Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Mnenja - VOP

+ -
Datum: 03.08.2007
Naslov: Zavarovalnica in podatki iz vozniškega dovoljenja
Številka: 0712-710/2007/2
Vsebina: Zavarovalništvo
Pravni akt: Mnenje

Spoštovani!
            
Dne 02. 08. 2007 je Informacijski pooblaščenec (v nadaljevanju Pooblaščenec) preko elektronske pošte prejel vaše vprašanje v zvezi z varstvom osebnih podatkov. V navedeni elektronski pošti navajate in prosite za mnenje glede sledečega:

a) če se lahko v personalni mapi zaposlenega delavca nahajajo tudi fotokopije osebnih dokumentov oz. kateri osebni podatki se lahko nahajajo?

b) ukvarjate se z mednarodnim transportom in morate občasno poslati prejemniku blaga tudi podatke voznika skupaj s sliko oz. osebni dokument, zaradi režima vstopa v njihovo skladišče.

c) ob prijavi škode morate zavarovalnici vedno poslati tudi fotokopijo vozniškega dovoljenja.

d) za zaposlene tujce pri vas morate prav tako zaradi pridobitve delovnega dovoljenja in bivalne vize hraniti fotokopijo potnega lista.

e) navajate, da pravilnika o varovanju osebnih podatkov še nimate sprejetega. Direktorju ste ga pripravili že decembra 2006, pa ga do danes še ni uspel prebrati in ga podpisati oz. sprejeti. Osebno ste kot zaposleni v kadrovski službi sicer poskrbeli, da se kadrovska evidenca nahaja v zaklenjeni omari, katere ključ imate vi in direktor.


Pooblaščenec je z vidika pristojnosti, ki jih ima po 2. členu Zakona o Informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07-ZUstS-A), preučil vašo zadevo in vam, na podlagi 7. točke prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 86/04, 113/05-ZInfP, 51/07-ZUstS-A, 67/07; v nadaljevanju ZVOP-1), posreduje neobvezno mnenje.

Splošna pravna podlaga za obdelavo osebnih podatkov je podana v 8. členu ZVOP-1. Osebni podatki se lahko obdelujejo le, če obdelavo osebnih podatkov in osebne podatke, ki se obdelujejo, določa zakon ali če je za obdelavo določenih osebnih podatkov podana osebna privolitev posameznika. Namen obdelave osebnih podatkov mora biti določen v zakonu, v primeru obdelave na podlagi osebne privolitve posameznika pa mora biti posameznik predhodno pisno ali na drug ustrezen način seznanjen z namenom obdelave osebnih podatkov. Nadalje pravne podlage za obdelavo osebnih podatkov v zasebnem sektorju, kamor po mnenju Pooblaščenca spada tudi podjetje, v katerem ste zaposleni, določa 10. člen ZVOP-1, ki določa, da se osebni podatki v zasebnem sektorju lahko obdelujejo, če obdelavo osebnih podatkov in osebne podatke, ki se obdelujejo, določa zakon ali če je za obdelavo določenih osebnih podatkov podana osebna privolitev posameznika. ZVOP-1 pa glede navedenega pozna tudi dve izjemi, in sicer da se lahko v zasebnem sektorju obdelujejo osebni podatki posameznikov, ki so z zasebnim sektorjem sklenili pogodbo ali pa so na podlagi pobude posameznika z njim v fazi pogajanj za sklenitev pogodbe, če je obdelava osebnih podatkov potrebna in primerna za izvedbo pogajanj za sklenitev pogodbe ali za izpolnjevanje pogodbe, ter druga izjema, da se lahko v zasebnem sektorju obdelujejo osebni podatki, če je to nujno zaradi uresničevanja zakonitih interesov zasebnega sektorja in ti interesi očitno prevladujejo nad interesi posameznika, na katerega se nanašajo osebni podatki.

Ad a) in d) ZVOP-1 kot splošen predpis na sistemski ravni ureja varstvo osebnih podatkov, vendar dopušča, da se varstvo osebnih podatkov ureja za posamezna pravna področja tudi s področnimi zakoni. Tako je potrebno dopustnost zbiranja osebnih podatkov o zaposlenih delavcih s strani delodajalca presojati tudi v luči pozitivne delovnopravne zakonodaje in zakonodaje s področja evidenc na področju dela in socialne varnosti.

