Informacijski pooblaščenec Republika Slovenija
   
dekorativna slika

Aplikacija Osebna asistenca

+ -
Datum: 28.06.2022
Številka: 07120-1/2022/228
Kategorije: Pravne podlage, Vgrajeno in privzeto varstvo podatkov

Informacijski pooblaščenec (v nadaljevanju IP) je po elektronski pošti prejel vaš dopis, v katerem pojasnjujete, da ste prejeli več pobud v zvezi z uporabo aplikacije Osebna asistenca pri izvajanju storitev po Zakonu o osebni asistenci. Seznanjeni ste s pozivom IP v inšpekcijski zadevi, v kateri se pregleduje zakonitost obdelave osebnih podatkov pri uporabi aplikacije Osebna asistenca, ter z odzivom nadziranega upravljavca osebnih podatkov. Prosite nas, da vas o naših ugotovitvah in morebitnih ukrepih obvestite. Obenem pa nas prosite za naše načelno stališče glede možnosti, da bi omenjena aplikacija v prihodnje zbirala tudi lokacijske podatke osebnih asistentov, saj iz nekaterih pobud izhaja tudi ta skrb.

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju na podlagi 58. člena Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba), 7. točke prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07, uradno prečiščeno besedilo, v nadaljevanju ZVOP-1) ter 2. člena Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem. Ob tem IP poudarja, da izven postopka inšpekcijskega nadzora konkretnih obdelav osebnih podatkov ne more presojati.

 

 

IP težko komentira zakonitost morebitnih bodočih obdelav osebnih podatkov, vendar se nam v tem trenutku (glede na določbe Zakona o osebni asistenci in Pravilnika o osebni asistenci) zdi malo verjetno, da bi bilo lahko zbiranje lokacijskih podatkov osebnih asistentov potrebno in posledično zakonito.

 

Upravljavec mora zagotoviti, da že ob sami zasnovi aplikacije sprejme ustrezne ukrepe za zagotavljanje varstva osebnih podatkov (t.i. vgrajeno varstvo podatkov), med drugim tako, da ne zbira osebnih podatkov, ki jih ne potrebuje nujno za izvajanje svojih zakonskih obveznosti ali pristojnosti.

 

 

Obrazložitev

 

V delu, v katerem nas prosite za informacijo o naših ugotovitvah in morebitnih ukrepih, smo vaš dopis posredovali nadzorniku, ki obravnava konkretno zadevo, in zagotovili vam bomo povratno informacijo. V zvezi z delom vašega dopisa, ki se nanaša na morebitno zbiranje lokacijskih podatkov osebnih asistentov, pa vam v nadaljevanju podajamo naše mnenje.

 

Uvodoma vas obveščamo, da je IP v okviru prejetih pobud in zaprosil za mnenje v zvezi s poročanjem o izvajanju osebne asistence nedavno izdal mnenje št. 07121-1/2022/677 z dne 17. 6. 2022, ki je dostopno na https://www.ip-rs.si/mnenja-gdpr/izvajanje-osebne-asistence-%E2%80%93-poro%C4%8Danje-ministrstvu-1655721157. V navedenem mnenju je IP že raziskal bistvene okoliščine in pravne podlage, ki jih v tem mnenju povzemamo.

 

Na področju izvajanja osebne asistence veljajo določbe Zakona o osebni asistenci (Uradni list RS, št. 10/17, 31/18 in 172/21; v nadaljevanju ZOA) in Pravilnika o osebni asistenci (Uradni list RS, št. 26/22; v nadaljevanju Pravilnik).

 

Dejavnost osebne asistence se financira iz državnega proračuna (25. in 26. člen ZOA), zato MDDSZ zahteva različne oblike poročanja o izvajanju osebne asistence. Eden izmed načinov je prek omenjene aplikacije, drug je mesečno poročanje ob izdaji računa za opravljeno storitev, tretji način, ki ga predvideva Pravilnik, pa je v obliki letnega poročanja.

 

IP je v zgoraj omenjenem mnenju poudaril, da gre pri Ministrstvu za delo, družino in socialne zadeve (MDDSZ) za upravljavca v javnem sektorju, zato prideta v poštev glede pravne podlage za obdelavo osebnih podatkov v smislu prvega odstavka 6. člena Splošne uredbe le točki:

(c) kadar je obdelava potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca;

(e) kadar je obdelava potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu.

 

Poleg tega je bistveno, da morajo biti skladno s točko (c) prvega odstavka 5. člena Splošne uredbe osebni podatki, ki se obdelujejo, ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo (načelo najmanjšega obsega podatkov oziroma načelo sorazmernosti).

 

V že izdanem in citiranem mnenju je IP izrazil prepričanje, da ministrstvo kot izplačevalec javnih sredstev mora imeti možnost preveriti zakonitost in smotrnost porabe javnih sredstev, vendar pa je odprto vprašanje, katere osebne podatke lahko v ta namen zahteva in kako pogosto oziroma kdaj (mesečno, letno, redno, ob izrednem nadzoru).

 

Zbiranje podatkov o lokaciji osebnih asistentov bi moralo imeti podlago v prvem odstavku 6. člena Splošne uredbe (v povezavi s področno zakonodajo) in prestati strogi test sorazmernosti. V tem trenutku IP ne vidi nikakršne možnosti, da bi bilo zbiranje in nadaljnja obdelava lokacijskih podatkov osebnih asistentov potrebna za izvrševanje namenov, ki jih zasleduje ZOI in Pravilnik. Obveznost zagotavljanja zakonitosti obdelave osebnih podatkov nosi upravljavec osebnih podatkov, ki mora biti tudi zmožen dokazati zakonitost obdelave.

 

Možno je tudi, da se skrb izvajalcev osebne asistence, da bo MDDSZ obdeloval lokacijske podatke, nanaša tudi na možno "nenačrtovano" zbiranje lokacijskih podatkov v smislu, da bi bilo zbiranje le-teh vgrajeno v sámo aplikacijo, pri čemer MDDSZ ne bi izrecno naročil takšnega zbiranja, vgradili pa bi ga razvijalci aplikacije. V takšnem primeru opozarjamo, da mora upravljavec skladno s Splošno uredbo zagotavljati t.i. vgrajeno varstvo osebnih podatkov. Prvi odstavek 25. člena Splošne uredbe namreč določa, da mora upravljavec (ob upoštevanju določenih okoliščin) tako v času določanja sredstev obdelave kot tudi v času same obdelave izvajati ustrezne tehnične in organizacijske ukrepe, kot je psevdonimizacija, ki so oblikovani za učinkovito izvajanje načel varstva podatkov, kot je načelo najmanjšega obsega podatkov, ter v obdelavo vključi potrebne zaščitne ukrepe, da se izpolnijo zahteve te uredbe in zaščitijo pravice posameznikov, na katere se nanašajo osebni podatki.

 

Lepo vas pozdravljamo,

 

                                                                                               Mojca Prelesnik, univ.dipl.prav.,                                                 

                                                                                                informacijska pooblaščenka

 

 

Pripravila:                                                                                                                                

mag. Polona Merc, univ. dipl. prav.,

svetovalka IP za varstvo osebnih podatkov