Informacijski pooblaščenec Republika Slovenija
   
dekorativna slika

Dostop občin in njihovih pooblaščencev do podatkov v distribucijskem modulu v okviru zakona o uveljavljanju pravic iz javnih sredstev

+ -
Datum: 29.07.2022
Številka: 07120-1/2022/257
Kategorije: Pogodbena obdelava podatkov, Posredovanje OP med upravljavci, Pridobivanje OP iz zbirk, Zbirke osebnih podatkov

Informacijski pooblaščenec (v nadaljevanju IP) je prejel vaš dopis, v katerem se sklicujete na mnenje IP št. 0712-1/2014/1489, v katerem je IP pojasnil pogoje, pod katerimi se lahko občinam zagotovi dostop in posredovanje osebnih podatkov iz centralne zbirke podatkov o pravicah iz javnih sredstev prek distribucijskih modulov. Sedaj pa vas še zanima, kako glede na 50. člena Zakona o uveljavljanju pravic iz javnih sredstev (Uradni list RS, št. 62/10, s sprem., v nadaljevanju ZUPJS) urediti dovoljenje za dostop do distribucijskega modula tudi pooblaščencem občin. Nekatere občine imajo namreč za izvajanje svojih nalog na področju stanovanjskih storitev določene pooblaščence. Zanima vas ali in če da, pod kakšnimi pogoji bi bile takšne pod-obdelave možne. Kaj v primeru, če ima celo pooblaščenec svojega podobdelovalca?

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov; v nadaljevanju: Splošna uredba), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1 in 177/20, v nadaljevanju ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo neobvezno mnenje IP v zvezi z vašim vprašanjem.

 

IP meni, da lahko ministrstvo dostop do Centralne zbirke podatkov o pravicah iz javnih sredstev prek distribucijskih modulov omogoči tistim osebam, za katere občina določi, da imajo v okviru zakonitih pooblastil občine za dostop do zbirke pravice dostopa za namen izvajanja nalog občine (in posledično sporoči, da bodo v njenem imenu opravljale naloge, za opravljaje katerih potrebujejo dostop do osebnih podatkov iz četrtega odstavka 50. člena ZUPJZ).

 

Dostop do centralne zbirke se lahko po mnenju IP omogoči tudi pooblaščencem občine, ki se v tem primeru štejejo kot obdelovalci, ki osebne podatke pridobivajo in obdelujejo v imenu občine, izjemoma pa tudi njihovim pod-obdelovalcem. Posebno pozornost je treba v tem primeru posvetiti ustrezni konkretni opredelitvi obveznosti obdelovalcev oz. pod-obdelovalcev. Ministrstvo mora v takšnem primeru podobno, kot velja glede vseh dostopov, zagotoviti t.i. sledljivost obdelave osebnih podatkov, ter da se bo do centralne zbirke dostopalo na način in pod pogoji, ki jih določa Pravilnik o načinu in pogojih dostopa do podatkov iz Centralne zbirke podatkov o pravicah iz javnih sredstev. Občina, ki se v primeru pridobivanja osebnih podatkov iz centralne zbirke šteje kot uporabnik in upravljavec, pa mora v takšnem primeru zagotoviti, da bo s pooblaščencem ali njegovim delodajalcem še pred omogočanjem dostopa do zbirke sklenila ustrezno pogodbo ali drug pravni akt, ki mora vsebovati vse elemente, določene v tretjem odstavku 28. člena Splošne uredbe. Še posebej  mora občina zagotoviti, da bodo osebam, ki bodo v imenu občine dostopale do centralne zbirke prek distribucijskega modula, dana ustrezna (pisna) navodila glede vseh ukrepov varnosti podatkov in opozorila, med drugim tudi o tem, da digitalnih potrdil ne smejo posojati tretjim osebam, da lastnega digitalnega potrdila ne smejo uporabljati za pridobivanje podatkov namesto tretjih oseb, da se vsi vpogledi beležijo, da lahko določene osebne podatke obdelujejo le v primeru, če osebne podatke potrebujejo za opravljanje konkretne z zakonom določene naloge, ter da vsakršna drugačna obdelava osebnih podatkov pomeni kršitev določb ZVOP-1 in Splošne uredbe.