V skladu s 46. členom Zakona o delovnih razmerjih (Uradni list RS, št. 42/02, 79/06-ZZZPB-F in 46/2007 Odl.US: U-I-45/07, Up-249/06-22, v nadaljevanju ZDR) se osebni podatki delavcev lahko zbirajo, obdelujejo, uporabljajo in dostavljajo tretjim osebam samo, če je to določeno s tem ali drugim zakonom ali če je to potrebno zaradi uresničevanja pravic in obveznosti iz delovnega razmerja ali v zvezi z delovnim razmerjem (prvi odstavek 46. člena ZDR). Drugi odstavek istega člena nadalje določa, da osebne podatke delavcev lahko zbira, obdeluje, uporablja in dostavlja tretjim osebam samo delodajalec ali delavec, ki ga delodajalec za to posebej pooblasti. Tretji odstavek pa še določa, da se morajo osebni podatki delavcev, za zbiranje katerih ne obstoji več zakonska podlaga, takoj zbrisati in prenehati uporabljati. Določbe prejšnjih odstavkov pa se uporabljajo tudi za osebne podatke kandidatov. Iz navedene določbe ZDR tako izhaja, da delodajalec lahko zbira tiste podatke zaposlenih in kandidatov za zaposlitev, ki so določeni s tem ali drugim zakonom ali če je to potrebno zaradi uresničevanja pravic in obveznosti iz delovnega razmerja ali v zvezi z delovnim razmerjem.
 
Nadalje je potrebno upoštevati tudi določbe Zakona o evidencah na področju dela in socialne varnosti (Uradni list RS, št. 40/06, v nadaljevanju ZEPDSV). Upoštevaje 12. člen ZEPDSV vodijo delodajalci naslednje evidence v skladu s tem zakonom: evidenco o zaposlenih delavcih, evidenco o stroških dela, evidenco o izrabi delovnega časa ter evidenco o oblikah reševanja kolektivnih delovnih sporov pri delodajalcu. 13. člen ZEPDSV nadalje določa, da se v evidenco o zaposlenih delavcih za vsakega delavca, ki je v delovnem razmerju, vpišejo: a) podatki o delavcu: osebno ime, datum rojstva, če oseba nima EMŠO, kraj rojstva, država rojstva, če je kraj rojstva v tujini, enotna matična številka občana, davčna številka, državljanstvo, naslov stalnega prebivališča (ulica, hišna številka, kraj, poštna številka, šifra občine, občina, šifra države, država), naslov začasnega prebivališča (ulica, hišna številka, kraj, poštna številka, šifra občine, občina, šifra države, država), izobrazba, ali je delavec invalid, kategorija invalidnosti, ali je delavec delno upokojen, ali delavec opravlja dopolnilno delo pri drugem delodajalcu, ime drugega delodajalca (in matična številka), pri katerem delavec opravlja dopolnilno delo, naslov drugega delodajalca, pri katerem delavec opravlja dopolnilno delo (ulica, hišna številka, poštna številka, kraj); b) podatki o delovnem dovoljenju delavca (tujci): vrsta delovnega dovoljenja, datum izdaje delovnega dovoljenja, datum izteka delovnega dovoljenja, številka delovnega dovoljenja, organ, ki je izdal delovno dovoljenje; c) podatki o sklenjeni pogodbi o zaposlitvi: datum sklenitve pogodbe o zaposlitvi, datum nastopa dela, vrsta sklenjene pogodbe o zaposlitvi, razlog za sklenitev pogodbe o zaposlitvi za določen čas, poklic, ki ga opravlja delavec, strokovna usposobljenost, potrebna za opravljanje del in nalog delovnega mesta, za katero je delavec sklenil pogodbo o zaposlitvi, naziv delovnega mesta oziroma podatki o vrsti dela, za katerega je delavec sklenil pogodbo o zaposlitvi, število ur tedenskega rednega delovnega časa, razporeditev delovnega časa, kraj, kjer delavec opravlja delo, ali pogodba o zaposlitvi delavca vsebuje konkurenčno klavzulo; č) podatki o prenehanju pogodbe o zaposlitvi: datum prenehanja pogodbe o zaposlitvi, način prenehanja pogodbe o zaposlitvi.

