Pridobivanje povezovanje podatkov

Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaše zaprosilo za mnenje glede povezovanja določenih zbirk osebnih podatkov.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba o varstvu podatkov), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, 177/20; v nadaljevanju: ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju: ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.

IP svetuje, da glede na zasledovane cilje in v tem mnenju podana pojasnila natančno opredelite posamezne podatkovne tokove za predvidene oblike obdelav osebnih podatkov v okviru informacijskih sistemov vključenih upravljavcev. 

V kolikor na ta način potrdite, da bi v konkretnem primeru dejansko šlo za povezovanje osebnih podatkov, IP meni, da ste o tem dolžni predhodno obvestiti IP.

O b r a z l o ž i t e v:

IP uvodoma poudarja, da v okviru nezavezujočega mnenja ne more podajati celovite ocene predvidenih dejanj obdelave osebnih podatkov v konkretnem primeru. Dokončno presojo zakonitosti obdelave osebnih podatkov lahko IP poda le v konkretnem inšpekcijskem ali drugem upravnem postopku.

IP uvodoma ugotavlja, da Zakon o kmetijstvu (Uradni list RS, št. 45/08, 57/12, 90/12 – ZdZPVHVVR, 26/14, 32/15, 27/17, 22/18, 86/21 - odl. US, 123/21, 44/22; v nadaljevanju: ZKme-1) v 169.a členu določa, da Agencija Republike Slovenije za kmetijske trge in razvoj podeželja zavarovalnicam, ki opravljajo zavarovalne posle v skladu z zakonom, ki ureja zavarovalništvo, za namen opravljanja teh poslov v primeru, ko upravičenci uveljavljajo pravice iz naslova ukrepov kmetijske politike, ki se nanašajo na sofinanciranje zavarovanja, omogoči pridobivanje podatkov iz zbirne vloge iz predpisa, ki ureja izvedbo ukrepov kmetijske politike, ki se nanašajo na upravičenca in ki jih zavarovalnica potrebuje za sklenitev zavarovalne pogodbe. V drugem odstavku istega člena je določeno, da agencija posreduje podatke iz prejšnjega odstavka na podlagi izrecnega pisnega soglasja upravičenca za posredovanje podatkov, ki ga lahko upravičenec kadarkoli umakne s pisno izjavo. Nadalje pa je v tretjem odstavku istega člena določeno, da ne glede na prejšnji odstavek lahko zavarovalnice, ki opravljajo zavarovalne posle v skladu z zakonom, ki ureja zavarovalništvo, za namen opravljanja teh poslov v primeru, ko upravičenci uveljavljajo pravice iz ukrepov kmetijske politike, ki se nanašajo na sofinanciranje zavarovanja, dostopajo do podatkov zavarovanca o zemljiščih in živalih iz zbirk podatkov iz 143. (podatki o kmetijskem gospodarstvu) in 156. člena (evidenca imetnikov rejnih živali in evidenca rejnih živali) tega zakona ter do podatkov zavarovanca o zemljiščih in živalih iz zbirne vloge iz predpisa, ki ureja izvedbo ukrepov kmetijske politike.

Določbe 169.a člena tako omogočajo zavarovalnicam pridobivanje podatkov (prvi odstavek) iz zbirne vloge iz predpisa, ki ureja izvedbo ukrepov kmetijske politike, ter dostop do podatkov (tretji odstavek) zavarovanca o zemljiščih in živalih iz zbirk podatkov iz 143. in 156. člena tega zakona ter do podatkov zavarovanca o zemljiščih in živalih iz zbirne vloge iz predpisa, ki ureja izvedbo ukrepov kmetijske politike. Ob tem IP ugotavlja tudi, da je naslov 169.a člena ZKme-1 »omogočanje pridobivanja podatkov zavarovalnicam«.