 

O b r a z l o ž i t e v:

 

IP uvodoma pojasnjuje, da v okviru nezavezujočega mnenja ne more presojati ustreznosti določene rešitve, niti ne more vnaprej potrjevati posameznih rešitev ali konkretnih dejanj obdelave osebnih podatkov z vidika skladnosti z obstoječimi predpisi s področja varstva osebnih podatkov. Presojo o ustreznosti lahko IP namreč izvede le v okviru konkretnega inšpekcijskega ali drugega upravnega postopka.

 

Kot smo vam pojasnili že v mnenju št. 0712-1/2014/1489 z dne 2. 4. 2014, je z vidika določb ZVOP-1 ter Splošne uredbe pri posredovanju osebnih podatkov uporabnikom prek distribucijskih modulov pomembno predvsem to:

  • da strojna, sistemska in aplikativna programska oprema zagotavlja, da je obdelava (torej tudi pregledovanje in posredovanje) osebnih podatkov v mejah pooblastil uporabnika osebnih podatkov, torej da se uporabniku omogoči vpogled ali posredovanj zgolj tistih vrst osebnih podatkov, za katere ima uporabnik ustrezno zakonsko podlago (8. člen in drugi odst. 24. člen ZVOP-1 ter 5. in 6. člen Splošne uredbe);
  • da se zagotovi zavarovanje osebnih podatkov v času prenosa (14.,  24. in 25. člen ZVOP-1 ter 32. člen Splošne uredbe);
  • da se zagotovi t.i notranja in zunanja sledljivost obdelave osebnih podatkov (5. tč. prvega odst. 24. člena in tretji odst. 22. člena ZVOP-1).

 

Ministrstvo za delo, družino, socialne zadeve in enake možnosti lahko torej skladno z zgoraj navedenim mnenjem kot upravljavec Centralne zbirke podatkov o pravicah iz javnih sredstev, ki jo vodi na podlagi 49. in 50. člena ZUPJS, občinam zagotovi dostop in posredovanje osebnih podatkov prek distribucijskih modulov brez sklenitve posebnega dogovora, seveda pod pogojem, da se jim zagotovi zgolj pregledovanje in posredovanje  tistih vrst osebnih podatkov, za katere imajo zakonsko podlago ter da se zagotovi ustrezna sledljivost obdelave osebnih podatkov ter ustrezno zavarovanje le teh v času prenosa. IP ob tem še predlaga, da ministrstvo za uporabnike, ki bodo dostopali do osebnih podatkov prek distribucijskega modula in z njimi ne bo sklepal posebnih dogovorov, pripravi najmanj ustrezna (pisna) navodila glede vseh ukrepov varnosti podatkov in opozorila, med drugim tudi o tem, da se vsi vpogledi beležijo in da lahko določene osebne podatke obdelujejo le v primeru, če osebne podatke potrebujejo za opravljanje konkretne z zakonom določene naloge ter da vsakršna drugačna obdelava osebnih podatkov pomeni kršitev določb ZVOP-1.

 

Pravno podlago za posredovanje osebnih podatkov iz Centralne zbirke podatkov o pravicah iz javnih sredstev občinam daje četrti odstavek 50. člena ZUPJS, ki določa, da upravljavec centralne zbirke podatkov občini za potrebe izplačila subvencije najemnine posreduje podatke o imenu in priimku, EMŠO, davčni številki, naslovu prebivališča in številki transakcijskega računa lastnika stanovanja, naslov najemnega stanovanja, obdobju veljavnosti in višini pravice. Če ima lastnik pooblaščenca za pobiranje najemnin, se posreduje tudi transakcijski račun pooblaščenca. Poleg navedenih podatkov upravljavec centralne zbirke podatkov iz prvega odstavka tega člena občini za potrebe poročanja Finančni upravi Republike Slovenije posreduje tudi podatke o imenu in priimku, EMŠO in davčni številki upravičenca. Upravljavec centralne zbirke podatkov iz prvega odstavka tega člena občini za potrebe povračila stroškov izplačila subvencije za tržna stanovanja posreduje tudi delež subvencije za tržni in neprofitni del najemnine.