Ker se vaše vprašanje konkretno nanaša na fotokopije osebne izkaznice, Pooblaščenec poudarja, da je potrebno upoštevati tudi tretji odstavek 3. člena Zakona o osebni izkaznici (Uradni list RS, št. 100/05 - uradno prečiščeno besedilo), v skladu s katerim se osebne izkaznice ne sme zastaviti niti tuje osebne izkaznice vzeti z namenom zavarovanja kakšne koristi ali pravice. Enako ureja 4. člen Zakona o potnih listinah (Uradni list RS, št. 3/06 - uradno prečiščeno besedilo) za potno listino.

Ker sodi po naravi stvari v zastavo osebne izkaznice in potne listine tudi njuno fotokopiranje, je pri vsakršnem zbiranju osebnih podatkov iz osebne izkaznice in potne listine nujno potrebno spoštovati načelo sorazmernosti in osebne podatke obdelovati v najmanjši, torej nujno potrebni meri.

Na podlagi navedenega Pooblaščenec zaključuje, da kot delodajalec lahko zbirate od delavcev tudi podatek o enotni matični številki, stalnem prebivališču, datumu rojstva in državljanstvu, ki se nahajajo na osebni izkaznici oz. potni listini, saj za to obstaja izrecna zakonska podlaga, in sicer v 13. členu ZEPDSV. Pred vnosom teh podatkov v zbirko o delavcih lahko z vpogledom ugotovite točnost teh osebnih podatkov, nimate pa pravne podlage, da osebno izkaznico in potno listino fotokopirate.

Ad b) V vprašanju navajate samo, da se ukvarjate z mednarodnim transportom, zato bo Pooblaščenec pojasnil obveznosti in podlage za obdelavo osebnih podatkov v Republiki Sloveniji, v EU in v tretjih državah.

Po določbah 62. člena ZVOP-1 se za iznos osebnih podatkov v članice Evropske unije (v nadaljevanju EU) ne uporabljajo določbe ZVOP-1 v delu, ki se nanaša na iznos osebnih podatkov v tretje države. Za posredovanje osebnih podatkov drugim pravnim ali fizičnim osebam v EU torej veljajo enaka pravila kot za posredovanje osebnih podatkov drugim pravnim ali fizičnim osebam v Republiki Sloveniji.

Ob upoštevanju zgoraj citirane določbe prvega odstavka 10. člena ZVOP-1 Pooblaščenec pojasnjuje, da bi delodajalec, ki je v Republiki Sloveniji registriran kot samostojna pravna oseba, lahko posredoval osebne podatke o svojih zaposlenih podjetju v Republiki Sloveniji ali v katerikoli drugi državi znotraj EU le v primeru, če bi bilo takšno posredovanje osebnih podatkov določeno v katerem od področnih zakonov, ali če je posredovanje osebnih podatkov potrebno zaradi izpolnjevanja pogodbenih obveznosti, kot jih določa drugi odstavek 10. člena ZVOP-1 ali pa, če bi bila za takšno posredovanje osebnih podatkov podana osebna privolitev posameznika. Glede na to, da Pooblaščencu ni znano, da bi kateri od področnih zakonov določal takšno posredovanje osebnih podatkov, in glede na pogodbeni odnos delavca (pogodba o zaposlitvi ali pogodba o delu) bi bilo po mnenju Pooblaščenca takšno ravnanje dopustno na podlagi drugega odstavka 10. člena ZVOP-1.

Glede iznosa osebnih podatkov delavcev v tretje države pa Pooblaščenec opozarja na 63. člen ZVOP-1, ki določa, da je posredovanje osebnih podatkov v tretjo državo dopustno pod pogojem, da slovenski državni nadzorni organ (Pooblaščenec) izda odločbo, da država, v katero se podatki iznašajo, zagotavlja ustrezno raven varstva osebnih podatkov. Takšna odločba ni potrebna v primeru, če je tretja država že na seznamu tistih držav iz 66. člena ZVOP-1, za katere je Pooblaščenec že ugotovil, da imajo v celoti ali delno zagotovljeno ustrezno raven varstva osebnih podatkov.

