3. 11. 2015

Sodišča in Informacijski pooblaščenec so si enotni: Vpogled v elektronsko pošto nekdanjega zaposlenega je nezakonit!

Delavci na delovnem mestu upravičeno pričakujejo določeno zasebnost. Čeprav ima delodajalec kot lastnik delovnih sredstev (računalnika, mobilnih telefonov) sicer pravico do nadzora nad njihovo uporabo, kot tudi pravico do odkrivanja in preprečevanja disciplinskih prekrškov svojih zaposlenih, Informacijski pooblaščenec meni, da je poseg v zasebnost delavcev na delovnem mestu dopusten le, kadar je tak ukrep zakonit in sorazmeren s ciljem, ki ga zasleduje delodajalec. Zakon ne daje pravne podlage za obdelavo vseh delavčevih osebnih podatkov brez njegovega soglasja.


Tako delodajalci ne morejo trditi, da je na primer nadzor dostopa do spletnih strani ali vpogled v elektronsko pošto zaposlenih upravičen že iz razloga, ker so delavcem izrecno naročili, da službenih sredstev in/ali elektronskih naslovov ne smejo uporabljati v zasebne namene. Informacijski pooblaščenec meni, da takega navodila dejansko ni mogoče izvršiti, še posebej, če da delodajalec v uporabo delavcem lasten računalnik in individualizirano elektronsko pošto (npr.: ime.priimek@podjetje.končnica). Narava komunikacije v današnjem svetu je takšna, da komuniciramo ves čas, pri čemer ne ločujemo strogo med službeno in zasebno komunikacijo, prav tako pa ne moremo preprečiti, da nam kdo tretji ne bi pošiljal zasebne pošte na službeni poštni naslov (ki je pogosto javno dostopen ali enostavno ugotovljiv).


Vprašanje vpogleda v e-pošto nekdanjih zaposlenih je pred kratkim dobilo tudi sodni epilog. Pred Okrajnim sodiščem v Ljubljani je potekal spor o zakonitosti preusmeritve elektronske pošte in uporabe službenega elektronskega naslova nekdanjega zaposlenega po prenehanju delovnega razmerja. V prekrškovnem postopku je Informacijski pooblaščenec tovrstno ravnanje delodajalca označil za nezakonito ter delodajalca in njegovi odgovorni osebi skladno z Zakonom o varstvu osebnih podatkov (ZVOP-1) kaznoval za prekršek (tako so poročali tudi številni mediji (RTV SLO, 24 ur). Delodajalec je v sodnem postopku zatrjeval, da je bila preusmeritev elektronske pošte nekdanje delavke nujno potrebna za zagotovitev kontinuitete dela in poslovne komunikacije s strankami in kupci delodajalca. Po mnenju sodišča, ki je pritrdilo stališču Informacijskega pooblaščenca, niti strinjanje nekdanje zaposlene z obdelavo njenih osebnih podatkov (v konkretnem primeru e-poštnega predala oz. naslova) ne bi zadoščalo za zakonito obdelavo, saj je delodajalec v primeru preusmeritve obdeloval tudi osebne podatke pošiljateljev sporočil na njen e-naslov, ki pa niso dali soglasja za tako obdelavo in so pričakovali, da bo njihovo pošto prejela nekdanja zaposlena.


Ob branju zgornje, dokaj široke, interpretacije Okrajnega sodišča v Ljubljani se postavlja vprašanje, kako na zakonit način zagotoviti kontinuiteto dela v primeru odhoda delavca ali v drugih nujnih primerih (npr. dolgotrajna odsotnost ali celo smrt delavca)?


Splošno pravilo je, da mora biti vsak poseg v komunikacijsko zasebnost sorazmeren. To pomeni, da če delodajalec svoj cilj lahko doseže na drug, manj invaziven način, mora tako milejše sredstvo tudi uporabiti. V primeru prenehanja delovnega razmerja ali smrti delavca je zato pravilno, da delodajalec elektronski naslov nekdanjega zaposlenega ukine ter obenem poskrbi za samodejni odziv (t. i. out-of-office reply), ki bo pošiljatelje obveščal, da je oseba zapustila družbo in kateri kontaktni osebi lahko namesto tega pošljejo sporočilo. S poslovnega stališča je priporočljivo napisati tudi, da elektronska pošta ne bo preposlana drugemu naslovniku.