 

Način in pogoje dostopa do podatkov iz Centralne zbirke podatkov o pravicah iz javnih sredstev podrobneje določa Pravilnik o načinu in pogojih dostopa do podatkov iz Centralne zbirke podatkov o pravicah iz javnih sredstev (Uradni list RS, št. 2/13), ki ga skladno z osmim odstavkom 50. člena ZUPJS ob predhodnem soglasju IP podrobneje izda minister, pristojen za socialno varstvo.

 

Kot navajate, imajo nekatere občine za izvajanje svojih nalog na področju stanovanjskih storitev določene pooblaščence, pri čemer vas zanima, ali in če da, pod kakšnimi pogoji bi bile takšne pod-obdelave možne in kaj v primeru, če ima celo pooblaščenec svojega podobdelovalca.

 

Občina mora kot uporabnik in upravljavec osebnih podatkov, ki jih na podlagi četrtega odstavek 50. člena ZUPJS pridobiva iz centralne zbirke podatkov o pravicah iz javnih sredstev, skladno z drugim odstavkom 25. člena ZVOP-1 v svojih aktih predpisati postopke in ukrepe za zavarovanje osebnih podatkov ter določiti osebe, ki so odgovorne za določene zbirke osebnih podatkov, in osebe, ki lahko zaradi narave njihovega dela obdelujejo določene osebne podatke. Z vidika dostopa do Centralne zbirke podatkov o pravicah iz javnih sredstev prek distribucijskih modulov to pomeni, da mora občina določiti, katere osebe bodo v imenu občine za opravljanje njenih z zakonom določenih nalog prek distribucijskih modulov dostopale do centralne zbirke podatkov o pravicah iz javnih sredstev ter v sodelovanju z upravljavcem centralne zbirke zagotoviti, da se bo tem osebam zagotovil dostop do zbirke na način, kot ga določa zgoraj navedeni Pravilnik o načinu in pogojih dostopa do podatkov iz Centralne zbirke podatkov o pravicah iz javnih sredstev.

 

Osebe, ki bodo v imenu posamezne občine dostopale do centralne zbirke, so lahko po mnenju IP bodisi zaposleni v posamezni občini ali pa tudi osebe, ki na podlagi pogodbe ali kakšnega drugega pravnega akta za občino opravljajo takšne naloge, ki zaradi svoje narave zahtevajo dostop do določenih podatkov iz Centralne zbirke podatkov o pravicah iz javnih sredstev, zaradi česar mora občina upravljavcu centralne zbirke za namene dodelitve dostopnih pooblastil sporočiti osebne podatke oseb, ki bodo z uporabo svojih digitalnih potrdil dostopale do centralne zbirke. IP meni, da je ministrstvo kot upravljavec centralne zbirke v takšnem primeru odgovorno predvsem za zagotovitev zavarovanja osebnih podatkov v času prenosa osebnih podatkov, za zagotovitev, da bodo osebe, ki se jim bo omogočil dostop, lahko dostopale zgolj do tistih vrst osebnih podatkov, za katere ima občina ustrezno zakonsko podlago, za zagotavljanje t.i. sledljivosti obdelave osebnih podatkov, ki bo zagotavljal možnost naknadnega preverjanja, katera konkretna oseba je v imenu določene občine v določenem času dostopala do določenih osebnih podatkov, ter za nadzor nad upravičenostjo posameznih dostopov, in sicer na način, kot ga določa Pravilnik o načinu in pogojih dostopa do podatkov iz Centralne zbirke podatkov o pravicah iz javnih sredstev.

