Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Mnenja - VOP

+ -
Datum: 19.07.2007
Naslov: Zakon določa nabor OP, zbirka pa ne vsebuje vseh
Številka: 0712-641/2007/2
Vsebina: Zbirke osebnih podatkov
Pravni akt: Mnenje

Spoštovani,


prejeli smo vaše elektronsko sporočilo.


V njem nas sprašujete, ali je potrebno, da se zahtevane evidence osebnih podatkov vodijo v eni evidenci, ali so lahko podatki ene evidence fizično ločeni.
Poleg navedenega vas zanima tudi, ali podjetje s tem, ko nima vseh podatkov posamezne evidence, katere zahteva posamezni zakon, ker s takšnimi podatki dejansko ne razpolaga, krši zakon (tisti, ki zahteva takšno evidenco). V zvezi s tem nas sprašujete tudi, ali kršite ZVOP-1, če takih neposedujočih podatkov ne sporočite Informacijskemu pooblaščencu kot podatkov posamezne evidence.

 

Ker lahko avtentično razlago posameznih določb zakona daje le Državni zbor, neobvezno pa predlagatelj zakona, vam na podlagi informacij, ki ste nam jih posredovali, v nadaljevanju na podlagi 7. točke prvega odstavka 49. člen ZVOP-1 ter 2. člena Zakona o Informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje.

 

Osebni podatek je v skladu s 1. tč. 6. člena ZVOP-1 katerikoli podatek, ki se nanaša na posameznika, ne glede na obliko, v kateri je izražen.

 

Posameznik je v skladu s 2. tč. 6. člena ZVOP-1 določena ali določljiva fizična oseba, na katero se nanaša osebni podatek; fizična oseba je določljiva, če se jo lahko neposredno ali posredno identificira, predvsem s sklicevanjem na identifikacijsko številko ali na enega ali več dejavnikov, ki so značilni za njeno fizično, fiziološko, duševno, ekonomsko, kulturno ali družbeno identiteto, pri čemer način identifikacije ne povzroča velikih stroškov, nesorazmerno velikega napora ali ne zahteva veliko časa.

 

Zbirka osebnih podatkov je v skladu s 5. tč. 6. člena ZVOP-1 vsak strukturiran niz podatkov, ki vsebuje vsaj en osebni podatek, ki je dostopen na podlagi meril, ki omogočajo uporabo ali združevanje podatkov, ne glede na to, ali je niz centraliziran, decentraliziran ali razpršen na funkcionalni ali geografski podlagi; strukturiran niz podatkov je niz podatkov, ki je organiziran  na takšen način, da določi ali omogoči določljivost posameznika.

 

Iz zgornje definicije zbire osebnih podatkov sledi, da je določeno zbirko podatkov treba šteti za zbirko osebnih podatkov, če so izpolnjeni naslednji pogoji:
- gre za osebne podatke,  
- gre za strukturiran niz teh podatkov,
- je ta dostopen v skladu s posebnimi merili.
Iz vašega vprašanja ni povsem razvidno, ali imate, ko govorite o evidenci oziroma o evidencah, v mislih eno ali več zbirk osebnih podatkov. V zvezi z medsebojnim ločevanjem različnih zbirk osebnih podatkov Informacijski pooblaščenec poudarja, da se zbirke med seboj razlikujejo predvsem glede na kategorijo posameznikov, katerih osebni podatki so vsebovani v posamezni zbirki, glede na namen, v katerega se osebni podatki v taki zbirki obdelujejo in glede na vrste osebnih podatkov, ki se v posamezni zbirki nahajajo. Za samostojno zbirko osebnih podatkov gre vedno, kadar se osebni podatki nanašajo na drugo kategorijo posameznikov kot osebni podatki druge zbirke osebnih podatkov. Če imate na primer že vzpostavljene zbirke osebnih podatkov, ki se nanašajo na zaposlene, želite pa vzpostaviti zbirko osebnih podatkov, ki se nanašajo na vaše kupce, je evidenca kupcev samostojna zbirka osebnih podatkov, saj se v njej nahajajo osebni podatki druge kategorije posameznikov (kupci) kot v prvi zbirki (zaposleni). Če pa se osebni podatki, ki jih obdelujete, nanašajo na isto kategorijo posameznikov, pa morate biti pozorni na namen obdelave osebnih podatkov in na vrste osebnih podatkov, ki se nahajajo v zbirki osebnih podatkov. Upravljavec osebnih podatkov namreč lahko posamezno zbirko podatkov v skladu z ZVOP-1 obdeluje tudi v več različnih namenov, vendar pa Informacijski pooblaščenec poudarja, da če se pri obdelavi od enega od teh namenov spremeni tudi nabor obdelovanih osebnih podatkov, ne gre več za isto zbirko osebnih podatkov, ampak za dve ali več zbirk. Za primer lahko navedemo zbirke osebnih podatkov, ki jih predvideva Zakon o evidencah na področju dela in socialne varnosti (Uradni list RS, št. 40/2006, v nadaljevanju ZEPDSV) in v katerih se nahajajo osebni podatki zaposlenih delavcev, vendar so od zbirke do zbirke različne tako vrste osebnih podatkov, ki se v njih nahajajo, kot tudi namen obdelave takih podatkov. Na podlagi povedanega Informacijski pooblaščenec zaključuje, da gre za različne zbirke osebnih podatkov v primeru, ko se v njih vsebovani osebni podatki nanašajo na različne kategorije posameznikov, pa tudi v primeru, ko se osebni podatki nanašajo ne isto kategorijo posameznikov, vendar sta različna tako nabor obdelovanih osebnih podatkov in kakor tudi namen njihove obdelave.

