Pridobivanje osebnih podatkov upokojencev od občine
+ -Številka: 07121-1/2023/648
Kategorije: Društva, Občine, Pogodbena obdelava podatkov
Informacijski pooblaščenec (v nadaljevanju IP) je dne 25. 4. 2023 prejel vaš dopis, v katerem vas zanima, ali je mnenje, ki smo vam ga izdali leta 2020 (07121-1/2020/90) glede pridobivanja osebnih podatkov upokojencev od občine s strani društva še vedno aktualno in uporabljivo.
Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22, ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A, ZInfP) posredujemo naše nezavezujoče mnenje v zvezi z vašim vprašanjem.
1. Občina društvu ne sme posredovati osebnih podatkov posameznikov (zgolj) za izvajanje aktivnosti ali projektov društva, ampak šele, ko gre za projekt oziroma aktivnost, ki jo v okviru izvajanja svojih nalog na primer "pospeševanja službe socialnega skrbstva, za predšolsko varstvo, osnovno varstvo otroka in družine, za socialno ogrožene, invalide in ostarele" pri društvu "naroči" občina in skladno s tem ustrezno formalno prenese izvajanje svoje izvirne pristojnosti na društvo.
2. V tem primeru morata občina in društvo svoj odnos tudi ustrezno (pogodbeno) urediti kot to določa 28. člen Splošne uredbe.
3. V kolikor društvo obdeluje osebne podatke v svojem imenu in za svoje lastne aktivnosti, mora za tako obdelavo zagotoviti ustrezno pravno podlago po 6. oz. 9. členu Splošne uredbe.
O b r a z l o ž i t e v:
IP uvodoma poudarja, da konkretnega in dokončnega odgovora o zakonitosti posredovanja osebnih podatkov v okviru mnenja v nobenem primeru ne more podati, saj lahko IP posamezne primere obdelave podatkov konkretno presoja zgolj v okviru inšpekcijskega ali drugega upravnega postopka.
V zvezi z vašim vprašanjem zgolj pojasnjujemo, da posredovanje osebnih podatkov upokojenih občanov s strani občine vašemu društvu predstavlja obdelavo osebnih podatkov, ki pa mora imeti ustrezno pravno podlago, da je le-ta obdelava zakonita in skladna s predpisi varstva osebnih podatkov. Osebni podatki se lahko obdelujejo le takrat in v obsegu, kadar je to v skladu s pravnimi podlagami za obdelavo osebnih podatkov iz prvega odstavka 6. in 9. člena Splošne uredbe (6. člen ZVOP-2).
V skladu z drugim odstavkom 6. člena ZVOP-2 je obdelava osebnih podatkov v javnem sektorju (kamor sodijo tudi občine) zaradi izvajanja zakonske obveznosti, javnega interesa ali izvajanja javne oblasti v primerih iz točk c) in e) prvega odstavka ter drugega in tretjega odstavka 6. člena Splošne uredbe zakonita le, če obdelavo osebnih podatkov, vrste osebnih podatkov, ki naj se obdelujejo, kategorije posameznikov, na katere se ti osebni podatki nanašajo, namen njihove obdelave in rok hrambe osebnih podatkov ali rok za redni pregled potrebe po hrambi določa zakon.
Področni zakon v smislu točke (c) prvega odstavka 6. člena Splošne uredbe, v konkretnem primeru, predstavlja Zakon o lokalni samoupravi[1] (v nadaljevanju ZLS). Ta v 21. členu določa, da občina samostojno opravlja lokalne zadeve javnega pomena “(izvirne naloge)“, ki jih določi s splošnim aktom občine ali so določene z zakonom. V skladu z drugim odstavkom istega člena tako občina za zadovoljevanje potreb svojih prebivalcev opravlja določene naloge, med drugim tudi pospešuje službe socialnega skrbstva, za predšolsko varstvo, osnovno varstvo otroka in družine, za socialno ogrožene, invalide in ostarele. ZLS nadalje v 21.a členu določa, da občina pridobiva podatke, ki jih potrebuje za opravljanje nalog iz svoje pristojnosti, jih obdeluje ter opravlja statistično, evidenčno in analitično funkcijo za svoje potrebe. Na podlagi izrecne določbe šestega odstavka 21.a člena, lahko občina zaradi izvajanja nalog iz svoje pristojnosti v skladu z nameni in pod pogoji določenimi v zakonu, posreduje pridobljene podatke fizičnim in pravnim osebam.
