Številka: 0612-76/2018/15
Datum: 27. 9. 2021
Informacijski pooblaščenec (v nadaljevanju IP) izdaja po državnem nadzorniku za varstvo osebnih podatkov _______ na podlagi 2. in 8. člena Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZustS-A, v nadaljevanju: ZInfP), 37. in 54. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1 in 177/20, v nadaljevanju: ZVOP-1), petega odstavka 29. in prvega odstavka 32. člena Zakona o inšpekcijskem nadzoru (Uradni list RS, št. 43/07 – UPB1 in 40/14, v nadaljevanju: ZIN), ter členov 57(1) in 58(2) Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov, v nadaljevanju: Splošna uredba), v postopku inšpekcijskega nadzora pri zavezancu ______________________ (v nadaljevanju: zavezanec), po uradni dolžnosti naslednjo
ODLOČBO
• Zavezanec mora v roku 45 dni od vročitve te odločbe zagotoviti izvajanje postopkov in ukrepov varnosti oziroma zavarovanja osebnih podatkov, s katerimi bo z vzpostavitvijo posebnih predalov elektronske pošte ali na drug primeren način zagotovil, da bodo na posamezni _____ enoti do predalov elektronske pošte, na katere te s strani drugih _______ enot prejemajo osebne podatke zaposlenih, ki se nanašajo na njihovo delovno razmerje pri zavezancu oziroma dokumente s takimi podatki (delovno-pravne zadeve), lahko dostopali samo tisti uslužbenci zavezanca, ki se s temi podatki lahko seznanjajo zaradi opravljanja njihovih delovnih nalog in jih zavezanec kot delodajalec za tak dostop tudi posebej pooblasti, kot je to določeno v 48. členu ZDR-1.
• Zavezanec mora o izvršenih ukrepih iz 1. točke izreka te odločbe v roku 5 dni po izvršitvi pisno obvestiti IP in predložiti dokaze o tem.
• V tem postopku posebni stroški niso nastali.
Obrazložitev:
I. Ugotovitve IP ter pojasnila in stališča zavezanca
IP je pri zavezancu začel postopek inšpekcijskega nadzora, ko je prejel prijavo, v kateri je prijavitelj navajal, da je _____________ dne 16. 2. 2018 na ___________ po elektronski pošti poslala dokument ___________, tožba zaradi izplačila odškodnine, zaprosilo za opredelitev« (v nadaljevanju Zaprosilo). Kot priloga navedenega dokumenta naj bi bila posredovana tudi tožba posameznice zoper zavezanca, kot delodajalca in vse priloge, ki pa naj bi vsebovale večje število občutljivih osebnih podatkov posameznice (zdravstveni izvidi, podatki o zdravstvenem stanju, podatki o predpisanih terapijah,itd.). Navedeni dokument naj bi bil s strani __________ poslan na glavne predale _________, pri čemer pa naj osebni podatki pri pošiljanju ne bi bili ustrezno zavarovani, skladno z določbami ZVOP-1. Posledično naj bi to pomenilo, da so se z dokumentom in prilogami (vključno s tistimi, ki vsebujejo osebne podatke) lahko seznanili vsi _________ navedenih enot, ki imajo dostop do elektronske pošte enote.
Zavezanec je v svojem odgovoru na poziv IP z dne 13. 6. 2018 potrdil pošiljanje Zaprosila in pripadajočih prilog in v zvezi s tem navedel, da je ________- dne 16. 2. 2018 po elektronski pošti, s funkcijo pošiljanja iz zbirke dokumentarnega gradiva ____, na __________ poslala Zaprosilo - dopis, št. _________, ki mu je bila priložena kopija tožbe (kopije obeh dokumentov je zavezanec tudi posredoval IP). Dokumenta naj bi zavezanec obema __________ poslal zaradi pridobitve podatkov, potrebnih za odgovor na tožbo ________. To naj bi bilo potrebno zaradi uveljavljanja ali nasprotovanja pravnemu zahtevku. Priložena tožba naj bi vsebovala tudi občutljive osebne podatke, tj. zdravstvene podatke _______. V zvezi s prenosom podatkov je zavezanec navedel, da so bili ti poslani elektronsko, znotraj informacijsko–telekomunikacijskega sistema _______, ki naj bi bil avtonomen in neodvisen od drugih komunikacijskih poti in da je bil dokument elektronsko podpisan. Dokument in priloga naj ne bi bila posebej označena, da vsebujeta občutljive osebne podatke. Uslužbencem zavezanca naj bi bili dodeljeni varnostni profili glede na njihove delovne naloge, pri čemer naj bi se jim določil dostop do najmanjšega obsega podatkov, ki jih potrebujejo za opravljanje svojih delovnih nalog. Večina dokumentov, ki jih zavezanec izmenjuje med _____ enotami in drugimi organi, naj bi vsebovala občutljive osebne podatke, kar naj bi bilo razvidno že iz naslova dokumenta (__________). Pri zavezancu naj ne bi posebej označevali dokumentov, ki vsebujejo občutljive osebne podatke, saj naj bi jih obravnavali kot varovane podatke. Zavezanec je navedel, da je Zaprosilo na __________, po elektronski pošti zavezanca v poštni predal sprejel in natisnil vodja ____ ter ga nato odložil v mapo sprejete pošte. Z dokumentom bi se lahko seznanili vsi, ki imajo v predalu Elektronske pošte ____ nivo dostopa ________ ali ________. Na ________ naj bi Zaprosilo po elektronski pošti zavezanca v poštni predal sprejel dežurni _____ in ga natisnil ter odložil v mapo sprejete pošte. Zavezanec naj za poslane dokumente ne bi mogel ugotoviti, kdo jih je odpiral in natisnil. V elektronski pošti ____ naj bi bila možnost seznanitve s podatki v dokumentu, ki je bil poslan iz _____, primerljiva z dokumenti, ki jih dobijo v fizični obliki in se z njimi lahko seznanijo tisti, ki imajo tudi sicer možnost obdelave pošte oziroma dokumentov. Zavezanec naj bi imel organizacijske in logično-tehnične postopke ter ukrepe za varovanje svojih varovanih podatkov urejene s Pravilnikom ___________-.
