Informacijski pooblaščenec Republika Slovenija
   
dekorativna slika

Dostop do CRP

+ -
Datum: 14.09.2022
Številka: 07120-1/2022/306
Kategorije: Pooblaščene osebe za varstvo podatkov - DPO, Pravne podlage, Pridobivanje OP iz zbirk

Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaše zaprosilo za mnenje glede dostopa do Centralnega registra prebivalstva.

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba o varstvu podatkov), 76. členom Zakona o varstvu osebnih podatkov na področju obravnavanja kaznivih dejanj (Uradni list RS, št. 177/20, v nadaljevanju: ZVOPOKD), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju: ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju: ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.

Uporabniki morajo imeti konkretno zakonsko podlago za pridobivanje podatkov iz CRP, obenem pa mora ta zakonska podlaga tudi izrecno predpisovati kategorije podatkov, do katerih je uporabnik upravičen. Ob odsotnosti izrecne navedbe kategorij podatkov v zakonu (ali po moči zakonu vsaj enakovrednemu predpisu, npr. evropska uredba), lahko uporabniki, ki sicer imajo zakonsko podlago, dostopajo do imena in priimka, kraja rojstva, leta rojstva, spola, državljanstva, prebivališča in vrste prebivališča.

Obdelava oziroma dostop do osebnih podatkov znotraj upravljavca je načeloma stvar odločitve vodstva in notranje organizacije posameznega upravljavca, pri tem pa je treba upoštevati temeljna načela iz 5. člena Splošne uredbe o varstvu osebnih podatkov. V skladu z načelom najmanjšega obsega podatkov mora biti vsakršna obdelava osebnih podatkov (tudi dostopanje zaposlenih do osebnih podatkov) omejena na to, kar je potrebno za namene, za katere se ti podatki obdelujejo. Pri določanju dostopnih pravic je tako treba upoštevati naloge, naravo dela in delovne obveznosti posameznega zaposlenega.

Pooblaščena oseba za varstvo podatkov ni oziroma ne sme biti edina oseba pri upravljavcu, ki lahko dostopa do osebnih podatkov, ampak je tista, ki skrbi za spremljanje skladnosti s predpisi s področja varstva podatkov in politikami upravljavca v zvezi z varstvom osebnih podatkov, vključno z dodeljevanjem nalog, ozaveščanjem in usposabljanjem osebja, vključenega v dejanja obdelave.

 

O b r a z l o ž i t e v:

IP uvodoma poudarja, da v okviru nezavezujočega mnenja ne more podajati celovite ocene predvidenih dejanj obdelave osebnih podatkov v konkretnem primeru. Dokončno presojo zakonitosti obdelave osebnih podatkov lahko IP poda le v konkretnem inšpekcijskem ali drugem upravnem postopku. IP namreč ne sme in ne more prevzeti odgovornosti posameznih subjektov za njihovo poslovanje, podobno kot to velja za druge inšpekcijske organe Odgovornost za zakonito in pošteno obdelavo osebnih podatkov je vselej na upravljavcu osebnih podatkov.

IP tako splošno pojasnjuje, da je obdelava osebnih podatkov zakonita le in kolikor je za konkretni namen obdelave in konkretne osebne podatke izpolnjen eden od naslednjih pogojev:

a)    posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov;

(b)   obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe;

(c)    obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca;

(d)   obdelava je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe;

(e)   obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu;

(f)    obdelava je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok.

 

Pravna podlaga za obdelavo osebnih podatkov v javnem sektorju, kamor sodi tudi vaša agencija, je nadalje določena tudi v 9. členu ZVOP-1, ki v prvem odstavku določa, da se osebni podatki v javnem sektorju lahko obdelujejo, če obdelavo osebnih podatkov in osebne podatke, ki se obdelujejo, določa zakon. Z zakonom se lahko določi tudi, da se določeni osebni podatki obdelujejo le na podlagi osebne privolitve posameznika.

IP dodaja, da Zakon o centralnem registru prebivalstva (ZCRP; Uradni list RS, št. 72/06 – UPB, 3/22 - ZDeb) v drugem odstavku 12. člena določa, da lahko upravljavec CRP posreduje podatke iz CRP za vzpostavitev oziroma za vodenje in vzdrževanje registrov in uradnih evidenc državnim organom in drugim uporabnikom, za izvrševanje njihovih, z zakonom določenih nalog. V skladu z drugim odstavkom 23. člena ZCRP uporabniki osebnih podatkov, ki imajo zakonsko podlago za pridobivanje podatkov, in uporabniki, ki so pooblaščeni z osebno pisno privolitvijo posameznika, na katerega se podatki nanašajo, lahko iz CRP pridobivajo le v zakonu oziroma osebni privolitvi navedene osebne podatke. Če v zakonu oziroma pooblastilu nimajo konkretno opredeljenih podatkov, do katerih so upravičeni, lahko iz CRP dobijo naslednje podatke: ime in priimek, kraj rojstva, leto rojstva, spol, državljanstvo, prebivališče in vrsta prebivališča. Vsekakor pa je ob tem treba upoštevati načelo najmanjšega obsega podatkov, ki določa, da morajo biti osebni podatki ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo.

