Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaš dopis, v katerem nas prosite za mnenje in sicer glede distribucije e-bolniških listov. Nam ministrstvu imate organizirano vodenje evidence prisotnosti in odsotnosti z delovnega mesta, tako da te evidence za uslužbence posameznih notranje – organizacijskih enot (NOE) vodijo tajnice. Pred uvedbo e-bolniškega lista so uslužbenci prinašali bolniške liste v tajništva NOE. Po uvedbi e-bolniškega lista ima uslužbenka kadrovske službe dostop do vseh bolniških listov uslužbencev ministrstva in jih v zaprtih kuvertah pošilja tajnicam NOE. Ker podatki na bolniškem listu spadajo v kategorijo posebnih vrsto osebnih podatkov (posebej občutljivih podatkov), ste podali navodila, da se e-bolniških listov ne sme pošiljati po navadni (nezaščiteni) e-pošti. V zadenem obdobju, ko so se zaostrili ukrepi zaradi zajezitve širjenja korona virusa, veliko uslužbencev dela odo doma, med drugim tudi nekaj administrativnega osebja. Pojavilo se je vprašanje dostavljanje e-bolniških listov tajnicam, ki delajo od doma. Menite, da pošiljanje po navadni e-pošti (v .pdf formatu) ni dovoljeno, saj morate tudi v teh okoliščinah skrbeti za varnost osebnih podatkov, ki so lahko še večja tarča zlorabe.
Zanima vas, ali bi bilo mogoče, da se izbereta naslednja dva načina pošiljanja:
1. izpis podatkov za uslužbenca in pošiljanje po e-pošti ali
2. pošiljanje e-bolniških listov po e-pošti v mapi z geslom (zip format). Geslo pa tajnica prejme posebej preko telefona.
Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju na podlagi 58. člena Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba), 7. točke prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07, uradno prečiščeno besedilo, v nadaljevanju ZVOP-1) ter 2. člena Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.
IP v času širitve koronavirusa in s tem bolj razširjene uporabe oddaljenih načinov dela ter komunikacije prek omrežij prejema večje število vprašanj, ki se nanašajo na posredovanje občutljivih oz. posebnih vrst osebnih podatkov po elektronski pošti.
Zavedati se moramo, da običajna elektronska pošta kot taka ne omogoča posebne varnosti in bi jo lahko v fizičnem svetu primerjali lahko z dopisnico (niti ne s pismom v kuverti), kjer se lahko z vsebino komunikacije seznanijo vsi, ki sodelujejo pri njenem pošiljanje, posredovanju in dostavi. Zakonodaja zato upravičeno zahteva višji nivo varnosti, ko se prek nezavarovanih omrežjih in storitvah posredujejo podatki, ki so bolj občutljive narave (t.j. »občutljivi osebni podatki« po ZVOP-1 oziroma »posebne vrste osebnih podatkov« p Splošni uredbi), med katere sodijo osebni podatkov, ki razkrivajo rasno ali etnično poreklo, politično mnenje, versko ali filozofsko prepričanje ali članstvo v sindikatu, in obdelava genetskih podatkov, biometričnih podatkov za namene edinstvene identifikacije posameznika, podatkov v zvezi z zdravjem ali podatkov v zvezi s posameznikovim spolnim življenjem ali spolno usmerjenostjo.
Kot ste gotovo seznanjeni namreč 2. odstavek 14. člena ZVOP-1 določa, da se pri prenosu občutljivih osebnih podatkov preko telekomunikacijskih omrežij šteje, da so podatki ustrezno zavarovani, če se posredujejo z uporabo kriptografskih metod in elektronskega podpisa tako, da je zagotovljena njihova nečitljivost oziroma neprepoznavnost med prenosom. Glede na inšpekcijsko prakso IP je bistveno zagotoviti, da so občutljivi osebni podatki med prenosom ustrezno šifrirani, konkretne rešitve oz. programske opreme pa ne moremo označiti kot ustrezne, temveč je bistveno, da izpolnjuje naslednja priporočila:
S spoštovanjem,
Mojca Prelesnik, univ. dipl. prav.,
Informacijska pooblaščenka
Pripravil:
mag. Andrej Tomšič,
namestnik informacijske pooblaščenke