V svojem odgovoru na poziv IP z dne 23. 7. 2019 je zavezanec navedel, da so podatke v obravnavanem primeru obdelovali le tisti njegovi uslužbenci, ki so jih morali zaradi upravljanja dokumentarnega gradiva in prevzemanja oziroma sprejemanja pošte (odpiranja pošte v fizični in elektronski obliki) ter evidentiranja dokumentov in priprave ustreznega odgovora. Pri tem naj bi bile upoštevane določbe ______, ________, ____ in __________. Pri preverjanju pravic uporabnikov naj bi ugotovili, da so te omejene na podatke, ki jih potrebujejo za izvajanje delovnih nalog, v skladu z njihovimi pooblastili. Pravice uslužbencev v ____ enotah naj bi bile urejene tako, da ne omogočajo razkritja podatkov nepoklicanim osebam, skladno z določili 18. člena Pravilnika. Zavezanec naj ne bi imel ločenih vhodnih in izhodnih poti, enih za zahtevke, ki so vezani na naloge _______ in druge za npr. urejanje kadrovskih zadev. Različna področja naj bi reševali skladno s klasifikacijskim načrtom, ki je enoten za javno upravo. Vse osebe, ki imajo sicer pravico vpogleda v elektronski predal ___________ enote, naj se z občutljivimi osebnimi podatki posameznice ne bi seznanjali. Pravica uslužbenca, da skladno s profilom obdeluje podatke (npr. v elektronskem predalu ______ enote) naj ne bi bila absolutna in naj bi bila povezana z nalogo, ki jo uslužbenec ________ mora opraviti. Zavezanec je navedel, da meni, da je neutemeljeno sklepanje, da so se lahko uslužbenci ____ seznanili z občutljivimi osebnimi podatki posameznice samo zato, ker so na podlagi varnostnega profila lahko obdelovali podatke v elektronski pošti ali ker so bili v času v prostoru, kjer je ______ enota hranila dokumente v fizični obliki (natisnjeni). Zavezanec je navedel še, da lahko, ne glede na obliko podatkov (elektronska ali fizična), uslužbenci obdelujejo samo tiste podatke, ki jih potrebujejo za opravljanje svojih nalog.
V svojih dodatnih pojasnilih, ki jih je zavezanec na IP podal dne 3. 12. 2020, je zavezanec navedel, da njegovi uslužbenci predale elektronske pošte uporabljajo predvsem za oblikovanje sporočil in ne pregled vhode elektronske pošte. Uporabljali naj bi jih za oblikovanje dokumentov v povezavi z opravljanjem ______ nalog in svojih _______ pooblastil. Hipotetično naj bi obstajala možnost, da bi kdo od uslužbencev, ki imajo možnost obdelave podatkov v elektronskem predalu _______ enote, obdeloval sporne podatke, vendar naj bi, v skladu z navedenim v prejšnjih pojasnilih, s spornim dokumentom, v katerem so bili občutljivi podatki uslužbenke, ravnali le uslužbenci, ki so to morali storiti. Skladno s 3. točko prvega odstavka 3. člena Pravilnika _______ naj bi v elektronski pošti zavezanca zagotavljali hrambo prometnih podatkov o elektronskih sporočilih. Zavezanec je navedel, da imajo s sledljivostjo sporočil, ki so poslana s pomočjo funkcij v zbirki dokumentarnega gradiva __ težave, saj naj takšnega sporočila sistem ne bi prepoznaval pravilno. Pri zavezancu naj bi v času podaje odgovora prenavljali sistem ravnanja z dokumentarnim gradivom, s katerim naj bi uredili tudi ustrezne revizijske sledi in pravice pri obdelavi podatkov v dokumentih v zbirki dokumentarnega gradiva. V zvezi z dostopanjem do elektronske pošte, ki je bila navedena v prijavi in v njej posredovanjih dokumentov z osebnimi podatki posameznice, je zavezanec navedel, da na podlagi zbranih podatkov ne obstajajo indici, ki bi predstavljali razlog za sum, da je kdo izmed uslužbencev zavezanca podatke posameznice obdeloval nezakonito. ____ naj bi poslovanje z dokumentarnim gradivom določalo z Navodilom _______. Pri zavezancu naj bi uporabljali dva sistema upravljanja z dokumentarnim gradivom, in sicer _____ in ____. ______ naj bi omogočal hrambo dokumentov v elektronski obliki, _______ pa naj bi imel v modulu upravljanja z dokumentarnim gradivom le funkcijo evidentiranja podatkov o dokumentu, številka, pošiljatelj, naslovnik, naslov itd.
