Informacijski pooblaščenec Republika Slovenija
   
dekorativna slika

Izmenjava podatkov o napotenih delavcih med ZZZS in FURS

+ -
Datum: 01.02.2023
Številka: 07120-1/2023/34
Kategorije: Pravne podlage

Informacijski pooblaščenec (v nadaljevanju IP) je po elektronski pošti prejel vaš dopis, v katerem pojasnjujete, da sta dve resorni ministrstvi v času priprave predloga Zakona o čezmejnem izvajanju storitev (v nadaljevanju ZČmIS-1) zaznali sum oškodovanja javnih financ v zvezi s plačilom prispevkov za obvezno zavarovanje za delavce, ki so napoteni na delo v tujino. Zaradi navedenega želi FURS preveriti, ali delodajalci sistemsko kršijo ureditev, ki določa različne osnove za plačilo prispevkov zavarovancev, ki so napoteni v tujino, ter zavarovancev, ki le začasno nadomeščajo delavca, napotenega na tujino. Da bi lahko FURS opravil natančno analizo podatkov, potrebuje dostop do potrdil o vključitvi v sistem obveznega zavarovanja, ki jih izdaja ZZZS, ter davčno številko osebe ter kraj in trajanje napotitve. Zanima vas, ali bi bila lahko za izmenjavo podatkov med ZZZS in FURS primerna pravna podlaga 17. in/ali 18. točka prvega odstavka 11. člena Zakona o finančni upravi (ZFU) oziroma ali je tovrstna izmenjava podatkov zajeta v 3. točki četrtega odstavka 46. člena ZFU. Če to ni zadostna podlaga, pa vas zanima, ali lahko uporabite izjemo iz četrtega odstavka 9. člena Zakona o varstvu osebnih podatkov (ZVOP-1).

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22, ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A, ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

IP poudarja, da mora upravljavec sam pretehtati, ali za predlagano obdelavo osebnih podatkov obstaja ustrezna pravna podlaga. IP tega izven nadzornega postopka žal ne more, saj nam niso znane vse okoliščine in podrobnosti nameravane obdelave. V predstavljenem primeru je treba torej natančno preučiti, ali ZFU FURS-u nalaga tovrstno analizo sistemskih kršitev kot zakonsko obveznost ali pa bi lahko glede na vse okoliščine primera trdili, da je takšna obdelava nujna in ne bi posegla v upravičene interese udeleženih posameznikov. Glede na to, da je dokazno breme zakonitosti obdelave na upravljavcu osebnih podatkov, svetujemo, da vsak premislek, ki vodi v odločitev (na primer o tem, da je obdelava nujna, da ne posega v upravičene interese itd.), upravljavec pred odločitvijo o uvedbi obdelave pisno dokumentira.

O b r a z l o ž i t e v:

Vsaka obdelava osebnih podatkov mora temeljiti na ustrezni in zakoniti pravni podlagi. Te so določene v prvem odstavku 6. člena Splošne uredbe in so sledeče:

  • privolitev (točka a)),
  • sklenitev ali izvajanje pogodbe (točka b)),
  • zakon (točka c)),
  • zaščita življenjskih interesov posameznika (točka d)),
  • izvajanje javne naloge (točka e) v zvezi s četrtim odstavkom 6. člena ZVOP-2),
  • zakoniti interesi upravljavca, če ne prevladajo interesi in pravice oz. svoboščine posameznika (točka f)).

Dne 26. 1. 2023 je v veljavo stopil nov Zakon o varstvu osebnih podatkov (ZVOP-2), ki obdelavo osebnih podatkov v javnem sektorju ureja nekoliko drugače, kot je to veljalo za ZVOP-1. Ko torej v vašem zaprosilu za mnenje citirate ZVOP-1 in sprašujete glede izjeme po četrtem odstavku 9. člena ZVOP-1 vam moramo torej sporočiti, da ZVOP-1 ni več v veljavi, sprejet in uveljavljen pa je bil ZVOP-2, o čemer bomo več zapisali v nadaljevanju.