V kolikor bi torej občina za izvedbo posameznih nalog iz lastne pristojnosti prenesla na drug subjekt, bi lahko v zvezi s tem temu subjektu posredovala tudi tiste osebne podatke, ki so za izvajanje te konkretne naloge nujno potrebni (upoštevaje načelo najmanjšega obsega podatkov). Prenos izvedbe posameznih izvirnih nalog občine na drug subjekt in s tem povezano posredovanje osebnih podatkov, ki jih občina zakonito obdeluje ter so potrebni in primerni za izvedbo teh nalog pa mora biti v takem primeru ustrezno formaliziran (in skladen tudi z drugimi vidiki poslovanja občine, v zvezi s katerimi IP ni pristojen npr. pravila javnega razpisa, enakost obravnave itd.).
V tem kontekstu obdelave osebnih podatkov bi občina lahko nastopala kot upravljavec osebnih podatkov, saj kot javni organ določa namene in sredstva obdelave, društvo pa bi lahko predstavljalo obdelovalca osebnih podatkov, saj v imenu oziroma po naročilu upravljavca, osebne podatke obdeluje. Kadar obdelavo osebnih podatkov v imenu upravljavca izvaja obdelovalec, mora za to obstajati pisna pogodba ali drug ustrezen akt. IP poudarja, da so upravljavci odgovorni za skladnost s Splošno uredbo in imenujejo le tiste obdelovalce, ki lahko zagotavljajo »zadostna jamstva«, da se zadosti zahtevam Splošne uredbe in da se ustrezno varujejo tudi pravice posameznikov.
Upravljavec je tako v vsakem primeru dolžan poskrbeti za izvajanje vseh ukrepov varstva osebnih podatkov s strani oseb, ki v njegovem imenu obdelujejo osebne podatke ter zanj tudi primarno odgovarja (tudi po posredovanju pogodbenemu obdelovalcu). Izbor primernega načina zagotavljanja spoštovanja ukrepov varstva osebnih podatkov je odgovornost in odločitev upravljavca. Obdelovalec ne more oporekati določenim varnostnim postopkom in ukrepom, ki jih od njega zahteva upravljavec, dokler so seveda zakoniti, po drugi strani pa seveda tudi ni zavezan pristati k nudenju svojih storitev pod vsakimi pogoji. Ob tem pa IP še opozarja, da ima v določenem delu obdelovalec podobne obveznosti kot upravljavec osebnih podatkov in je neposredno odgovoren za zakonito obdelavo osebnih podatkov v okviru svojih pooblastil. Pravila zakonite obdelave osebnih podatkov mora poznati in jih v praksi tudi ustrezno izvrševati.
V kolikor bi torej občina prenesla del opravljanja svojih izvirnih nalog (npr. pospeševanje služb socialnega skrbstva za ostarele) na društvo in v zvezi s tem društvu posredovala osebne podatke, ki jih za to konkretno nalogo društvo nujno potrebuje, bi najverjetneje torej šlo za pogodbeno obdelavo osebnih podatkov, v zvezi s katero se morajo upoštevati določbe 28. člena Splošne uredbe. Ta določa minimalni obseg sestavin, ki jih mora vsebovati pisen dogovor med upravljavcem in obdelovalcem (npr. občino in društvom). Splošne uredba predpisuje, da morajo biti določeni vsebina in trajanje obdelave, narava in namen obdelave, vrsta osebnih podatkov, kategorije posameznikov, na katere se nanašajo osebni podatki, ter obveznosti in pravice upravljavca. Nadalje predpisuje, da obdelovalec:
· osebne podatke obdeluje samo po dokumentiranih navodilih upravljavca,
· zagotovi, da so osebe, ki so pooblaščene za obdelavo osebnih podatkov, zavezane k zaupnosti ali jih k zaupnosti zavezuje ustrezen zakon;
· sprejme vse ukrepe, potrebne za varnost osebnih podatkov (ukrepe opiše v internem pravilniku o varnosti osebnih podatkov);
· zaposli drugega obdelovalca le, če je prej pridobil posebno ali splošno pisno dovoljenje upravljavca in da zagotovi, da veljajo med obdelovalcem in pod-obdelovalcem enake obveznosti kot med upravljavcem in obdelovalcem in da je med njima sklenjena pisna pogodba.