IP je zavezanca dne 31. 8. 2021 pisno seznanil s svojimi ugotovitvami v predmetnem inšpekcijskem postopku in ukrepi, ki jih bo moral glede na te ugotovitve v postopku sprejeti ter mu dal možnost, da se opredeli do vseh ugotovljenih dejstev in okoliščin v postopku. Zavezanec je v svojem odgovoru na seznanitev in poziv navedel, da je sistem elektronske pošte ____-, ki ga uporablja zavezanec, potreben ustrezne (uporabniške in varnostne) prenove oziroma nadgradnje. Ker naj bi bil za sistemsko ureditev področja potreben daljši čas in ustrezna sredstva (kadrovska, finančna), naj bi bila trenutno edina in v razumnem roku izvedljiva »ad hoc« rešitev uvedbe dodatnih elektronskih predalov, ki bi bili namenjeni za medsebojno komunikacijo vodstev _____ (v nadaljevanju ___) z vodstvom ___ in notranje organizacijskih enot __________ ter pošiljanje osebnih podatkov svojih zaposlenih oziroma dokumente s takšnimi osebnimi podatki, ki se nanašajo na njihovo delovno razmerje pri zavezancu oziroma se nanašajo na področje delovno pravnih zadev, s čimer bi preprečili neupravičeno obdelavo osebnih podatkov znotraj ______ na glavnih predalih ____, do katerega običajno (zaradi izvajanja svojih ___ nalog) dostopa večje število uslužbencev posamezne ____ enote. Glede na to, da naj bi imeli nekateri direktorji in službe direktorjev _______ v uporabi že posebne elektronske predale, ki so ločeni od glavnih elektronskih predalov enot, naj bi zavezanec ustvaril dodatne ločene elektronske predale za vodstva _____, pri čemer naj bi vsak vodja enote v skladu z 48. členom Zakona o delovnih razmerjih (v nadaljevanju: ZDR-1) določil vodstvene uslužbence, ki bodo pooblaščeni za dostop do elektronskega predala vodstva ___. S tem naj bi bila pri pošiljanju osebnih podatkov po elektronski pošti dodatno omejena obdelava osebnih podatkov le na uslužbence, ki so za to pooblaščeni, s tem pa bi pri zavezancu zagotovili ustreznejše varovanje osebnih podatkov in predvsem preprečili možnost, da bi osebne podatke (predvsem posebne vrste osebnih podatkov) obdelovali uslužbenci, ki so za to, niso pooblaščeni. ______ naj bi do zdaj (poleg ločenih elektronskih predalov direktorjev in služb direktorjev) tehnično že pripravil ločene elektronske predale »vodja/vodstvo« za _________ (18) in ___________ (18), postopoma, v skladu s tehničnimi in finančnimi zmožnostmi zavezanca (pridobitev dodatnih kapacitet za hrambo podatkov na strežniku, kjer deluje _______), pa naj bi ____ izdelal in uvedel tudi dodatne elektronske predale »vodja/vodstvo« za enote ________. ____ naj bi v nadaljevanju (v sodelovanju s __________) pripravil tudi tehnična navodila in nove usmeritve enotam, ki bodo podrobneje določale način pošiljanje osebnih podatkov po elektronski pošti, ki jih zaposleni obdelujejo za namen opravljanja ______ nalog (glavni predal enote) in pošiljanje osebnih podatkov, ki jih zavezanec obdeluje na podlagi ZDR-1 (dodatni predal vodja/vodstvo). Obenem naj bi bil v skladu s tehničnimi navodili določen nov način pošiljanja elektronske pošte na dodatne elektronske predale, s katerim naj bi bila za vse elektronske predale vzpostavljena tudi evidenca obdelav osebnih podatkov (journal) za odpiranje in tiskanje posamezne elektronske pošte in priponk.
II. Navedba določb predpisov, na katere se opira odločba
Varstvo osebnih podatkov je ustavna pravica posameznika, saj Ustava Republike Slovenije (Uradni list RS, št. 33/91-I, 42/97 – UZS68, 66/00 – UZ80, 24/03 – UZ3a, 47, 68, 69/04 – UZ14, 69/04 – UZ43, 69/04 – UZ50, 68/06 – UZ121,140,143, 47/13 – UZ148, 47/13 – UZ90,97,99 in 75/16 – UZ70a, v nadaljevanju Ustava) v 38. členu določa, da je zagotovljeno varstvo osebnih podatkov in da je prepovedana uporaba osebnih podatkov v nasprotju z namenom njihovega zbiranja. Zbiranje, obdelovanje, namen uporabe, nadzor in varstvo tajnosti osebnih podatkov določa zakon.