V zvezi z iznosom osebnih podatkov iz Republike Slovenije in njihovim posredovanjem prevzemnikom blaga v tretjih državah je potrebno opozoriti še na določbe 70. člena ZVOP-1, ki dopuščajo iznos osebnih podatkov iz Republike Slovenije in njihovo posredovanje v tretjo državo tudi v primeru, ko Pooblaščenec še ni izdal odločbe, da država, v katero se iznašajo osebni podatki, zagotavlja ustrezno raven varstva osebnih podatkov.

Iznos in posredovanje osebnih podatkov v tisto tretjo državo, za katero Pooblaščenec še ni izdal odločbe, da zagotavlja ustrezno raven varstva osebnih podatkov, je po določbah prvega odstavka 70. člena ZVOP-1 dopusten, če:
1.    tako določa drug zakon ali obvezujoča mednarodna pogodba;
2.    je podana osebna privolitev posameznika, na katerega se nanašajo osebni podatki in je seznanjen s posledicami takšnega posredovanja;
3.    je iznos potreben za izpolnitev pogodbe med posameznikom, na katerega se nanašajo osebni podatki, in upravljavcem osebnih podatkov ali za izvršitev predpogodbenih ukrepov, sprejetih kot odgovor na zahtevo posameznika, na katerega se nanašajo osebni podatki;
4.    je iznos potreben za sklenitev ali izvršitev pogodbe, ki je v korist posameznika, na katerega se nanašajo osebni podatki, sklenjeno med upravljavcem osebnih podatkov in tretjo stranko;
5.    je iznos potreben, da se pred hujšim ogrožanjem zavaruje življenje ali telo posameznika, na katerega se nanašajo osebni podatki;
6.    se iznos opravi iz registrov, javnih knjig ali uradnih evidenc, ki so po zakonu namenjene zagotavljanju informacij javnosti in so na voljo za vpogled javnosti na splošno ali katerikoli osebi, ki lahko izkaže pravni interes, da so v posameznem primeru izpolnjeni pogoji, ki jih za vpogled določa zakon;
7.    upravljavec osebnih podatkov zagotovi ustrezne ukrepe zavarovanja osebnih podatkov ter temeljnih pravic in svoboščin posameznikov in navede možnosti njihovega uresničevanja ali varstva, predvsem v določbah pogodb ali v splošnih pogojih poslovanja.

Prav tako Pooblaščenec meni, da bi bilo posredovanje osebnih podatkov delavca prevzemnikom blaga v tretje države dopustno na podlagi 3. točke 70. člena ZVOP-1, to je, ker je iznos potreben za izpolnitev pogodbe med posameznikom, na katerega se nanašajo osebni podatki, in upravljavcem osebnih podatkov ali za izvršitev predpogodbenih ukrepov, sprejetih kot odgovor na zahtevo posameznika, na katerega se nanašajo osebni podatki.

Delavec je v pogodbenem razmerju z delodajalcem, ki je upravljavec njegovih osebnih podatkov. Za izpolnitev pogodbenih obveznosti iz pogodbe o zaposlitvi ali pogodbe o delu pa je potrebno, da se osebni podatki delavca posredujejo prevzemniku blaga, saj bo le tako lahko izvršil svoje delo transporta in dostave blaga. Kot navedeno se lahko v skladu s prvim odstavkom 46. člena ZDR osebni podatki delavcev zbirajo, obdelujejo, uporabljajo in dostavljajo tretjim osebam samo, če je to določeno s tem ali drugim zakonom ali če je to potrebno zaradi uresničevanja pravic in obveznosti iz delovnega razmerja ali v zvezi z delovnim razmerjem.
 
Iz zgornjih pojasnil v zvezi z obdelavo osebnih podatkov zaradi izpolnjevanja pogodbenih obveznosti je razvidno, da se pogodbeno razmerje (pogodba o zaposlitvi ali pogodba o delu) delavca in delodajalca na podlagi drugega odstavka 10. člena ZVOP-1 in 3. točke prvega odstavka 70. člena ZVOP-1 že samo po sebi šteje za pravno podlago za obdelavo osebnih podatkov, ki so potrebni, nujni in po obsegu primerni za izpolnjevanje pogodbenih obveznosti. Na tej podlagi se osebni podatki delavca lahko posredujejo prevzemniku blaga, pri čemer pa lahko prevzemnik blaga delavčeve osebne podatke obdeluje le za namene kontrole vstopa v skladišče in dobljenih osebnih podatkov ne sme obdelovati oz. uporabljati za noben drug namen.