 

Če gre pri evidenci iz vašega dopisa po pravkar navedenih merilih za eno zbirko osebnih podatkov, pa Informacijski pooblaščenec poudarja, da ZVOP-1 ne zahteva, da se vsi osebni podatki, ki se nahajajo v določeni zbirki osebnih podatkov, fizično hranijo na enem mestu, npr. v eni mapi. Tudi, če se ročno vodena evidenca fizično nahaja na več različnih mestih, gre torej še vedno za zbirko osebnih podatkov v smislu 5. tč. 6. člena ZVOP-1, pri čemer pa Informacijski pooblaščenec opozarja, da morajo biti vsi deli te »razpršene« zbirke osebnih podatkov zavarovani skladno z 24. in 25. členom ZVOP-1. Informacijski pooblaščenec je torej mnenja, da je tako hranjenje zbirke osebnih podatkov na več fizično ločenih mestih skladno z ZVOP-1, če so pri tem posamezni deli zbirke in s tem zbirka kot celota ustrezno zavarovani.

 

Glede vašega drugega vprašanja, ali podjetje krši zakon, če ne zbira oziroma ne razpolaga z določenimi osebnimi podatki, čeprav določen zakon predvideva zbiranje in obdelavo teh podatkov s strani podjetja, pa je Informacijski pooblaščenec mnenja, da takšno ravnanje podjetja vsaj z vidika ZVOP-1 ni sporno. Posamezni zakoni namreč določajo osebne podatke, ki jih lahko zbirajo in obdelujejo posamezni upravljavci osebnih podatkov in tudi namen, za katerega se takšni podatki lahko obdelujejo. Pri določanju nabora osebnih podatkov, ki se lahko obdelujejo za določen namen, mora že zakonodajalec upoštevati splošno ustavno načelo sorazmernosti in v tak nabor osebnih podatkov, ki se lahko obdelujejo, vključiti le osebne podatke, ki so ustrezni in po obsegu primerni glede na namen, za katerega se zbirajo in nadalje obdelujejo. Na podlagi povedanega Informacijski pooblaščenec sklepa, da so osebni podatki, ki jih obdelujete na podlagi tega zakona, ustrezni in po obsegu primerni glede na namen, za katerega se obdelujejo, kar pomeni, da namena, zaradi katerega je potrebna obdelava teh podatkov, ni mogoče doseči z obdelavo ožjega nabora oziroma manjšega števila osebnih podatkov. Če v tem primeru ne obdelujete vseh osebnih podatkov, ki jih določa tak zakon, bi lahko šlo za kršitev tega zakona, saj z manjšim naborom osebnih podatkov, kot so določeni v zakonu, ne bi bilo mogoče doseči namena, za katerega se obdelujejo.
Če ste mislili na podatek, ki ga v zbirki nimate, zato ker le ta sploh ne obstaja (recimo podatek o invalidnosti zaposlenega, pa nihče od zaposlenih ni invalid), pa seveda osebnega podatka ni potrebno »umetno« ustvariti.

 

Povedano pa velja samo v primeru, ko zakon določa, da ste dolžni zbirati in obdelovati določen nabor osebnih podatkov, ne pa tudi v primeru, ko zakon določa, da lahko obdelujete določene osebne podatke. V slednjem primeru se (v okviru nabora osebnih podatkov, ki jih našteva zakon) sami odločite, katere od določenih osebnih podatkov potrebujete za doseganje zakonitega namena.

 

Informacijski pooblaščenec zaključuje, da v primeru, ki ga opisujete ne gre za kršitev ZVOP-1, kot rečeno pa bi lahko šlo pri razpolaganju z manjšim naborom osebnih podatkov kot jih določa nek zakon (kot smo videli samo, če določa njihovo obdelavo kot obvezno) za posredno kršitev tega zakona, če posledično (zaradi premalo podatkov) ne bi bilo mogoče zasledovati namena obdelave osebnih podatkov.

 

Glede vašega vprašanja v zvezi s pripravo katalogov zbirk osebnih podatkov, pa je Informacijski pooblaščenec mnenja, da pod točko 5. kataloga zbirke: »vrste osebnih podatkov v zbirki osebnih podatkov«, vpišete samo osebne podatke, ki jih dejansko zbirate in obdelujete, ne pa vseh osebnih podatkov, katerih obdelavo predvideva zakon, jih pa v vašem podjetju ne zbirate in obdelujete.

 

S spoštovanjem,

 

Informacijski pooblaščenec
Nataša Pirc Musar, univ. dipl. prav.
pooblaščenka