V skladu s 1. točko 4. člena Splošne uredbe pomeni osebni podatek katero koli informacijo v zvezi z določenim ali določljivim posameznikom; določljiv posameznik je tisti, ki ga je mogoče neposredno ali posredno določiti, zlasti z navedbo identifikatorja, kot je ime, identifikacijska številka, podatki o lokaciji, spletni identifikator, ali z navedbo enega ali več dejavnikov, ki so značilni za fizično, fiziološko, genetsko, duševno, gospodarsko, kulturno ali družbeno identiteto tega posameznika.
V točki f) prvega odstavka 5. člena Splošne uredbe je kot eno od temeljnih načel varstva osebnih podatkov vzpostavljeno načelo celovitosti in zaupnosti, ki določa, da se morajo osebni podatki obdelovati na način, ki zagotavlja ustrezno varnost osebnih podatkov, vključno z zaščito pred nedovoljeno ali nezakonito obdelavo z ustreznimi tehničnimi ali organizacijskimi ukrepi. Drugi odstavek 5. člena Splošne uredbe pa določa, da je upravljavec odgovoren za skladnost obdelave osebnih podatkov s temeljnimi načeli, kot jih določa Splošna uredba in da mora biti to skladnost tudi zmožen dokazati. Prvi odstavek 32. člena Splošne uredbe določa, da mora upravljavec, ob upoštevanju najnovejšega tehnološkega razvoja in stroškov izvajanja ter narave, obsega, okoliščin in namenov obdelave, pa tudi tveganj za pravice in svoboščine posameznikov, ki se razlikujejo po verjetnosti in resnosti, z izvajanjem ustreznih tehničnih in organizacijskimi ukrepov zagotoviti ustrezno raven varnosti glede na tveganje. Pri določanju ustrezne ravni varnosti se, v skladu z drugim odstavkom istega člena, upoštevajo zlasti tveganja, ki jih pomeni obdelava, zlasti zaradi nenamernega ali nezakonitega uničenja, izgube, spremembe, nepooblaščenega razkritja ali dostopa do osebnih podatkov, ki so poslani, shranjeni ali kako drugače obdelani.
V 24. členu ZVOP-1, ki ureja zavarovanje osebnih podatkov, ki so ga dolžni zagotavljati upravljavci, je določeno, da zavarovanje osebnih podatkov obsega organizacijske, tehnične in logično-tehnične postopke in ukrepe, s katerimi se varujejo osebni podatki, preprečuje slučajno ali namerno nepooblaščeno uničevanje podatkov, njihova sprememba ali izguba ter nepooblaščena obdelava teh podatkov tako, da se:
1. varujejo prostori, oprema in sistemsko programska oprema, vključno z vhodno-izhodnimi enotami;
2. varuje aplikativna programska oprema, s katero se obdelujejo osebni podatki;
3. preprečuje nepooblaščen dostop do osebnih podatkov pri njihovem prenosu, vključno s prenosom po telekomunikacijskih sredstvih in omrežjih;
4. zagotavlja učinkovit način blokiranja, uničenja, izbrisa ali anonimiziranja osebnih podatkov;
5. omogoča poznejše ugotavljanje, kdaj so bili posamezni osebni podatki vneseni v zbirko osebnih podatkov, uporabljeni ali drugače obdelani in kdo je to storil, in sicer za obdobje, ko je mogoče zakonsko varstvo pravice posameznika zaradi nedopustnega posredovanja ali obdelave osebnih podatkov.
V 25. členu ZVOP-1 je določeno, da so upravljavci osebnih podatkov dolžni zagotoviti zavarovanje osebnih podatkov na način iz 24. člena ZVOP-1 in da upravljavci osebnih podatkov v svojih aktih predpišejo postopke in ukrepe za zavarovanje osebnih podatkov ter določijo osebe, ki so odgovorne za določene zbirke osebnih podatkov, in osebe, ki lahko zaradi narave njihovega dela obdelujejo določene osebne podatke.
V 48. členu Zakona o delovnih razmerjih (Uradni list RS, št. 21/13, 78/13 – popr., 47/15 – ZZSDT, 33/16 – PZ-F, 52/16, 15/17 – odl. US, 22/19 – ZPosS, 81/19, 203/20 – ZIUPOPDVE in 119/21 – ZČmIS-A; v nadaljevanju ZDR-1) je določeno, da se osebni podatki delavcev lahko zbirajo, obdelujejo, uporabljajo in posredujejo tretjim osebam samo, če je to določeno s tem ali drugim zakonom ali če je to potrebno zaradi uresničevanja pravic in obveznosti iz delovnega razmerja ali v zvezi z delovnim razmerjem. Osebne podatke delavcev lahko zbira, obdeluje, uporablja in posreduje tretjim osebam samo delodajalec ali delavec, ki ga delodajalec za to posebej pooblasti.