Pooblaščenec v zvezi s posredovanjem osebnih podatkov opozarja še na načelo sorazmernosti iz 3. člena ZVOP-1, po katerem morajo biti osebni podatki, ki se obdelujejo, ustrezni in po obsegu primerni glede na namene, za katere se zbirajo in nadalje obdelujejo. Upoštevajoč to splošno načelo varstva osebnih podatkov se postavlja vprašanje, ali je posredovanje identifikacijskih osebnih podatkov delavcev prevzemnikom blaga, res nujno potrebno zaradi uresničevanja pravic in obveznosti iz delovnega razmerja ali v zvezi z delovnim razmerjem oziroma zaradi izpolnitve pogodbe. Pri tem Pooblaščenec navaja, da se prevzemniku blaga posredujejo le osebni podatki delavca za namen kontrole vstopa v skladišče. Za ta namen po mnenju Pooblaščenca zadostujejo osebni podatki delavca, kot so ime in priimek ter slika, nikakor pa ne fotokopija osebne izkaznice ali potne listine.

Ad c) Prvi odstavek 154. člena Zakona o zavarovalništvu (Uradni list RS, št. 102/04 – uradno prečiščeno besedilo in 76/05; v nadaljevanju ZZavar) določa, da zavarovalnice in Slovensko zavarovalno združenje zbirajo, obdelujejo, shranjujejo, posredujejo in uporabljajo osebne podatke, potrebne za sklepanje zavarovanj in za likvidacijo škod, ki izvirajo iz zavarovanj po tem zakonu, v skladu z zakonom o varstvu osebnih podatkov in posebnimi predpisi o zbirkah podatkov s področja zavarovanja.
 
Na podlagi drugega odstavka 154. člena ZZavar zavarovalnice in Slovensko zavarovalno združenje lahko vzpostavijo, vzdržujejo in vodijo med drugim tudi zbirko podatkov o zavarovalcih. Zavarovalec je sklenitelj zavarovanja, ki je bodisi upravičenec do zavarovalnine, plačnik premije ali zavarovanec. Pri premoženjskih zavarovanjih na primer zavarovalec običajno predstavlja vse tri navedene osebe, pri avtomobilskih zavarovanjih pa so te osebe lahko različne. V omenjeni zbirki podatkov se na podlagi tretjega odstavka 154. člena ZZavar zbirajo naslednji osebni podatki, ki se praviloma pridobivajo neposredno od posameznika, na katerega se nanašajo:
- ime in priimek, spol, datum in kraj rojstva, stalno prebivališče zavarovalca, davčna številka zavarovalca,
- ime zavarovalnice, številka police, trajanje zavarovanja, zavarovalni predmet in zavarovalno kritje.

Na področju obveznih zavarovanj v prometu pa je tovrstna zakonska podlaga 8. člen Zakona o obveznih zavarovanjih v prometu (Uradni list RS, št. 70/94 ter spremembe in dopolnitve, v nadaljevanju ZOZP). V prvem odstavku 8. člena ZOZP je določeno, da zavarovalnice in združenje zbirajo, obdelujejo, shranjujejo, posredujejo in uporabljajo osebne podatke, potrebne za sklepanje zavarovanj in za obravnavanje odškodninskih zahtevkov, ki izvirajo iz zavarovanj, obveznih po tem zakonu, v skladu z zakonom, ki ureja varstvo osebnih podatkov, in posebnimi predpisi o zbirkah podatkov s področja zavarovanja. V nadaljnjih odstavkih pa navedeni člen izrecno in taksativno določa, katere podatke lahko zavarovalnice zbirajo ter od koga.

