Informacijski pooblaščenec Republika Slovenija
   
dekorativna slika

Zaščita finančnih interesov Unije

+ -
Datum: 21.06.2022
Številka: 07120-1/2022/220
Kategorije: Posredovanje OP med upravljavci, Pravne podlage

Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaše zaprosilo za mnenje glede zagotovitve podatkov za zaščito finančnih interesov Unije.

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba o varstvu podatkov), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, 177/20, v nadaljevanju: ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju: ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.

Uredba (EU) 2021/241 Evropskega parlamenta in Sveta z dne 12. februarja 2021 o vzpostavitvi Mehanizma za okrevanje in odpornost, ki se neposredno uporablja v vseh državah članicah EU, taksativno določa kategorije (osebnih) podatkov, ki se lahko zbirajo.

O b r a z l o ž i t e v:

IP uvodoma poudarja, da v okviru nezavezujočega mnenja ne more podajati celovite ocene predvidenih dejanj obdelave osebnih podatkov v konkretnem primeru. Dokončno presojo zakonitosti obdelave osebnih podatkov lahko IP poda le v konkretnem inšpekcijskem ali drugem upravnem postopku.

IP uvodoma pojasnjuje. da morajo skladno z določbami točke (d) 22. člena Uredbe (EU) 2021/241 Evropskega parlamenta in Sveta z dne 12. februarja 2021 o vzpostavitvi Mehanizma za okrevanje in odpornost države članice za namene revizije in nadzora in za zagotovitev primerljivih informacij o porabi sredstev v zvezi z ukrepi za izvajanje reform in naložbenih projektov v okviru načrta za okrevanje in odpornost zbrati naslednje standardizirane kategorije podatkov in zagotoviti dostop do njih:

-       ime končnega prejemnika sredstev;

-       ime izvajalca in podizvajalca, kadar je končni prejemnik sredstev javni naročnik v skladu s pravom Unije ali nacionalnim pravom o javnem naročanju;

-       imena, priimke in datume rojstva dejanskih lastnikov prejemnika sredstev ali izvajalca, kot so opredeljeni v točki 6 člena 3 Direktive (EU) 2015/849 Evropskega parlamenta in Sveta;

-       seznam vseh ukrepov za izvajanje reform in naložbenih projektov v okviru načrta za okrevanje in odpornost s skupnim zneskom javnega financiranja teh ukrepov in navedbo zneska sredstev, ki se izplačajo v okviru Mehanizma in drugih skladov Unije.

Kategorije podatkov, ki se lahko zbirajo, so tako jasno in taksativno določene. IP opozarja, da je za namen nadzora dopustno obdelovati samo tiste podatke, ki se navezujejo na konkreten primer in ne pridobiti celotnih zbirk podatkov. IP nadalje glede obvestila oziroma odločbe IP pojasnjuje, da to pride v poštev v primeru povezovanja zbirk osebnih podatkov.  V 84. členu ZVOP-1 je tako v drugem odstavku določeno, da so upravljavci ali upravljavec osebnih podatkov, ki povezuje dve ali več zbirk osebnih podatkov, ki se vodijo za različne namene, dolžni o tem predhodno pisno obvestiti državni nadzorni organ. Tretji odstavek 84. člena ZVOP-1 nadalje določa, da če vsaj ena zbirka osebnih podatkov, ki naj bi se jo povezovalo, vsebuje občutljive osebne podatke, ali če bi povezovanje imelo za posledico razkritje občutljivih podatkov ali je za izvedbo povezovanja potrebna uporaba istega povezovalnega znaka, povezovanje ni dovoljeno brez predhodnega dovoljenja nadzornega organa. Samo v tem primeru je torej treba pridobiti odločbo IP.

IP dodatno pojasnjuje, da v kolikor povezovanje zbirk podatkov ne poteka z uporabo istih povezovalnih znakov (osebna identifikacijska številka in druge z zakonom opredeljene enolične identifikacijske številke posameznika, z uporabo katerih je mogoče zbirati oziroma priklicati osebne podatke iz tistih zbirk osebnih podatkov, v katerih so obdelovani tudi isti povezovalni znaki, kot sta npr. EMŠO in davčna številka posameznika), temveč na podlagi enoličnih identifikatorjev poslovnih subjektov (npr. matična številka poslovnega subjekta), potem ne gre za povezovanje zbirk osebnih podatkov v smislu določb ZVOP-1. prenos podatkov iz AJPES je v takem primeru stvar ustreznega tehničnega in organizacijskega dogovora z AJPES.

Ob tem IP pojasnjuje, da je Uredba (EU) 2021/241 Evropskega parlamenta in Sveta z dne 12. februarja 2021 o vzpostavitvi Mehanizma za okrevanje in odpornost v celoti zavezujoča in se neposredno uporablja v vseh državah članicah EU.

IP nadalje pojasnjuje, da je Vlada RS izdala Uredbo o izvajanju Uredbe (EU) o Mehanizmu za okrevanje in odpornost (Uradni list RS, št. 167/21; v nadaljevanju: uredba), ki v tretjem odstavku 11. člena določa, da je naloga izvajalcev ukrepov med drugim tudi zagotavljanje podatkov o končnih prejemnikih. V skladu z 20. členom uredbe morajo udeleženci izvajanja načrta zagotavljati dostopnost podatkov domačim in evropskim nadzornim institucijam, v skladu s 24. členom uredbe pa morajo nosilni organi in izvajalci ukrepov, ki imajo urejen dostop do informacijske podpore za izvajanje načrta, sproti oziroma najmanj dvakrat mesečno vanjo vnašajo podatke o izvajanju ukrepov ter spremljanju in doseganju mejnikov in ciljev. Glede roka hrambe je v 28. členu uredbe določeno, da se dokumentacija o izvajanju mehanizma hrani v skladu s pravili hrambe dokumentarnega gradiva, vendar najmanj pet let po zadnjem plačilu, prejetem od Evropske komisije v zvezi z izvajanjem načrta.

Glede samega zbiranja in obdelave podatkov IP pojasnjuje, da so subjekti, ki lahko obdelujejo določene podatke, razvidni iz v prejšnjem odstavku omenjenih določil uredbe. Obdelava oziroma dostop do osebnih podatkov znotraj teh subjektov pa je načeloma stvar odločitve vodstva ter posledično notranje organizacije subjekta in njegove ureditve v internih aktih. Vsak posamični subjekt mora pri obdelavi osebnih podatkov upoštevati temeljna načela iz 5. člena Splošne uredbe o varstvu podatkov. V skladu z načelom najmanjšega obsega podatkov iz točke (e) tega člena mora biti obdelava osebnih podatkov (npr. dostopanje zaposlenih do osebnih podatkov) omejena na to, kar je potrebno za namene, za katere se ti podatki obdelujejo. To pomeni, da je pri določanju pravic dostopa treba vzeti v obzir naloge, naravo dela in delovne obveznosti posamičnega zaposlenega. Za posamezno vrsto osebnih podatkov je tako treba pretehtati, kateri izmed zaposlenih se morajo seznaniti s temi podatki glede na namene, za katere se obdelujejo.

 

S spoštovanjem.

 

 

Pripravil:

Matej Sironič,                                                   

Svetovalec pooblaščenca

za varstvo osebnih podatkov

 

Mojca Prelesnik, univ. dipl. prav.,

Informacijska pooblaščenka