IP s tem v zvezi splošno pojasnjuje, da je pri pridobivanju osebnih podatkov iz že obstoječih zbirk osebnih podatkov v praksi pogosto težko ločiti zlasti med pridobivanjem oziroma posredovanjem osebnih podatkov, ki se izvede preko telekomunikacijskega sredstva ali omrežja, ter med povezavo zbirk osebnih podatkov na zahtevo (povezljivost v širšem smislu). Bistveni element takšnega razlikovanja je v tem, da se mora pooblaščena oseba upravljavca osebnih podatkov v primerih posredovanja oziroma pridobivanja podatkov po 22. členu ZVOP-1 z ustrezno identifikacijo posebej prijaviti in vstopiti v vsako zbirko posebej, medtem ko se mora v primeru povezovanja zbirk osebnih podatkov z ustrezno identifikacijo prijaviti in vstopiti le v eno zbirko, sistem pa ji za tem samodejno pridobi določene osebne podatke iz vseh povezanih zbirk podatkov. V primeru, ko so zbirke povezane na način, da upravljavec komunicira z eno zbirko osebnih podatkov, ta pa je v ozadju neposredno povezana z drugimi zbirkami podatkov (znotraj enega ali več upravljavcev), se to torej šteje za povezovanje zbirk podatkov, ne glede na to, da se podatki ne ažurirajo hkrati v vseh povezanih zbirkah. Tudi v takšnih primerih lahko namreč uporabnik osebnih podatkov pri delu s svojo zbirko osebnih podatkov hkrati pridobi tudi določene podatke iz (vseh) povezanih zbirk in jih neposredno vključi v svojo zbirko, ne da bi za to moral vstopati v vsako zbirko posebej. Za povezovanje v širšem smislu gre po mnenju IP tudi takrat, ko uporabnik v svojo zbirko vnese določene osebne podatke posameznika, sistem pa za tem zbirko samodejno ali na zahtevo uporabnika dopolni še z določenimi podatki iz drugih povezanih zbirk. Takšno povezovanje ima seveda določene prednosti (hitrejša in enostavnejša pridobitev podatkov, odprava neskladja virov, večja ažurnost, točnost, popolnost ter zanesljivost podatkov), po drugi strani pa takšna povezava lahko pomeni tudi nezakonit in prekomeren poseg v zasebnost posameznika, saj upravljavec osebnih podatkov na takšen način na enem mestu lahko pridobi in združi podatke iz večjega števila zbirk, ki se vodijo za podobne ali različne namene.

Pri pridobivanju osebnih podatkov po 22. členu ZVOP-1 mora pooblaščena oseba upravljavca, ki želi osebne podatke pridobiti iz druge, že obstoječe zbirke osebnih podatkov, z ustrezno identifikacijo posebej vstopiti v to drugo zbirko ter za tem v tej zbirki z vnosom iskalnega kriterija pridobiti potrebne osebne podatke, pri čemer pa se tako pridobljeni osebni podatki v drugo zbirko ne vključijo samodejno, pač pa mora to storiti pooblaščena oseba ročno, npr. s prepisom, kopiranjem ali pa s sprožitvijo posebnega ukaza. Na drugi strani pa pri povezavi zbirk osebnih podatkov v širšem smislu pooblaščena oseba upravljavca pri delu s svojo zbirko v iskalnik enostavno vpiše iskalni kriterij (npr. EMŠO), sistem pa ji za tem iz povezanih zbirk samodejno prikliče in pridobi še ostale osebne podatke (npr. osebno ime, naslov prebivališča, ipd.), ki se jih zatem lahko vključi v zbirko, iz katere je bil opravljen priklic podatkov. Pri takšnem povezovanju se podatki ažurirajo samo v zbirki, v katero pooblaščena oseba neposredno dostopa, ne pa tudi v drugih povezanih zbirkah. Podatki se pri takšnem povezovanju ažurirajo samo v času poizvedbe, kasnejša sprememba podatkov v izvorni zbirki pa se ne odrazi s spremembo podatkov v povezanih zbirkah.

Ob tem IP pojasnjuje, da je za razumevanje izraza »povezovanje zbirk osebnih podatkov« v smislu določb 6. poglavja VI. dela ZVOP-1 v času čedalje širše uporabe informacijsko-komunikacijskih tehnologij potrebno precejšnje poznavanje teorije podatkovnih komunikacij, računalniških omrežij, baz podatkov in standardnih modelov povezovanja sistemov. Kot je IP opisal v smernicah »Varstvo osebnih podatkov pri povezovanju zbirk osebnih podatkov v javni upravi«, se šteje za povezovanje zbirk osebnih podatkov avtomatsko in elektronsko povezovanje zbirk osebnih podatkov, ki jih vodijo upravljavci za različne namene, in sicer tako, da se določeni podatki samodejno (povezljivost v ožjem smislu) ali na zahtevo (povezljivost v širšem smislu) prenesejo ali vključijo v drugo povezano zbirko ali več povezanih zbirk. IP šteje, da sta zbirki osebnih podatkov povezani, če se določeni podatki iz ene zbirke neposredno vključijo v drugo zbirko, s čimer se druga zbirka spremeni (poveča, ažurira ipd.), pri tem pa gre lahko zgolj za enosmeren tok podatkov. Povezanost zbirk osebnih podatkov torej predpostavlja vključitev podatkov v drugo zbirko na način, da se določeni podatki iz ene ali več zbirk zaradi povezanosti zbirk prenesejo ali vključijo v drugo povezano zbirko.

