Informacijski pooblaščenec Republika Slovenija
   
dekorativna slika

Centralni register komitentov

+ -
Datum: 15.06.2021
Številka: 07120-1/2021/330
Kategorije: Definicija OP, Rok hrambe OP, Zavarovanje osebnih podatkov

Informacijski pooblaščenec (v nadaljevanju IP) je prejel vaše zaprosilo za mnenje. Navajate, da na skladu prehajate na brezpapirno elektronsko poslovanje ter da se bo uvedel tudi centralni register komitentov (v nadaljevanju CRK). Pojasnjujete, da pri pravnih osebah s hrambo ni težav, v zvezi s hrambo osebnih podatkov fizičnih oseb, ki opravljajo dejavnost, in poroki, pa vas zanima:

  • katere njihove podatke in koliko časa lahko hranite v CRK (za namen sklepanja pogodb obdelujete tiste podatke, kot je predpisano, večinoma gre za neposredno izvršljive notarske zapise pogodb in sporazume o zavarovanju denarne terjatve);
  • ali se v CRK sploh lahko hrani elektronski naslov in telefonska številka komitenta, ki jo navede v prijavi na razpis zaradi lažje komunikacije;
  • koliko časa lahko hranite revizijsko sled vpogledov v podatke komitentov in ali časovno obdobje hrambe šteje od zadnjega vpogleda.

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov, v nadaljevanju Splošna uredba), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašimi vprašanji.

 

Uvodoma poudarjamo, da IP izven postopka inšpekcijskega nadzora oziroma drugega upravnega postopka konkretnih obdelav osebnih podatkov ne more presojati. To pomeni, da IP v okviru izdaje mnenja ne more odločati o tem, ali so v konkretnem primeru podani pogoji za obdelavo osebnih podatkov oziroma ocenjevati, koliko časa se jih sme hraniti, temveč lahko zgolj opozori na relevantno pravno podlago ter pogoje, ki morajo biti izpolnjeni, da je določena obdelava osebnih podatkov zakonita. Konkretno presojo pa lahko oziroma mora opraviti izključno upravljavec osebnih podatkov.

 

IP je že večkrat izrazil stališče, da podatki v zvezi z opravljanjem dejavnosti poslovnega subjekta niso varovani osebni podatki. To pa niso le podatki pravnih oseb, temveč tudi tisti podatki npr. samostojnih podjetnikov, kmetijskih gospodarstev ali sobodajalcev, ki se nanašajo na opravljanje dejavnosti teh in podobnih subjektov. Firma podjetnika, ki sicer vsebuje ime in priimek fizične osebe, ter drugi podatki, povezani s poslovanjem podjetnika, tako ne predstavljajo osebnih podatkov, saj gre za podatke o poslovnem subjektu. Obdelava takih podatkov pa presega pristojnosti IP, ki je omejena le na osebne podatke, kot so opredeljeni v členu 4(1) Splošne uredbe.

 

Če bo CRK vseboval tudi druge podatke o posameznikih, ki se ne nanašajo na podjetje oziroma na opravljanje pridobitne dejavnosti, temveč bo šlo za obdelavo varovanih osebnih podatkov posameznika (npr. datuma rojstva posameznika), pa boste kot upravljavec morali imeti ustrezno pravno podlago iz člena 6(1) Splošne uredbe (privolitev, sklenitev ali izvajanje pogodbe, zakonska obveznost in podobno). Izbira ustrezne pravne podlage za obdelavo osebnih podatkov, upoštevajoč konkretne okoliščine in namen obdelave, je obveznost upravljavca. Bistveno je, da bodo osebni podatki, če jih boste obdelovali v okviru CRK, ustrezni, relevantni in omejeni na to, kar je potrebno za izrecne ter zakonite namene, za katere se bodo obdelovali (načelo omejitve namena in najmanjšega obsega podatkov) ter da boste spoštovali druge obveznosti, ki jih za upravljavce predpisuje Splošna uredba (kot so informiranje posameznikov, varnost podatkov, skrb za točnost in ažurnost podatkov itn.).

 

Glede rokov hrambe IP pojasnjuje, da splošno pravilo iz člena 5(1)(e) Splošne uredbe določa, da so osebni podatki hranjeni v obliki, ki dopušča identifikacijo posameznikov, na katere se nanašajo osebni podatki, le toliko časa, kolikor je potrebno za namene, za katere se osebni podatki obdelujejo; osebni podatki se lahko shranjujejo za daljše obdobje, če bodo obdelani zgolj za namene arhiviranja v javnem interesu, za znanstveno- ali zgodovinskoraziskovalne namene ali statistične namene v skladu s členom 89(1), pri čemer je treba izvajati ustrezne tehnične in organizacijske ukrepe iz te uredbe, da se zaščitijo pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki (omejitev shranjevanja).

 

Konkretnejšega odgovora, katere osebne podatke posameznikov in koliko časa lahko hranite v CRK, pa vam IP v okviru tega mnenja ne more podati, saj je to odvisno od konkretnih okoliščin vašega poslovanja. Prav tako vam IP ne more dokončno odgovoriti na vprašanje, koliko časa lahko hranite revizijsko sled. V smernicah o zavarovanju osebnih podatkov (dostopne na povezavi: https://www.ip-rs.si/fileadmin/user_upload/Pdf/smernice/Smernice_o_zavarovanju_OP.pdf) pa je IP že pojasnil, da  je glede  večine  obdelav  osebnih  podatkov sprejemljivo revizijsko sled obdelave osebnih podatkov po 5. točki 1. odstavka 24. člena ZVOP-1 hraniti za obdobje šestih let od dne, ko se je zadevna obdelava osebnih podatkov tudi  zgodila.  Upoštevaje  določeno  sektorsko  zakonodajo  (zlasti  glede  nekaterih računovodskih listin oziroma uradnega poslovanja) pa je lahko ta rok tudi ustrezno daljši.

 

 

Lep pozdrav,

 

                                                                                                     Mojca Prelesnik, univ. dipl. prav.,                       

                                                                                                             informacijska pooblaščenka

Pripravila:                                                                                                                                

Tina Ivanc, univ. dipl. prav.,
svetovalka IP za varstvo osebnih podatkov