Iz navedenega izhaja, da morajo imeti uporabniki konkretno zakonsko podlago za pridobivanje podatkov iz CRP, obenem pa mora ta zakonska podlaga tudi izrecno predpisovati kategorije podatkov, do katerih je uporabnik upravičen. Ob odsotnosti izrecne navedbe kategorij podatkov v zakonu (ali po moči zakonu vsaj enakovrednemu predpisu, npr. evropska uredba), lahko uporabniki, ki sicer imajo zakonsko podlago, torej dostopajo do imena in priimka, kraja rojstva, leta rojstva, spola, državljanstva, prebivališča in vrste prebivališča. IP ob tem pojasnjuje, da mora biti pravna podlaga ustrezno konkretizirana. Splošno sklicevanje na sprejete akte ne zadošča za konkretno opredeljen namen obdelave osebnih podatkov. Le ustrezno konkretizirana navedba pravne podlage, iz katere izhaja namen obdelave osebnih podatkov, namreč sploh omogoča presojo, ali so izpolnjeni pogoji za obdelavo osebnih podatkov (vključno z načelom najmanjšega obsega podatkov in omejitvijo namena obdelave iz 5. (b) in (c) člena Splošne uredbe o varstvu podatkov). Izkazati je torej treba, da je konkretna poizvedba nujno potrebna za izvrševanje vaših (konkretno opredeljenih) zakonitih pristojnosti, ki lahko izhajajo iz slovenskega ali evropskega pravnega reda.

IP nadalje pojasnjuje, da je obdelava oziroma dostop do osebnih podatkov znotraj upravljavca načeloma stvar odločitve vodstva ter posledično notranje organizacije upravljavca in ureditve v internih aktih, Upravljavec osebnih podatkov mora pri obdelavi osebnih podatkov upoštevati temeljna načela iz 5. člena Splošne uredbe o varstvu podatkov. V skladu z načelom najmanjšega obsega podatkov iz točke (e) tega člena mora biti obdelava osebnih podatkov (npr. dostopanje zaposlenih do osebnih podatkov) omejena na to, kar je potrebno za namene, za katere se ti podatki obdelujejo. To pomeni, da je pri določanju pravic dostopa treba vzeti v obzir naloge, naravo dela in delovne obveznosti posamičnega zaposlenega. Za posamezno vrsto osebnih podatkov je tako treba pretehtati, kateri izmed zaposlenih se morajo seznaniti s temi podatki glede na namene, za katere se obdelujejo. Če tako konkretni zaposleni, izhajajoč iz pogodbe o zaposlitvi, internih navodil, notranje sistemizacije ali drugih internih aktov, za svoje delo v okviru pristojnosti vaše agencije neizogibno potrebuje določene uporabniške pravice za dostop do podatkov iz CRP, je dopustno, da se mu te uporabniške pravice dodelijo ter da jih tudi dejansko izvršuje v okviru svojih delovnih zadolžitev. Ob tem je treba zagotoviti, da vsak zaposleni, ki je pooblaščen za dostopanje do CRP (ali drugih zbirk podatkov), ta dostop izvršuje na podlagi lastnega uporabniškega imena in gesla. Dostopi na podlagi skupinskega uporabniškega računa (dostop več oseb na podlagi istega uporabniškega imena) niso dovoljeni. IP ob tem pojasnjuje še, da se sledljivost dostopov vodi na ravni zbirke (v konkretnem primeru CRP) in ne na ravni posameznih uporabnikov.

Vse navedeno v prejšnjem odstavku v enaki meri velja tudi za pooblaščeno osebo za varstvo podatkov. IP pojasnjuje, da Splošna uredba o varstvu podatkov v 39. členu vsebuje minimalni obseg nalog, ki jih pooblaščena oseba mora izvajati in za katera mora upravljavec pooblaščeni osebi zagotoviti ustrezna sredstva in pogoje. Upravljavec lahko pooblaščeni osebi naloži tudi druge naloge in dolžnosti, pri tem pa mora zagotoviti, da zaradi opravljanja teh nalog in dolžnosti ne pride do nasprotja interesov (člen 38 (6) Splošne uredbe o varstvu podatkov). Kaj se v praksi lahko šteje za nasprotje interesov, primeroma navajajo Smernice o pooblaščenih osebah za varstvo podatkov  (str. 26), ki so dostopne na spletni strani IP:

https://www.ip-rs.si/fileadmin/user_upload/Pdf/Mednarodno_delovanje/wp243rev01_sl.pdf

IP ob tem opozarja, da pooblaščena oseba za varstvo podatkov ni oziroma ne sme biti edina oseba pri upravljavcu, ki lahko dostopa do osebnih podatkov, saj bi v tem primeru pravzaprav nadzirala sama sebe, ampak je tista, ki skrbi za spremljanje skladnosti s predpisi s področja varstva podatkov in politikami upravljavca v zvezi z varstvom osebnih podatkov, vključno z dodeljevanjem nalog, ozaveščanjem in usposabljanjem osebja, vključenega v dejanja obdelave. Opravlja funkcijo t.i. notranjega revizorja v zvezi z osebnimi podatki, kot upravljavec pa morate zagotoviti, da je pravočasno vključena v vse zadeve v zvezi z varstvom osebnih podatkov. Priporočila v zvezi z njenim delovanjem so dostopna na spletni strani IP:

https://www.ip-rs.si/fileadmin/user_upload/Pdf/novice/Priporocila_IP_glede_delovanja_DPO_koncno.pdf

IP sklepno ponavlja, da v okviru neobvezujočega mnenja ne more konkretno presojati ustreznosti notranje ureditve upravljavca, temveč je naloga upravljavca oziroma njegovega vodstva, da opravi presojo, kdo od zaposlenih utemeljeno potrebuje dostop do določenih osebnih podatkov in na podlagi te ocene ustrezno določi dostopne pravice.

Lepo vas pozdravljamo.

 

 

Pripravil:

Matej Sironič,                                                   

Svetovalec pooblaščenca

za varstvo osebnih podatkov

 

Mojca Prelesnik, univ. dipl. prav.,

Informacijska pooblaščenka