Glede povezovanja zbirk osebnih podatkov IP splošno pojasnjuje, da povezovanje zbirk osebnih podatkov nedvomno pomeni dejanje obdelave osebnih podatkov in se zato z vidika določb Splošne uredbe o varstvu podatkov in ZVOP-1 šteje za zakonito le in kolikor je za takšno ravnanje izpolnjen vsaj eden od pogojev, določenih v členu 6(1) oziroma v primeru, ko se s pomočjo povezave posredujejo tudi t. i. posebne vrste osebnih podatkov, vsaj še eden od pogojev iz člena 9(2) Splošne uredbe o varstvu podatkov. V Republiki Sloveniji je povezava zbirk osebnih podatkov iz uradnih evidenc in javnih knjig posebej urejena v 6. poglavju VI. dela (Področne ureditve) še vedno veljavnega ZVOP-1, kjer je v prvem odstavku 84. člena določeno, da je zbirke osebnih podatkov iz uradnih evidenc in javnih knjig dovoljeno povezovati, če tako določa zakon. Drugi odstavek 84. člena ZVOP-1 določa, da so upravljavci ali upravljavec osebnih podatkov, ki povezuje dve ali več zbirk osebnih podatkov, ki se vodijo za različne namene, dolžni o tem predhodno pisno obvestiti državni nadzorni organ. Tretji odstavek 84. člena ZVOP-1 nadalje določa, da če vsaj ena zbirka osebnih podatkov, ki naj bi se jo povezovalo, vsebuje občutljive osebne podatke, ali če bi povezovanje imelo za posledico razkritje občutljivih podatkov ali je za izvedbo povezovanja potrebna uporaba istega povezovalnega znaka, povezovanje ni dovoljeno brez predhodnega dovoljenja nadzornega organa.

IP na podlagi informacij, ki ste mu jih posredovali, ne more podati dokončnega odgovora o tem, ali gre v opisanem primeru za povezavo zbirk osebnih podatkov v smislu 6. poglavju VI. dela ZVOP-1 ali pa za pridobivanje osebnih podatkov prek telekomunikacijskih sredstev oziroma omrežij. Takšno dokončno opredelitev bi lahko podal le v postopku inšpekcijskega nadzora ali v postopku odločanja o izdaji dovoljenja za povezavo zbirk osebnih podatkov, kjer bi moral natančno proučiti delovanje tehnične rešitve (spletnega servisa). IP vam zato sklepno svetuje, da glede na zasledovane cilje in zgornja pojasnila natančno opredelite posamezne podatkovne tokove za predvidene oblike obdelav osebnih podatkov v okviru informacijskih sistemov vključenih upravljavcev, ki jih navajate v vašem zaprosilu za mnenje (zlasti način delovanja spletnega servisa). Glede na to bo potem lažje presoditi, za kakšne vrste obdelave osebnih podatkov gre v konkretnem primeru (posredovanje, pridobivanje, povezovanje). V kolikor na ta način ugotovite, da bi v konkretnem primeru šlo za posredovanje oziroma pridobivanje osebnih podatkov, ne obstajajo nobene vaše obveznosti v razmerju do IP. V kolikor pa na ta način potrdite, da bi v konkretnem primeru dejansko šlo za povezovanje osebnih podatkov, pa IP glede na navedbe v vašem zaprosilu za mnenje, iz katerih izhaja, da se namerava želeno povezovanje izvesti s pomočjo identifikacijske številke kmetijskega gospodarstva (KMG-MID), pojasnjuje, da za izvedbo takšnega povezovanja ni treba pridobiti odločbe oziroma predhodnega dovoljenja IP za vzpostavitev nameravane povezave zbirk osebnih podatkov, saj se KMG-MID po mnenju IP ne more šteti kot isti povezovalni znak iz 20. točke 6. člena ZVOP-1, ker ne pomeni enolične identifikacijske številke posameznika, ampak gre za identifikacijsko številko kmetijskega gospodarstva. Prav tako iz določb ZKme-1 in navedb v vašem zaprosilu za mnenje izhaja, da zbirke osebnih podatkov, ki naj bi se jih povezovalo, ne vsebujejo občutljivih osebnih podatkov, niti ne bi povezovanje imelo za posledico razkritje občutljivih podatkov. IP zato meni, da bi bilo v tem primeru tako treba upoštevati drugi odstavek 84. člena ZVOP-1, ki določa, da so upravljavci ali upravljavec osebnih podatkov, ki povezuje dve ali več zbirk osebnih podatkov, ki se vodijo za različne namene, dolžni o tem predhodno pisno obvestiti državni nadzorni organ. Iz smiselne razlage te določbe po mnenju IP izhaja, da IP o tem obvesti upravljavec, ki želi vzpostaviti določeno povezavo in torej svojo oziroma svoje zbirke podatkov želi povezati z zbirkami drugega upravljavca oziroma drugih  upravljavcev.

S spoštovanjem.

Pripravil:

Matej Sironič,                                                   

Svetovalec pooblaščenca

za varstvo osebnih podatkov

Mojca Prelesnik, univ. dipl. prav.,

Informacijska pooblaščenka