V 18. členu Pravilnika, na katerega se je v svojih odgovorih skliceval zavezanec, je določeno, da _________
III. Razlogi, ki glede na ugotovljeno dejansko stanje narekujejo takšno odločitev
IP je v postopku inšpekcijskega nadzora ugotovil, da je v obravnavani zadevi zavezanec v zgoraj navedenih okoliščinah po elektronski pošti pošiljal osebne podatke posameznice (nekdanje zaposlene), med drugim tudi njene občutljive osebne podatke. V zvezi s tem je bil vzpostavljen sum neustreznega zavarovanja teh njenih osebnih podatkov, saj so bili ti z ene na dve drugi enoti zavezanca posredovani na način, da so bili poslani v predale elektronske pošte, do katerih je imel dostop relativno širok krog zaposlenih na enotah zavezanca, ki sta osebne podatke prejeli. Hkrati je bilo ugotovljeno, da zavezanec ne zagotavlja možnosti naknadnega ugotavljanja kdo od zaposlenih, ki sodijo v ta krog, je do elektronske pošte oziroma dokumenta z občutljivimi osebnimi podatki dejansko dostopal, kot to določa 5. točka prvega odstavka 24. člena ZVOP-1, tj. dnevnika dejavnosti obdelav osebnih podatkov oziroma revizijskih sledi. Zavezanec je v svojih odgovorih navajal konkretne dostope do podatkov, do katerih je po njegovih ugotovitvah prišlo na posamezni ________ enoti, na katero so bili osebni podatki poslani. IP v zvezi s tako ugotovljenimi dostopi do podatkov ni ugotovil nezakonitosti, saj naj bi šlo za vpoglede in obdelavo osebnih podatkov, ki so jih zaposleni na navedenih enotah zavezanca izvajali, ker je bila potrebna za opravljanje njihovih službenih del in nalog ter je bila izvedena v okviru njihovih pooblastil, ki jim jih je podelil zavezanec. Ni pa uspel zavezanec v postopku pojasniti, zakaj je imel možnost dostopanja do elektronske pošte, pri kateri je šlo za delovnopravni spor med zavezancem kot delodajalcem in posameznico in ki je vsebovala tudi občutljive (zdravstvene) osebne podatke posameznice, tudi relativno širok krog uslužbencev zavezanca, ki za dostopanje do kadrovskih podatkov zavezanca niso bili pooblaščeni. Dostopanje do podatkov je bilo v obravnavanem primeru s strani zavezanca namreč omogočeno tudi večjemu številu uslužbencev, ki so pri njem pooblaščeni za opravljanje različnih ______ nalog, ne pa tudi za kadrovske zadeve zavezanca pa jim je varnostni profil kljub temu omogočal dostop do elektronskega predala, v katerega je prispela obravnavana elektronska pošiljka z osebnimi podatki, pri čemer pa sistem zavezanca tudi ni zagotavljal sledljivosti obdelav osebnih podatkov, ki bi omogočala ugotavljanje, kdo iz kroga pooblaščenih oseb se je z osebnimi podatki dejansko seznanjal ali jih drugače obdeloval.
Da so se lahko uslužbenci _______ seznanili z občutljivimi osebnimi podatki posameznice samo zato, ker so na podlagi varnostnega profila lahko obdelovali podatke v elektronski pošti, ali ker so bili v času v prostoru, kjer je ________ enota hranila dokumente v fizični obliki (natisnjeni), je dejstvo in nikakor ni neutemeljena trditev, kot to navaja zavezanec, vprašanje pa je ali se je kdo od teh zaposlenih s temi podatki tudi dejansko seznanil (ali je imel zgolj možnost, da bi se z njimi seznanil). S stališča zavarovanja osebnih podatkov, ki je zakonska obveznost zavezanca, je v obravnavanem primeru problematično predvsem dejstvo, da so bili osebni podatki poslani na elektronske naslove, ki so bili dostopni relativno širokemu krogu zaposlenih na posamezni enoti zavezanca in ne samo tistim zaposlenim na posamezni enoti, katerih delovne naloge obsegajo (tudi) obravnavo in reševanje zadev s področja delovnih razmerij, ki zahtevajo obdelavo osebnih podatkov zaposlenih pri zavezancu.