Ena od možnosti, ki smiselno izhaja iz zgoraj navedene interpretacije, je tudi uporaba generičnih e-naslovov, ki jih hkrati uporablja več zaposlenih (na primer prodaja@podjetje.končnica, tajništvo@podjetje.končnica). V takem primeru namreč sam e-naslov ne predstavlja osebnega podatka in je njegova uporaba jasno omejena na službene vsebine, do njega pa lahko dostopa več zaposlenih. V tem primeru je jasno, da delavec ne more pričakovati zasebnosti takšne komunikacije, saj ne gre za individualiziran naslov. 


V primeru zaposlenih delavcev je privolitev delavca veljavna pravna podlaga za obdelavo njihovih osebnih podatkov. Zgolj izjemoma bi bilo možno vpogledati v osebne podatke tudi brez privolitve delavca, in sicer če bi šlo za prometne podatke, do katerih mora imeti delodajalec dostop zaradi zaščite lastnine ali poslovnih interesov, ter če je delavca s tako možnostjo seznanil že vnaprej (Mnenje IP št. 0712-516/2006/2 z 9. 1. 2007).


Če želi delodajalec nadzorovati delavčev dostop do spletnih strani ali vpogledati v e-pošto zaposlenega, mora za tako ravnanje vedno pridobiti pisno privolitev delavca, ki mora biti dana vnaprej in prostovoljna (ne sme biti torej izsiljena). Ker je vpogled v osebne podatke lahko le skrajno sredstvo, je veljavnost izjave odvisna tudi od tega, kakšno pravico delodajalec pri tem zasleduje in ali bi lahko svoj cilj uresničil tudi kako drugače. Prav zato je treba biti pri pridobivanju delavčeve izjave predviden in natančen. Nadalje mora biti delodajalec, kljub pridobljeni delavčevi privolitvi, pazljiv tudi pri samem vpogledu v podatke. Informacijski pooblaščenec namreč zastopa stališče, da lahko delodajalec vpogleda v prometne podatke in vsebino sporočil le ob prisotnosti delavca, sam pa le takrat, kadar je delavec izrecno izjavil, da v službenem elektronskem predalu nima zasebnih pisanj in mu je bila dana možnost, da jih izloči. To torej pomeni, da mora biti zaposlenemu pred načrtovanim vpogledom v podatke ali pred prekinitvijo delovnega razmerja dana možnost, da vpogleda v svoje osebne podatke in svoj predal elektronske pošte ter vsebino, ki se nanaša na njegovo zasebnost (osebne podatke), po lastni presoji izbriše oziroma shrani na drug podatkovni medij oz. jih drugače označi kot zasebne.


Opozarjamo še na to, da lahko delavec odkloni soglasje oziroma kadarkoli zahteva prenehanje uporabe svojih osebnih podatkov. Tako odločitev delavca je treba spoštovati ter prenehati z obdelavo njegovih osebnih podatkov, na zahtevo delavca pa mora delodajalec zbrane podatke tudi blokirati, izbrisati in trajno uničiti. Odklonitev ali preklic ne sme imeti za posledico odpoved delovnega razmerja delavcu ali drugih delovnopravnih sankcij. Če delavec za vpogled v e-pošto ni dal privolitve, lahko delodajalec podatke poskuša pridobiti na drug način (npr. zaslišanje prič, pridobitev e-sporočil s strani pošiljateljev sporočil ipd.). Delovne naprave lahko tudi zaseže, vendar mora za zakonit vpogled v podatke pridobiti pisno odredbo za preiskavo takih nosilcev podatkov s strani pristojnega sodišča.


V luči zgoraj navedenega je torej ključno, da se delodajalec morebitnega vpogleda v e-pošto zaposlenega loti upoštevajoč opisane zakonske omejitve. Informacijski pooblaščenec namreč lahko za nezakonite preusmeritve e-pošte zaposlenih ali nekdanjih delavcev delodajalcu izreče denarno kazen v vrednosti do 4.170 EUR, odgovorni osebi v družbi pa v vrednosti do 830 EUR. Ob tem velja še poudariti, da se na ravni EU pripravlja nova uredba o varstvu podatkov, ki med drugim predvideva bistveno strožje kazni, pri čemer bodo lahko kazni za najstrožje prekrške (kot je obdelovanje občutljivih osebnih podatkov brez privolitve ali zakonske podlage) dosegle vratolomne zneske (v predlogu uredbe je govora o zneskih do 1 milijona EUR ali do 2 % globalnega letnega prometa družbe).

<< Nazaj na seznam