporabljajo posamezni upravljavci, z vidika njihove skladnosti z veljavnimi predpisi.

IP uvodoma poudarja tudi, da je tajnost pisem in drugih občil zagotovljeno s 37. členom Ustave RS (Ustava RS; Uradni list RS, št. 33/91-I, s spremembami in dopolnitvami). Ob tem IP opozarja, da je pristojen le za tisti del pravice do zasebnosti, ki se nanaša na varstvo osebnih podatkov in ga ureja 38. člen Ustave Republike Slovenije.

Nadalje IP splošno pojasnjuje, da je za zakonito obdelavo osebnih podatkov treba imeti ustrezno pravno podlago. Splošna uredba o varstvu podatkov določa pravne podlage v prvem odstavku 6. člena, kjer določa, da je obdelava zakonita le in kolikor je izpolnjen vsaj eden od naslednjih pogojev:

(a) posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov;

(b) obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe;

(c) obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca;

(d) obdelava je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe;

(e) obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu;

(f) obdelava je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok.

Za vsako obdelavo osebnih podatkov mora torej obstajati pravna podlaga. Področni zakon, ki ureja (tudi) pogoje in postopek za izvajanje poštnih storitev, je Zakon o poštnih storitvah (ZPSto-2; Uradni list RS, št. 51/09, 77/10, 40/14 - ZIN-B, 81/15). Ta v 53. členu določa, da morajo izvajalci poštnih storitev varovati zaupnost poštnih pošiljk v skladu z zakonom, ki ureja varstvo osebnih podatkov. Nadalje določa, da izvajalci poštnih storitev ne smejo pridobivati informacij o vsebini poštnih pošiljk ter podatkov o okoliščinah in dejstvih poštnega prometa. Če morajo izvajalci poštnih storitev pridobiti podatke o dejstvih ali okoliščinah, povezanih s prenesenimi poštnimi pošiljkami zaradi samega izvajanja poštnih storitev ter reševanja reklamacij in pritožb, jih lahko pridobijo le v takem obsegu in za toliko časa, kot je potrebno za izvajanje poštnih storitev, reševanje reklamacij in pritožb. Pravne in fizične osebe, ki so izvajale poštne storitve, morajo varovati zaupnost poštnih pošiljk tudi po koncu dejavnosti, v okviru katere so jo bile dolžne varovati. Izvajalci poštnih storitev morajo vzpostaviti tudi ustrezne sisteme za preprečevanje posegov v zaupnost poštnih pošiljk. Navedeni 53. člen ZPSto-2 sicer v petem odstavku določa, da se lahko ne glede na navedene določbe odstopi od dolžnosti varovanja zaupnosti poštnih pošiljk v skladu s 55. členom ZPSto-2, vendar na podlagi navedb v vašem zaprosilu za mnenje IP sklepa, da v konkretnem primeru po vsej verjetnosti ne gre za tak primer (zakoniti nadzor zaradi uvedbe ali poteka kazenskega postopka ali varnosti države).

Ob  vsakršni obdelavi osebnih podatkov (tudi pri posredovanju oziroma prenosu) mora sicer upravljavec (v konkretnem primeru banka) poskrbeti za ustrezno zavarovanje osebnih podatkov, pri čemer IP opozarja, da je izbor primernih tehničnih in organizacijskih ukrepov za zavarovanje osebnih podatkov odgovornost upravljavca osebnih podatkov. IP lahko glede tega poda zgolj splošna priporočila, ob tem pa opozarja tudi na določbe 32. člena Splošne uredbe, ki primeroma navaja ukrepe, s katerimi se zagotavlja varnost osebnih podatkov.

Upravljavec mora torej poskrbeti za ustrezno varnost pri pošiljanju osebnih podatkov in zagotoviti, da se lahko z njimi seznani samo ustrezen prejemnik. Ukrepi za zagotavljanje varnosti morajo biti prilagojeni naravi oziroma občutljivosti osebnih podatkov, ki so predmet pošiljanja. Vsekakor je priporočljivo, da se posebne vrste osebnih podatkov oziroma posebej občutljivi osebni podatki pošiljajo (najmanj) na priporočen način, ob tem pa IP ponovno poudarja, da je presoja in odgovornost za zakonitost in primernost obdelave osebnih podatkov vedno na upravljavcu.

IP sklepno dodaja še, da je možnost, da bi se nepooblaščene osebe seznanile z vsebino pisanja, ki ni vročeno osebno ali poslano priporočeno, sicer res večja, vendar pa tudi na takšen način poslano pisanje uživa varstvo, saj nepooblaščeno odpiranje poštnih pošiljk, naslovljenih na druge osebe, v skladu s prvim odstavkom 139. člena Kazenskega zakonika (Uradni list RS, št. 50/12 – UPB, s spremembami in dopolnitvami) predstavlja kaznivo dejanje kršitve tajnosti občil.

Lepo vas pozdravljamo.

Pripravil

Matej Sironič, Svetovalec pooblaščenca I

dr. Jelena Virant Burnik, Informacijska pooblaščenka