Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Mnenja - VOP

+ -
Datum: 10.10.2007
Naslov: Pravilnik o zavarovanju OP za mehanično delavnico
Številka: 0712-908/2007/2
Vsebina: Register zbirk osebnih podatkov
Pravni akt: Mnenje

Spoštovani,

Informacijski pooblaščenec (v nadaljevanju Pooblaščenec) je dne 5.10.2007 prejel vaše e-sporočilo, v katerem nas sprašujete:

ali morate ob dejstvu, da opravljate dejavnost avtoservisne delavnice in, da imate zaposlenih 6 oseb, izdelati pravilnik o zavarovanju osebnih podatkov in ga prijaviti Pooblaščencu?

V nadaljevanju vam na podlagi predstavljenega dejanskega stanja ter na podlagi 7. točke prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 86/04, 113/05, 51/07-ZUstS in 67/07, v nadaljevanju ZVOP-1) ter 2. člena Zakona o Informacijskem pooblaščencu (Uradni list RS št. 113/05 in 51/07-ZUstS) posredujemo naše neobvezno mnenje v zvezi z vašimi vprašanji:

Po mnenju Informacijskega pooblaščenca, niste dolžni izdelati pravilnika za zavarovanje zbirk osebnih podatkov, niti niste katalogov zbirk osebnih podatkov dolžni posredovati Informacijskemu pooblaščencu.

O b r a z l o ž i t e v:

1 Splošno o podlagah za obdelavo osebnih podatkov

Zbirka osebnih podatkov je v skladu s 5. točko 6. člena ZVOP-1 vsak strukturiran niz podatkov, ki vsebuje vsaj en osebni podatek, ki je dostopen na podlagi meril, ki omogočajo uporabo ali združevanje podatkov, ne glede na to, ali je niz centraliziran, decentraliziran ali razpršen na funkcionalni ali geografski podlagi; strukturiran niz podatkov je niz podatkov, ki je organiziran  na takšen način, da določi ali omogoči določljivost posameznika.

Upravljavec osebnih podatkov je v skladu s 6. točko 6. člena ZVOP-1 fizična ali pravna oseba ali druga oseba javnega ali zasebnega sektorja, ki določa namene in sredstva obdelave osebnih podatkov oziroma oseba, določena z zakonom, ki določa tudi namene in sredstva obdelave.

ZVOP-1 v tretjem poglavju ureja zavarovanje osebnih podatkov. 24. člen ZVOP-1 določa vsebino zavarovanja osebnih podatkov. Prvi odstavek tega člena tako določa, da zavarovanje osebnih podatkov obsega organizacijske, tehnične in logično-tehnične postopke in ukrepe, s katerimi se varujejo osebni podatki, preprečuje slučajno ali namerno nepooblaščeno uničevanje podatkov, njihova sprememba ali izguba ter nepooblaščena obdelava teh podatkov tako, da se:
1. varujejo prostori, oprema in sistemsko programska oprema, vključno z vhodno-izhodnimi enotami;
2. varuje aplikativna programska oprema, s katero se obdelujejo osebni podatki;
3. preprečuje nepooblaščen dostop do osebnih podatkov pri njihovem prenosu, vključno s prenosom po telekomunikacijskih sredstvih in omrežjih;
4. zagotavlja učinkovit način blokiranja, uničenja, izbrisa ali anonimiziranja osebnih podatkov;
5. omogoča poznejše ugotavljanje, kdaj so bili posamezni osebni podatki vneseni v zbirko osebnih podatkov, uporabljeni ali drugače obdelani in kdo je to storil, in sicer za obdobje, ko je mogoče zakonsko varstvo pravice posameznika zaradi nedopustnega posredovanja ali obdelave osebnih podatkov. Drugi odstavek istega člena določa, da morajo v primeru obdelave osebnih podatkov, ki so dostopni preko telekomunikacijskega sredstva ali omrežja, morajo strojna, sistemska in aplikativno programska oprema zagotavljati, da je obdelava osebnih podatkov v zbirkah osebnih podatkov v mejah pooblastil uporabnika osebnih podatkov. Tretji odstavek istega člena v nadaljevanju določa, da morajo biti postopki in ukrepi za zavarovanje osebnih podatkov ustrezni glede na tveganje, ki ga predstavlja obdelava in narava določenih osebnih podatkov, ki se obdelujejo. Zadnji odstavek istega člena pa določa, da morajo funkcionarji, zaposleni in drugi posamezniki, ki opravljajo dela ali naloge pri osebah, ki obdelujejo osebne podatke, varovati tajnost osebnih podatkov, s katerimi se seznanijo pri opravljanju njihovih funkcij, del in nalog. Dolžnost varovanja tajnosti osebnih podatkov jih obvezuje tudi po prenehanju funkcije, zaposlitve, opravljanja del ali nalog ali opravljanja storitev pogodbene obdelave.