Pri tem Pooblaščenec ugotavlja, da specialna zakona, ZZavar in ZOZP izrecno ne določata, da lahko zavarovalnica zbira podatke o veljavnosti vozniškega dovoljenja. Vendar pa je pri tem potrebno izhajati iz prvega odstavka 154. člena ZZavar in prvega odstavka 8. člena ZOZP, v katerih je določen namen zbiranja podatkov, tj. za obravnavanje odškodninskih zahtevkov. Hkrati pa Pooblaščenec navaja, da ste v zavarovalnico v pogodbenem razmerju in se torej pogodbeno razmerje posameznika z osebami zasebnega sektorja na podlagi drugega odstavka 10. člena ZVOP-1 že samo po sebi šteje za pravno podlago za obdelavo osebnih podatkov, ki so potrebni, nujni in po obsegu primerni za izpolnjevanje pogodbenih obveznosti ali uveljavljanje pravic iz pogodbenega razmerja. Pooblaščenec zaključuje, da zavarovalnica lahko za potrebe likvidacije škode (vložen odškodninski zahtevek) zahteva podatke o veljavnosti vozniškega dovoljena, saj gre za izpolnjevanje pogodbenega razmerja v smislu drugega odstavka 10. člena ZVOP-1, hkrati pa je tudi v vašem interesu, da zavarovalnica izpolni svojo pogodbeno obveznost, tj. izplačilo odškodnine.


Ad e) Ker v vprašanju ne navajate, koliko zaposlenih imate, vas Pooblaščenec opozarja, da je bil sprejet Zakon o spremembah in dopolnitvah zakona o varstvu osebnih podatkov (Uradni list RS, št. 67/07; v nadaljevanju ZVOP-1A), ki je začel veljati 28. 07. 2007 in je prinesel nekaj sprememb ravno na področju, ki zadeva vaše vprašanje.

Po četrtem odstavku 7. člena ZVOP-1 so upravljavci osebnih podatkov z manj kot 50 zaposlenimi razbremenjeni določenih administrativnih obremenitev, zlasti glede prijave kataloga zbirk osebnih podatkov v Register zbirk osebnih podatkov pri Informacijskem pooblaščencu ter izdelave notranjega akta za zavarovanje osebnih podatkov. Te razbremenitve upravljavcev se nanašajo na določbe drugega odstavka 25. člena, 26. člena in 27. člena ZVOP-1.
 
Prvo splošno pravilo glede izjemne razbremenitve upravljavcev osebnih podatkov je, da vsem upravljavcem osebnih podatkov, ki imajo manj kot 50 zaposlenih, ni treba izpolniti obveznosti glede izdelave notranjega pravnega akta o postopkih in ukrepih zavarovanja osebnih podatkov po drugem odstavku 25. člena ZVOP-1.
 
Druga, predmetno že bolj omejena izjema določa, da upravljavcem osebnih podatkov z manj kot 50 zaposlenimi ni treba izpolniti tudi obveznosti iz 26. in 27. člena ZVOP-1 - namreč izdelave kataloga osebnih podatkov in prijavljanja (obveščanja) opisa zbirk osebnih podatkov v Register zbirk osebnih podatkov pri Informacijskem pooblaščencu.
 
Pomembno je tudi opozoriti, da izraz "ni treba" iz četrtega odstavka 7. člena ZVOP-1 pomeni opcijo za upravljavce osebnih podatkov, kar pomeni, da se kdo od njih lahko tudi popolnoma prostovoljno - ob oceni svojih interesov in interesov posameznikov, s katerimi posluje - odloči, da bo ne glede na določbe četrtega odstavka 7. člena ZVOP-1 pripravil notranji akt o zavarovanju osebnih podatkov, katalog zbirk osebnih podatkov in prijavil opis zbirk osebnih podatkov v Register zbirk osebnih podatkov.
 
Pojem "zaposlen" pa je treba široko razlagati v skladu z določbami ZDR, po katerih so vključeni tako zaposleni za nedoločen čas, kot zaposleni za določen čas in zaposleni s krajšim delovnim časom.
 
V petem odstavku 7. člena ZVOP-1 so posebej opredeljene kategorije upravljavcev osebnih podatkov, za katere izjemne razbremenitve ne veljajo, saj njihova dejavnost z vidika varstva pravic posameznika bolj omogoča kršitve varstva osebnih podatkov (ker obdelujejo pomembnejše osebne podatke, ki imajo lahko večji vpliv na pravna razmerja ali stanje posameznika) in je zato z vidika načela sorazmernosti tudi bolj izražen javni interes, da se izjeme ne nanašajo na njih. Kategorije upravljavcev, za katere izjemne razbremenitve ne bodo veljale, so: upravljavci osebnih podatkov iz javnega sektorja, notarji, odvetniki, detektivi, izvršitelji, izvajalci zasebnega varovanja, zasebni zdravstveni delavci in izvajalci zdravstvenih storitev.
 