V vašem primeru sta pomembni dve določbi ZVOP-2 glede obdelave osebnih podatkov v javnem sektorju, in sicer določba drugega in četrtega odstavka 6. člena ZVOP-2. Drugi odstavek določa, da je obdelava zaradi izvajanja zakonske obveznosti, javnega interesa ali izvajanja javne oblasti v primerih, ki temeljijo na točkah c) in e) prvega odstavka 6. člena Splošne uredbe, zakonita le, če obdelavo osebnih podatkov, vrste osebnih podatkov, ki naj se obdelujejo, kategorije posameznikov, na katere se ti osebni podatki nanašajo, namen njihove obdelave in rok hrambe osebnih podatkov ali rok za redni pregled potrebe po hrambi določa zakon.

Četrti odstavek 6. člena ZVOP-2 pa določa še, da se ne glede na določbe drugega odstavka tega člena za izvrševanje točke e) prvega odstavka 6. člena Splošne uredbe lahko v javnemu sektorju izjemoma obdelujejo tisti osebni podatki, ki so nujno potrebni za izvrševanje zakonitih pristojnosti, nalog ali obveznosti javnega sektorja, če se s to obdelavo ne poseže v upravičen interes posameznika, na katerega se osebni podatki nanašajo.

V konkretnem primeru je treba najprej ugotoviti, ali bi bila možna obdelava osebnih podatkov na podlagi točke c) ali na podlagi točke e) prvega odstavka 6. člena Splošne uredbe, ki urejata obdelavo osebnih podatkov v javnem sektorju. IP za odgovor na to vprašanje ne pozna dovolj natančno vseh podrobnosti obdelave, ki jo predlagate v vašem dopisu, a tudi če bi bili znane vse okoliščine obdelave, IP v neobveznem mnenju takšne presoje ne more opraviti. Presoja zakonitosti obdelave s strani IP je mogoča le v nadzornem postopku.

Na upravljavcu (oziroma v konkretnem primeru celo na več udeleženih upravljavcih osebnih podatkov) je torej breme iskanja in nato dokazovanja ustrezne pravne podlage za obdelavo osebnih podatkov. IP meni, da je v predstavljenem primeru potrebno natančno poznavanje vseh okoliščin in tudi ustrezna interpretacija samega Zakona o finančni upravi v zvezi z opredeljevanjem nalog FURS, za kar je pristojno Ministrstvo za finance.

IP pa lahko v nadaljevanju ponudi določeno pomoč pri razmislekih o ustreznih pravnih podlagah.

Glede podlage iz točke c) prvega odstavka 6. člena Splošne uredbe – izpolnitev zakonske obveznosti

Točka c) prvega odstavka 6. člena Splošne uredbe določa, da je obdelava zakonita, če je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca. Kot potencialne pravne podlage oziroma pravne določbe, ki opredeljujejo zakonske obveznosti FURS, v vašem dopisu navajate 17. in 18. točko prvega odstavka 11. člena Zakona o finančni upravi (Uradni list RS, št. 25/14 in 39/22; v nadaljevanju ZFU) ter 3. točko četrtega odstavka 46. člena ZFU.

V 11. členu so določene naloge finančne uprave, ki med drugim zajemajo:

17. proučevanje in analiziranje delovanja sistema obveznih dajatev ter zagotavljanje obvladovanj tveganj,

18. spremljanje izvajanja predpisov iz pristojnosti finančne uprave in učinkov posameznih rešitev z vnaprej določenimi merili.

3. točka četrtega odstavka 46. člena ZFU pa določa, da FURS pridobiva podatke iz davčnega registra (49. člen) in podatke, ki jih vodi v drugih evidencah (opredeljenih v 60. členu), s povezovanjem davčnega registra, omenjenih evidenc iz 60. člena in zbirk podatkov (med drugim) Zavoda za zdravstveno zavarovanje Slovenije. Pri tem je pomembno upoštevati tudi 48. člen ZFU, ki določa namen obdelave osebnih podatkov v davčnem registru, in sicer »zaradi pobiranja davkov, ter zaradi opravljanja drugih nalog, določenih s tem zakonom

Upravljavec sam mora ugotoviti, ali predstavlja točka 17. prvega odstavka 11. člena ZFU v povezavi z 46. in 48. členom ZFU zakonsko obveznost, ki velja za upravljavca. Pri 18. točki pa se je dodatno treba vprašati o merilih za spremljanje izvajanja predpisov in učinkov ter ali so bila ta merila sprejeta in ali bi lahko iz te točke sploh izhajala obveznost obdelave osebnih podatkov. V zvezi z navedenimi zakonskimi določbami se torej morate vprašati, ali predstavljajo zakonsko obveznost in konkretno katere osebne podatke zakon nalaga obdelovati za te namen. Nenazadnje se lahko pri tem spomnimo določbe drugega odstavka 6. člena ZVOP-2, ki določa, da mora zakon določati »obdelavo osebnih podatkov, vrste osebnih podatkov, ki naj se obdelujejo, kategorije posameznikov, na katere se ti osebni podatki nanašajo, namen njihove obdelave in rok hrambe osebnih podatkov ali rok za redni pregled potrebe po hrambi določa zakon«.