Dolžnost zavarovanja osebnih podatkov pa ZVOP-1 ureja 25. členu, ki v prvem odstavku določa, da so upravljavci osebnih podatkov in pogodbeni obdelovalci dolžni zagotoviti zavarovanje osebnih podatkov na način iz zgoraj navedenega 24. člena ZVOP-1.

V drugem odstavku istega člena pa je določeno, da upravljavci osebnih podatkov v svojih aktih predpišejo postopke in ukrepe za zavarovanje osebnih podatkov ter določijo osebe, ki so odgovorne za določene zbirke osebnih podatkov, in osebe, ki lahko zaradi narave njihovega dela obdelujejo določene osebne podatke.

Obveščanje o zbirkah osebnih podatkov ureja ZVOP-1 v četrtem poglavju, kjer je v 26. členu določena obveznost upravljavca osebnih podatkov, da za vsako zbirko osebnih podatkov vzpostavi katalog zbirke osebnih podatkov, ki vsebuje:
1. naziv zbirke osebnih podatkov;
2. podatke o upravljavcu osebnih podatkov (za fizično osebo: osebno ime, naslov opravljanja dejavnosti ali naslov stalnega ali začasnega prebivališča, za samostojnega podjetnika posameznika pa še firmo, sedež in matično številko; za pravno osebo: naziv oziroma firmo in naslov oziroma sedež upravljavca osebnih podatkov in matično številko);
3. pravno podlago za obdelavo osebnih podatkov;
4. kategorije posameznikov, na katere se nanašajo osebni podatki;
5. vrste osebnih podatkov v zbirki osebnih podatkov;
6. namen obdelave;
7. rok hrambe osebnih podatkov;
8. omejitve pravic posameznikov glede osebnih podatkov v zbirki osebnih podatkov in pravno podlago omejitev;
9. uporabnike ali kategorije uporabnikov osebnih podatkov, vsebovanih v zbirki osebnih podatkov;
10. dejstvo, ali se osebni podatki iznašajo v tretjo državo, kam, komu in pravno podlago iznosa;
11. splošen opis zavarovanja osebnih podatkov;
12. podatke o povezanih zbirkah osebnih podatkov iz uradnih evidenc ter javnih knjig;
13. podatke o zastopniku iz tretjega odstavka 5. člena tega zakona (za fizično osebo: osebno ime, naslov opravljanja dejavnosti ali naslov stalnega ali začasnega prebivališča, za samostojnega podjetnika posameznika pa še firmo, sedež in matično številko; za pravno osebo: naziv oziroma firmo in naslov oziroma sedež upravljavca osebnih podatkov in matično številko).

Upravljavec osebnih podatkov mora skladno z drugim odstavkom 26. člena ZVOP-1 skrbeti za točnost in ažurnost vsebine kataloga.

V 27. členu ZVOP-1 je določeno, da mora upravljavec osebnih podatkov posredovati podatke iz 1., 2., 4., 5., 6., 9., 10., 11., 12. in 13. točke prejšnjega odstavka Državnemu nadzornemu organu za varstvo osebnih podatkov (t.j. Informacijskemu pooblaščencu, v nadaljevanju Pooblaščencu) najmanj 15 dni pred vzpostavitvijo zbirke osebnih podatkov ali pred vnosom nove vrste osebnih podatkov. Pooblaščencu mora posredovati tudi spremembe teh podatkov, in sicer najkasneje v osmih dneh od dneva spremembe.

2 Novela ZVOP-1

Zakon o spremembah in dopolnitvah Zakona o varstvu osebnih podatkov (Uradni list RS, št. 67/07, v nadaljevanju ZVOP-1A) v prvem členu določa, da se v ZVOP-1 za tretjim odstavkom 7. člena dodata nov četrti in peti odstavek. Vsebini teh dveh odstavkov sta določeni v drugem in tretjem odstavku prvega člena ZVOP-1A in določata, da upravljavcem osebnih podatkov z manj kot 50 zaposlenimi ni treba izpolniti obveznosti iz drugega odstavka 25. člena in obveznosti iz 26. ter 27. člena zakona (ZVOP-1 op. Pooblaščenca). Vendar pa že omenjeni tretji člen ZVOP-1A med drugim določa, da se izjeme iz prejšnjega odstavka ne uporabljajo za zbirke osebnih podatkov, ki jih vodijo upravljavci zbirk osebnih podatkov oz javnega sektorja.

3 Sklepno

Izpostavljena določba novele ZVOP-1 tako določa, da od njene uveljavitve dalje, upravljavci osebnih podatkov, ki imajo manj kot 50 zaposlenih, niso dolžni sprejemati internih aktov za zavarovanje osebnih podatkov, niti niso dolžni katalogov zbirk osebnih podatkov posredovati Pooblaščencu.

Prijazen pozdrav,

Informacijski pooblaščenec:
Mojca Prelesnik, univ. dipl. prav.,
namestnica pooblaščenke