 

V primeru, da bi posamezna občina dostop do centralne zbirke podatkov želela omogočiti osebi, ki na občini ni zaposlena, vendar pa bo z zakonom določene naloge opravljala v imenu občine, je na strani občine tudi odgovornost, da s takšno osebo ali njenim delodajalcem sklene ustrezno pogodbo ali drug pravni akt. Občina se v primeru takšnega pridobivanja osebnih podatkov in s tem povezane nadaljnje uporabe le teh za namene opravljanja svojih nalog šteje kot upravljavec, pooblaščenec občine oziroma njegov delodajalec pa se v takšnem primeru šteje kot obdelovalec, ki osebne podatke obdeluje v imenu upravljavca (občine), zaradi česar mora občina s takšnim pooblaščencem oz. njegovim delodajalcem skleniti pogodbo ali drug pravni akt, ki mora vsebovati vse elemente, določene v tretjem odstavku 28. člena Splošne uredbe. Občina si lahko pri tem pomaga s pojasnili, ki so v zvezi s pogodbeno obdelavo objavljeni na spletni strani IP (https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/klju%C4%8Dna-podro%C4%8Dja-uredbe/pogodbena-obdelava), kjer so objavljena tudi standardna pogodbena določila, ki jih je skladno s tretjim, četrtim in šestim odstavkom 28. člena Splošne uredbe pripravil IP. Poleg zavez, ki izhajajo iz 28. člena Splošne uredbe, mora občina v takšnem primeru tudi zagotoviti, da bodo vsem osebam, ki bodo v imenu občine dostopale do centralne zbirke prek distribucijskega modula, dana ustrezna (pisna) navodila glede vseh ukrepov varnosti podatkov in opozorila, med drugim tudi o tem, da digitalnih potrdil ne smejo posojati tretjim osebam, da lastnega digitalnega potrdila ne smejo uporabljati za pridobivanje podatkov namesto tretjih oseb, da se vsi vpogledi beležijo in da lahko določene osebne podatke obdelujejo le v primeru, če osebne podatke potrebujejo za opravljanje konkretne z zakonom določene naloge, ter da vsakršna drugačna obdelava osebnih podatkov pomeni kršitev določb ZVOP-1 in Splošne uredbe.

 

Smiselno enaka pravila in odgovornosti veljajo tudi v primeru, če ima pooblaščenec občine svojega pod-obdelovalca, saj v takšnem primeru za pod-obdelovalca skladno z določbami četrtega odstavka 28. člena Splošne uredbe veljajo enake obveznosti, kot so določene v pogodbi ali drugem pravnem aktom s prvim obdelovalcem oziroma pooblaščencem. IP ob tem posebej poudarja, da občina kot upravljavec na pooblaščenca oziroma obdelovalca ne more prenesti več pravic, kot jih ima sama ter da pooblaščenec svojega pod-obdelovalca ne sme angažirati  brez predhodnega pisnega dovoljenja občine, kar velja tudi glede omogočanje dostopa do centralne zbirke prek distribucijskih modulov. V skladu z drugim odstavkom 28. člena Splošne uredbe namreč obdelovalec ne sme zaposliti drugega obdelovalca brez predhodnega posebnega ali splošnega pisnega dovoljenja upravljavca. V primeru splošnega pisnega dovoljenja obdelovalec upravljavca obvesti o vseh nameravanih spremembah glede zaposlitve dodatnih obdelovalcev ali njihove zamenjave, s čimer se upravljavcu omogoči, da nasprotuje tem spremembam.

 

Lep pozdrav,

 

Pripravil:

Jože Bogataj,

namestnik informacijske pooblaščenke 

 

Mojca Prelesnik, univ. dipl. prav.,

informacijska pooblaščenka