· upravljavcu pomaga pri izpolnjevanju njegovih obveznosti, da odgovori na zahteve za uresničevanje pravic posameznika, na katerega se nanašajo osebni podatki;
· upravljavcu pomaga pri zagotavljanju varnosti obdelave osebnih podatkov, uradnem obveščanju o kršitvah in oceni učinkov na varstvo osebnih podatkov;
· po zaključku storitve obdelave izbriše ali vrne vse osebne podatke upravljavcu (razen kadar hrambo predpisuje zakon);
· da upravljavcu na voljo vse informacije, potrebne za dokazovanje izpolnjevanja obveznosti iz 28. člena Splošne uredbe, ter upravljavcu ali drugemu revizorju, ki ga pooblasti upravljavec, omogoči izvajanje revizij, tudi pregledov, in pri njih sodeluje.
Pri tem pa dodajamo, da Splošna uredba izrecno ne zahteva sklenitev posebne pogodbe z obdelovalcem temveč so lahko obveznosti urejene tudi z drugimi pravnimi akti (npr. pisni dogovori, sporazumi itd.). Za sprejem ustreznih dogovorov si lahko pomagate tudi s standardnimi pogodbenimi določili, ki so dostopna na spletni strani IP: https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/ključna-področja-uredbe/pogodbena-obdelava
Upoštevaje zgoraj navedeno še opozarjamo, da občina društvu ne sme posredovati osebnih podatkov posameznikov (zgolj) za izvajanje aktivnosti ali projektov društva, ampak šele, ko gre za projekt oziroma aktivnost, ki jo v okviru izvajanja svojih nalog na primer "pospeševanja službe socialnega skrbstva, za predšolsko varstvo, osnovno varstvo otroka in družine, za socialno ogrožene, invalide in ostarele" (šesta alineja drugega odstavka 21. člena ZLS) pri društvu "naroči" občina in skladno s tem ustrezno formalno prenese izvajanje svoje izvirne pristojnosti na društvo. Kot že pojasnjeno pa morata v tem primeru morata občina in društvo svoj odnos tudi ustrezno (pogodbeno) urediti kot to določa 28. člen Splošne uredbe. 3. Dodatno pa še poudarjamo, da v kolikor društvo obdeluje osebne podatke v svojem imenu in za svoje lastne aktivnosti, mora za tako obdelavo zagotoviti ustrezno pravno podlago po 6. oz. 9. členu Splošne uredbe.
Več o varstvu osebnih podatkov s strani društev in glede pogodbene obdelave osebnih podatkov, si lahko preberete tudi v naših naslednjih smernicah:
· Smernice IP o društvih in varstvu osebnih podatkov: https://www.ip-rs.si/publikacije/priročniki-in-smernice/smernice-po-splošni-uredbi-o-varstvu-podatkov-gdpr/društva-in-varstvo-osebnih-podatkov
· Smernice IP o pogodbeni obdelavi: https://www.ip-rs.si/publikacije/priročniki-in-smernice/smernice-po-splošni-uredbi-o-varstvu-podatkov-gdpr/smernice-o-pogodbeni-obdelavi
V upanju, da smo vam bili v pomoč, vas lepo pozdravljamo.
Pripravil:
Grega Rudolf,
asistent svetovalca pri IP
Mojca Prelesnik, univ.dipl.prav.,
informacijska pooblaščenka
[1] Uradni list RS, št. 94/07 – uradno prečiščeno besedilo, 76/08, 79/09, 51/10, 40/12 – ZUJF, 14/15 – ZUUJFO, 11/18 – ZSPDSLS-1, 30/18, 61/20 – ZIUZEOP-A in 80/20 – ZIUOOPE