Namen postopka inšpekcijskega nadzora ni ugotavljanje morebitnih preteklih kršitev varstva osebnih podatkov, v konkretnem primeru morebitnega dostopanja do osebnih podatkov posameznice s strani zaposlenih pri zavezancu, ki za seznanjanje z njenimi osebnimi podatki niso bili pooblaščeni (to je lahko predmet postopka o prekršku), ampak ugotavljanje nepravilnosti, ki predstavljajo ravnanje zavezanca v nasprotju z določbami Splošne uredbe in ZVOP-1, ki še vedno trajajo in naložitev postopkov in ukrepov za odpravo ugotovljenih nepravilnosti. V predmetnem postopku je bilo pri obravnavi konkretnega primera pošiljanja osebnih podatkov po elektronski pošti ugotovljeno, da zavezanec na splošno oziroma na sistemski ravni ne zagotavlja ustreznih tehničnih in organizacijskih postopkov in ukrepov varnosti oziroma zavarovanja osebnih podatkov (nekdanjih) zaposlenih pri zavezancu, pri njihovem pošiljanju po elektronski pošti, s katerimi bi preprečeval nedovoljeno in nezakonito seznanjanje s temi osebnimi podatki. Sprejem takih ukrepov mu nalaga že Splošna uredba pa tudi ZVOP-1 v svojem 24. in 25. členu, po katerem je zavezanec kot upravljavec dolžan zagotavljati zavarovanje osebnih podatkov, ki obsega organizacijske, tehnične in logično-tehnične postopke in ukrepe, s katerimi se varujejo osebni podatki in preprečuje med drugim tudi nepooblaščena obdelava teh podatkov, tudi tako, da se varuje aplikativna programska oprema, s katero se obdelujejo osebni podatki in preprečuje nepooblaščen dostop do njih pri njihovem prenosu, vključno s prenosom po telekomunikacijskih sredstvih in omrežjih. Zavezanec mora take postopke in ukrepe izvajati glede vseh osebnih podatkov, katerih upravljavec je, tj. tako glede osebnih podatkov, ki jih obdeluje pri opravljanju svojih osnovnih zakonskih (_________) nalog, kakor tudi osebnih podatkov svojih zaposlenih, ki jih obdeluje kot njihov delodajalec. V obravnavanem primeru zagotavljanje ustreznih postopkov in ukrepov varnosti oziroma zavarovanja osebnih podatkov zahteva tudi, da mora zavezanec pri obdelavi (prenosu) osebnih podatkov, ki se nanašajo na vprašanja iz delovnih razmerij njegovih zaposlenih ali nekdanjih zaposlenih (v nadaljevanju osebni podatki zaposlenih) poskrbeti, da bodo taki osebni podatki ustrezno zavarovani tudi pri njihovi obdelavi znotraj zavezanca (s strani njegovih zaposlenih), kar obsega tudi njihovo zavarovanje med njihovim prenosom med enotami zavezanca pa tudi znotraj posamezne take enote. V zvezi s tem je pomembna tudi določba 48. člena ZDR-1, ki izrecno določa, da lahko osebne podatke delavcev zbira, obdeluje, uporablja in posreduje tretjim osebam samo delodajalec ali delavec, ki ga delodajalec za to posebej pooblasti. Ker se torej, v skladu z navedenim, z osebnimi podatki zaposlenih pri zavezancu lahko seznanijo samo tisti njegovi uslužbenci, ki jih zavezanec za to posebej pooblasti, mora zavezanec v zvezi s tem sprejeti tudi vse potrebne postopke in ukrepe zavarovanja osebnih podatkov, s katerim bo vsem drugim osebam, ki takega pooblastila nimajo, onemogočil dostop do teh podatkov. S pošiljanjem osebnih podatkov zaposlenih (ali celo njihovih občutljivih osebnih podatkov, za kar je šlo v obravnavane primeru) na predal elektronske pošte, do katerega ima dostop relativno širok krog uslužbencev zavezanca, ki na prejemni enoti zavezanca sploh nimajo pooblastil za obdelavo osebnih podatkov zaposlenih v smislu navedene določbe 48. člena ZDR-1, ampak so pooblaščeni zgolj za obdelavo tistih osebnih podatkov, ki jih potrebujejo za opravljanja svojih ______ nalog, pa zavezanec take postopke in ukrepe zavarovanja podatkov opušča in podatke daje na razpolago preširokemu krogu zaposlenih in jih s tem te podatke izpostavlja nevarnosti nedovoljenega in nezakonitega seznanjanja s strani zaposlenih, ki za tako njihovo obdelavo niso pooblaščeni. _____ določene enote zavezanca mora biti omogočen dostop do osebnih podatkov, ki jih potrebuje za opravljanje svojih ______ nalog, ne pa tudi do kadrovskih evidenc zavezanca in drugih osebnih podatkov njegovih zaposlenih, saj za izvajanje nalog s kadrovskega področja ni z ničemer pooblaščen. Do takih podatkov imajo pri zavezancu lahko dostop samo zaposleni, ki so za to posebej pooblaščeni zaradi opravljanja svojih delovnih nalog na delovnopravnem oziroma kadrovskem področju. To nenazadnje izhaja tudi iz 18. člena Pravilnika, na katerega se je v postopku skliceval sam zavezanec, zlasti izrecno tudi iz 1. točke drugega odstavka tega člena, ki izrecno določa, da se v ____ podatki varujejo zlasti tudi z ukrepi in postopki, s katerimi se uporabnikom __________- dostop do podatkov omejuje na podatke, ki jih potrebujejo za izvajanje delovnih nalog, v skladu z njihovimi pooblastili.