Prav tako je treba opozoriti, da nobena od navedenih izjemnih razbremenitev ne velja za tiste zbirke osebnih podatkov, ki vsebujejo občutljive osebne podatke, seveda pod pogojem, da se upravljavci osebnih podatkov dejansko ukvarjajo z obdelavo občutljivih osebnih podatkov. Občutljivi osebni podatki so na podlagi 19. točke 6. člena ZVOP-1 podatki o rasnem, narodnem ali narodnostnem poreklu, političnem, verskem ali filozofskem prepričanju, članstvu v sindikatu, zdravstvenem stanju, spolnem življenju, vpisu ali izbrisu v ali iz kazenske evidence ali evidenc, ki se vodijo na podlagi zakona, ki ureja prekrške; občutljivi osebni podatki so tudi biometrične značilnosti, če je z njihovo uporabo mogoče določiti posameznika v zvezi s kakšno od prej navedenih okoliščin. Tako so npr. izvzeti osebni podatki, ki jih delodajalci vpišejo v zbirke osebnih podatkov glede poškodb na delu ali zdravja na delu ter podatki pri pogodbi o zaposlitvi, kadar jim zaposleni mora dati izpisek iz kazenske evidence ali npr. podatek o zdravstveni zmožnosti (npr. voznik).

Glede na to, da upravljavci osebnih podatkov z manj kot 50 zaposlenimi niso dolžni izpolniti obveznosti iz drugega odstavka 25. člena ZVOP-1, še ne pomeni, da osebnih podatkov tudi niso dolžni zavarovati. To pomeni, da morajo tudi ti upravljavci osebnih podatkov v skladu s 24. členom ZVOP-1 zavarovati osebne podatke.

Zavarovanje osebnih podatkov obsega organizacijske, tehnične in logično-tehnične postopke in ukrepe, s katerimi se varujejo osebni podatki, preprečuje slučajno ali namerno nepooblaščeno uničevanje podatkov, njihova sprememba ali izguba ter nepooblaščena obdelava teh podatkov tako, da se:
1.    varujejo prostori, oprema in sistemsko programska oprema, vključno z vhodno-izhodnimi enotami;
2.    varuje aplikativna programska oprema, s katero se obdelujejo osebni podatki;
3.    preprečuje nepooblaščen dostop do osebnih podatkov pri njihovem prenosu, vključno s prenosom po telekomunikacijskih sredstvih in omrežjih;
4.    zagotavlja učinkovit način blokiranja, uničenja, izbrisa ali anonimiziranja osebnih podatkov;
5.    omogoča poznejše ugotavljanje, kdaj so bili posamezni osebni podatki vneseni v zbirko osebnih podatkov, uporabljeni ali drugače obdelani in kdo je to storil, in sicer za obdobje, ko je mogoče zakonsko varstvo pravice posameznika zaradi nedopustnega posredovanja ali obdelave osebnih podatkov.
V primeru obdelave osebnih podatkov, ki so dostopni preko telekomunikacijskega sredstva ali omrežja, morajo strojna, sistemska in aplikativna programska oprema zagotavljati, da je obdelava osebnih podatkov v zbirkah osebnih podatkov v mejah pooblastil uporabnika osebnih podatkov.
Postopki in ukrepi za zavarovanje osebnih podatkov morajo biti ustrezni glede na tveganje, ki ga predstavlja obdelava in narava določenih osebnih podatkov, ki se obdelujejo.
Funkcionarji, zaposleni in drugi posamezniki, ki opravljajo dela in naloge pri osebah, ki obdelujejo osebne podatke, so dolžni varovati tajnost osebnih podatkov, s katerimi se seznanijo pri opravljanju njihovih funkcij, del in nalog. Dolžnost varovanja tajnosti osebnih podatkov jih obvezuje tudi po prenehanju funkcije, zaposlitve, opravljanja del in nalog ali opravljanja storitev pogodbene obdelave (24. člen ZVOP-1).

S spoštovanjem,               

Informacijski pooblaščenec:
Nataša Pirc Musar, univ. dipl. prav.,
pooblaščenka