Glede podlage iz točke e) prvega odstavka 6. člena Splošne uredbe - opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti

IP pa k razmisleku o ustrezni pravni podlagi dodaja, da v kolikor bi se FURS naslonil na točko e) prvega odstavka 6. člena Splošne uredbe, je treba biti zaradi določbe četrtega odstavka 6. člena ZVOP-2 pozoren predvsem na dva elementa obdelave, in sicer:

-       osebni podatki morajo biti nujno potrebni za izvrševanje zakonitih pristojnosti, nalog ali obveznosti javnega sektorja;

-       s takšno obdelavo se ne sme poseči v upravičen interes posameznika, na katerega se osebni podatki nanašajo.

Pri prvem pogoju se tehta sam obseg in naravo osebnih podatkov, pri drugem pogoju pa se tehta upravičen interes posameznika, ki ne sme biti »okrnjen« z obdelavo osebnih podatkov za namene, ki jih zasleduje upravljavec. O tem lahko IP sodi le v morebitnem nadzornem postopku in na tem mestu ne moremo z gotovostjo trditi, ali bi predlagana obdelava posegala ali ne bi posegala v upravičen interes posameznika.

Načelo sorazmernosti

Poleg načela zakonitosti, po katerem mora biti za vsako obdelavo osebnih podatkov podana ustrezna, pa je treba v kontekstu vašega vprašanja upoštevati tudi načelo najmanjšega obsega podatkov oziroma načelo sorazmernosti. Točka b) prvega odstavka 5. člena Splošne uredbe namreč določa, da morajo biti osebni podatki, ki se obdelujejo ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo.

Izpeljava načela sorazmernosti pelje v sklep, da če je možno isti namen doseči z manj ali celo brez osebnih podatkov, se mora upravljavec osebnih podatkov te možnosti tudi poslužiti. IP meni, da lahko (tudi če obstaja zakonita pravna podlaga za obdelavo osebnih podatkov za namene izvajanja analize sistemskih kršitev) vsaj določen del analiz opravite brez osebnih podatkov posameznikov – torej z anonimiziranimi podatki ali vsaj s psevdonimiziranimi podatki, kar izboljša samo varnost obdelave osebnih podatkov. Pri psevdonimiziranih podatkih pa IP opozarja, da so to vseeno osebni podatki, za katere veljajo vse določbe Splošne uredbe in ZVOP-2, torej je njihova obdelava dopustna le, če obstaja katera izmed pravnih podlag.

IP za zaključek poudarja, da mora upravljavec sam pretehtati, ali za predlagano obdelavo osebnih podatkov obstaja ustrezna pravna podlaga. V predstavljenem primeru je treba natančno preučiti, ali ZFU FURS-u nalaga tovrstno analizo sistemskih kršitev kot zakonsko obveznost ali pa bi lahko glede na vse okoliščine primera trdili, da je takšna obdelava nujna in ne bi posegla v upravičene interese udeleženih posameznikov. Glede na to, da je dokazno breme zakonitosti obdelave na upravljavcu osebnih podatkov, svetujemo, da vsak premislek, ki vodi v odločitev (na primer o tem, da je obdelava nujna, da ne posega v upravičene interese itd.), upravljavec pred odločitvijo o uvedbi obdelave pisno dokumentira.

Na koncu vas želimo napotiti še na 41. člen ZVOP-2, ki določa postopek posredovanja osebnih podatkov, ki ga je treba upoštevati pri pridobivanju podatkov od ZZZS, v kolikor se seveda ugotovi, da za to obstaja ustrezna pravna podlaga.

Lepo vas pozdravljamo,

 

Mojca Prelesnik, univ.dipl.prav.,                                                 

informacijska pooblaščenka

 

Pripravila:                                                                                                                                

mag. Polona Merc, univ. dipl. prav.,

svetovalka IP za varstvo osebnih podatkov