Iz odgovorov zavezanca izhaja, da je bilo elektronsko sporočilo z osebnimi podatki posameznice res poslano na način, kot je bilo to navedeno v prijavi in da je bilo poslano na elektronski naslov, do predala katerega so na posamezni notranji enoti lahko dostopali uslužbenci zavezanca z nivojem dostopa _____ ali __________ pa tudi, da je tak način pošiljanja dokumentov, ki se nanašajo na kadrovske zadeve zavezanca pri njem običajen, saj v zvezi s tem nimajo ločenih vhodnih in izhodnih poti, glede na vsebino zadeve. Gre torej za sistemski problem zavezanca pri zagotavljanju ustreznih postopkov in ukrepov varnosti oziroma zavarovanja osebnih podatkov pri njihovem pošiljanju preko sistema elektronske pošte ______ (______). V zvezi z navedbami zavezanca, da tudi večina dokumentov, ki jih zavezanec po elektronski pošti izmenjuje med ______ enotami in drugimi organi vsebuje občutljive osebne podatke, kar naj bi bilo razvidno že iz naslova dokumenta (__________) IP poudarja, da je pri tem bistvena razlika med dokumenti oziroma podatki, ki se nanašajo na izvajanje zakonskih pristojnosti zavezanca kot državnega organa in s katerimi se njegovi uslužbenci morajo seznaniti zaradi opravljanja svojih ____ in drugih s temi povezanih nalog in med dokumenti, ki se nanašajo na kadrovske zadeve zavezanca in vsebujejo osebne podatke zaposlenih, za dostop in obdelavo katerih pa so lahko upravičeni samo tisti uslužbenci zavezanca, ki so za to posebej pooblaščeni, tj. ki so pooblaščeni (tudi) za opravljanje nalog na področju delovnih razmerij pri zavezancu. S stališča zavarovanja osebnih podatkov in dostopnih pravic do njih tudi niso relevantne navedbe zavezanca, da ne obstajajo nobeni indici, da je v konkretnem primeru prišlo do nepooblaščene oziroma nezakonite obdelave osebnih podatkov posameznice. Zagotavljanje varnosti oziroma zavarovanja osebnih podatkov je preventivni ukrep, s katerim upravljavec osebnih podatkov zagotavlja, da do posega v informacijsko zasebnost posameznika ne prihaja, zato nikakor ni mogoče trditi, da o opustitvi postopkov in ukrepov za zavarovanje osebnih podatkov lahko govorimo šele takrat, ko do posega v ustavno pravico, tj. do nepooblaščene obdelave osebnih podatkov, tudi dejansko pride. IP navedenemu dodaja, da čeprav zavezanec ni ugotovil nobenih indicev nedovoljenega seznanjanja z osebnimi podatki posameznice, pa ostaja dejstvo, da bi se z občutljivimi osebnimi podatki posameznice, ki so jih vsebovali dokumenti v prejetem elektronskem sporočilu na posamezni notranji enoti zavezanca lahko seznanili vsi njegovi uslužbenci z nivojem dostopa __________ ali ___________, pa o takih obdelavah njenih osebnih podatkov z njihove strani pri zavezancu ne bi obstajala nobena revizijska sled.
Iz vsega zgoraj navedenega izhaja, da zavezanec pri prenosu osebnih podatkov njegovih zaposlenih, ki se nanašajo na vprašanja njihovega delovnega razmerja, ki poteka znotraj zavezanca in ki se izvaja po elektronski pošti, ne zagotavlja ustreznih organizacijskih, tehničnih in logično-tehničnih postopkov in ukrepov za varnost oziroma zavarovanje teh njihovih osebnih podatkov, ki mu jih nalagata Splošna uredba pa tudi ZVOP-1 v svojem 24. in 25. členu, s katerimi bi se taki osebni podatki varovali in bi se preprečevala nepooblaščena obdelava teh podatkov pri njihovem prenosu po elektronski pošti, saj se navedeni osebni podatki zaposlenih pri zavezancu, ki se pošiljajo med njegovimi notranjimi enotami po elektronski pošti, prenašajo na način, da se pošiljajo na elektronske naslove oziroma elektronske predale posameznih __________ enot, do katerih ima na posamezni taki enoti dostop večje število uslužbencev zavezanca, ki niso pooblaščeni za dostopanje in drugo obdelavo predmetnih osebnih podatkov zaposlenih. Tudi zavezanec v svojem zadnjem odgovoru ne nasprotuje zgornjim ugotovitvam IP, ampak je v skladu z njimi začel z uvajanjem določenih postopkov in ukrepov, s katerimi bi zagotovil ustrezno zavarovanje osebnih podatkov, pri njihovem prenosu po elektronski pošti in tako odpravil nepravilnosti, ki so bile s strani IP ugotovljene v predmetnem inšpekcijskem postopku. IP je v zvezi s tem preučil postopke in ukrepe, ki jih je v svojem zadnjem dopisu navajal zavezanec in s katerimi namerava omenjene nepravilnosti odpraviti in ugotovil, da je kreiranje novih, dodatnih elektronskih naslovov oziroma predalov na posameznih enotah zavezanca, ki bi bili namenjeni pošiljanju/prejemanju osebnih podatkov njegovih zaposlenih oziroma zadevam s področja delovno pravnih razmerij njegovih uslužbencev in do katerih bi bili pooblaščen dostopati samo vodja posamezne enote in od njega izrecno pooblaščene osebe, ki so na posamezni enoti pooblaščene (tudi) za opravljanje kadrovskih zadev, ob hkratni vzpostavitvi evidence obdelav osebnih podatkov (journal), za odpiranje in tiskanje posamezne elektronske pošte in priponk v sistemu ______, ustrezna rešitev. Z uvedbo navedenega sistema na vseh njegovih enotah, na katere se po elektronski pošti pošiljajo osebni podatki zaposlenih s področja njihovih delovnopravnih zadev, bi zavezanec zagotovil ustrezne postopke in ukrepe iz zgoraj navedenih določb Splošne uredbe in ZVOP-1 in ustrezno odpravil nepravilnosti, ki so bile ugotovljene v tem postopku. Ker pa je zavezanec k odpravi ugotovljenih nepravilnosti zgolj pristopil in jih (razen v dveh enotah) še ni odpravil, je bilo potrebno ugotoviti, da v tem postopku ugotovljene nepravilnosti na njegovi strani, v času izdaje te odločb, še trajajo.
IV. Sklepno
Na podlagi vsega zgoraj navedenega je IP zaključil, da zavezanec pri pošiljanju osebnih podatkov njegovih (nekdanjih) zaposlenih, s področja delovnopravnih zadev med njegovimi enotami, ne zagotavlja ustreznih tehničnih in organizacijskih postopkov in ukrepov varnosti oziroma zavarovanja osebnih podatkov (nekdanjih) zaposlenih pri zavezancu, s katerimi bi preprečeval nedovoljeno in nezakonito seznanjanje s temi osebnimi podatki, saj take njihove osebne podatke pošilja na elektronske naslove enot, do predalov katerih lahko dostopajo tudi zaposleni, ki za obdelavo takih podatkov niso pooblaščeni in jih ne potrebujejo za opravljanje svojih delovnih nalog. Navedena opustitev tehničnih in organizacijskih postopkov in ukrepov varnosti oziroma zavarovanja osebnih podatkov predstavlja njegovo ravnanje v nasprotju z določbami 32. člena Splošne uredbe in 24. in 25. člena ZVOP-1. Zavezanec na ta način osebne podatke svojih zaposlenih izpostavlja tveganju, da se bodo z njimi seznanili tudi zaposleni, ki do njihove obdelave niso upravičeni in zato njihovi dostopi do teh podatkov predstavljajo nezakonito obdelavo teh podatkov. IP je v zvezi s tem ugotovil tudi, da iz zgornjih ugotovitev izhajajoče nepravilnost v času izdaje te odločbe še vedno trajajo, zaradi česar je moral IP izdati predmetno odločbo.
Zaradi ugotovljene nepravilnosti je bilo treba zavezancu na podlagi 2. in 8. člena ZInfP, 1. točke prvega odstavka 54. člena ZVOP-1, člena 57(1) in točke (d) člena 58(2) Splošne uredbe ter prvega odstavka 32. člena ZIN, odrediti, da pri obdelavi osebnih podatkov izvaja ustrezne postopke in ukrepe, s katerimi zagotavlja njihovo varnost oziroma zavarovanje, odpravo ugotovljene nepravilnosti in uskladitev dejanj obdelave osebnih podatkov z določbami člena 32 Splošne uredbe ter 24. in 25. člena ZVOP-1, in sicer na način, kot je določen v 1. točki izreka te odločbe.
Odredba v 2. točki, da je zavezanec po izvršitvi ukrepov iz 1. točke izreka te odločbe dolžan v roku 5 dni po njihovi izvršitvi pisno obvestiti IP, temelji na določbi petega odstavka 29. člena ZIN, ki določa, da mora zavezanec o odpravljenih nepravilnostih takoj obvestiti inšpektorja.
Na podlagi 118. člena ZUP se v odločbi odloči o stroških postopka; ker v tem postopku niso nastali posebni stroški, je tako odločeno v 3. točki izreka.
Ta odločba je izdana po uradni dolžnosti in je na podlagi 22. člena Zakona o upravnih taksah (Uradni list RS, št. 106/10 – UPB5, 14/15 – ZUUJFO, 84/15 – ZZelP-J in 32/16) takse prosta.
Pouk o pravnem sredstvu: Ta odločba je v upravnem postopku dokončna. Zoper njo v skladu z določbo 55. člena ZVOP-1 ni dovoljena pritožba, mogoč pa je upravni spor z vložitvijo tožbe na Upravno sodišče Republike Slovenije, Fajfarjeva 33, 1000 Ljubljana, v roku 30 dni od prejema te odločbe. Tožbo se vloži pri pristojnem sodišču neposredno pisno ali pa se mu pošlje po pošti. Tožbi v najmanj dveh izvodih je potrebno priložiti to odločbo v izvirniku ali prepisu.
