Informacijski pooblaščenec Republika Slovenija
    SLO | ENG
dekorativna slika

Mnenja - VOP

+ -
Datum: 29.10.2007
Naslov: Odklonitev podpisa izjave o zavarovanju OP
Številka: 0712-941/2007/4
Vsebina: Zavarovanje osebnih podatkov
Pravni akt: Mnenje

Spoštovani,

Informacijski pooblaščenec (v nadaljevanju Pooblaščenec) je dne 16.10.2007 prejel vaše e-sporočilo, v katerem navajate:  

Na podlagi 25. člena Zakona o varstvu osebnih podatkov in sprejetega internega Pravilnika o zavarovanju osebnih podatkov sodišča, smo vsem zaposlenim (vključno sodnikom - funkcionarjem) dali v podpis izjave, s katerimi zaposleni izjavljajo, da bodo kot tajne varovali osebne podatke, ki jih obdelujejo in z njimi vestno manipulirali na način in po postopkih, ki jih določa Pravilnik. Od dveh sodnikov smo prejeli nepodpisani izjavi, z opombo, da ne moreta prevzeti obveznosti in odgovornosti za nedopustno ravnanje z osebnimi podatki, ki so v osebnem računalniku, saj računalnik poleg sodnika uporablja tudi njegova sodna zapisnikarica za zapisovanje na vseh obravnavah in narokih, ki jih sodnik opravi v svojem kabinetu. Obveznosti pa tudi ne more prevzeti za primer servisiranja računalnika, saj za tak nadzor nima strokovnih kvalifikacij. Kako naj nadalje postopamo? Kaj nam svetujete?

V nadaljevanju vam na podlagi predstavljenega dejanskega stanja ter na podlagi 7. točke prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 86/04, 113/05, 51/07-ZUstS in 67/07; ZVOP-1) ter 2. člena Zakona o Informacijskem pooblaščencu (Uradni list RS št. 113/05 in 51/07-ZUstS) posredujemo naše neobvezno mnenje v zvezi z vašimi vprašanji:

1. ZVOP-1 ne določa obveznosti podpisovanja izjav o seznanjenosti, niti ne opredeljuje načina, na katerega bi se morali zaposleni seznaniti z vsebino pravilnika o zavarovanju osebnih podatkov.
2. Dostop do osebnih podatkov je možno in potrebno urediti na način, da nepooblaščena oseba do njih ne more dostopati.
3. Koristno bi bilo, da bi pri pripravi pravilnika o zavarovanju osebnih podatkov, sodelovale osebe, ki so pri vas pooblaščene za vzdrževanje in delovanje informacijskega okolja.

O b r a z l o ž i t e v:

Pooblaščenec se je v postopku izdelave mnenja seznanil z vsebino pravilnika in izjave, na katere se sklicujete v vašem sporočilu.

Pooblaščenec uvodoma pojasnjuje, da 2. odstavek 25. člena ZVOP-1 določa, da morajo upravljavci osebnih podatkov v svojih aktih predpisati postopke in ukrepe za zavarovanje osebnih podatkov ter določiti osebe, ki so odgovorne za določene zbirke osebnih podatkov, in osebe, ki lahko zaradi narave njihovega dela obdelujejo določene osebne podatke. ZVOP-1 tako ne določa obveznosti podpisovanja izjav o seznanjenosti, niti ne opredeljuje načina, na katerega bi se morali zaposleni seznaniti z vsebino pravilnika o zavarovanju osebnih podatkov.

Pooblaščenec ugotavlja, da vaš pravilnik v 36. členu določa, da morajo javni uslužbenci, ki delajo na delovnih mestih, kjer se zbirajo, urejajo, obdelujejo, spreminjajo, shranjujejo, posredujejo ali uporabljajo osebni podatki ali nosilci osebnih podatkov, podpisati izjavo iz 30. člena tega pravilnika v roku 30 dni od dneva sprejema tega pravilnika.

Kot ste navedli, ste v dveh primerih prejeli nepodpisani izjavi z opombo, da konkretni osebi ne moreta prevzeti obveznosti in odgovornosti za nedopustno ravnanje z osebnimi podatki, ki so v osebnem računalniku, saj računalnik poleg sodnika uporablja tudi njegova sodna zapisnikarica za zapisovanje na vseh obravnavah in narokih, ki jih sodnik opravi v svojem kabinetu. Prav tako pa naj konkretni osebi ne moreta prevzeti obveznosti v primerih servisiranja računalnika, saj za tak nadzor nimata strokovnih kvalifikacij.

Glede prve opombe je Pooblaščenec mnenja, da opisana situacija, ko en računalnik uporablja več oseb, še ne more biti dovolj trden argument za odklonitev podpisa izjave o seznanjenosti s pravilnikom o zavarovanju osebnih podatkov. Večina računalniških delovnih postaj, ki so trenutno v uporabi, namreč omogoča, da eno delovno postajo uporablja več uporabnikov, in sicer na način, da posamezen uporabnik ne more dostopati do podatkov, do katerih imajo dostop drugi uporabniki, prav tako pa je možno podatke različnih uporabnikov dodatno zaščititi s šifriranjem in drugimi postopki. Pooblaščenec ne pozna vseh podrobnosti informacijskega okolja vlagatelja prošnje za mnenje, vendar ocenjuje, da je dostop do podatkov možno in potrebno rešiti na zahtevan način. Navedeno dejansko določa 18. člen vašega pravilnika, ki narekuje, da mora biti pristop do podatkov prek aplikativne programske opreme varovan s sistemom gesel za avtorizacijo in identifikacijo uporabnikov programov in podatkov. Pooblaščenec predvideva, da lahko pridete do ustrezne rešitve s pomočjo oseb, ki so pooblaščene za vzdrževanje in delovanje vašega  informacijskega okolja.

Glede vašega drugega vprašanja, ki se dotika prisotnosti oseb pri servisiranju računalnikov, pa je Pooblaščenec drugačnega mnenja. 3. odstavek 15. člena vašega pravilnika namreč določa naslednje:

Javni uslužbenec, pooblaščen za obdelavo in manipulacijo z osebnimi podatki na računalniku, mora biti v času servisiranja računalnika in programske opreme ves čas prisoten in mora nadzirati, da ne pride do nedopustnega ravnanja z osebnimi podatki.

Pooblaščenec uvodoma opozarja na nejasnost konkretne določbe, saj jo je moč razlagati dvoumno – ni namreč jasno, ali se konkretna določba nanaša na vse vaše javne uslužbence, ki obdelujejo osebne podatke ali zgolj na osebe, ki skrbijo za delovanje in vzdrževanje vašega informacijskega okolja. V primeru, da gre za prvo možnost, je Pooblaščenec mnenja, da takšna ureditev ni najbolj smiselna; težko je namreč pričakovati, da bodo zaposleni, ki ne delajo na takšnih mestih, ki zahtevajo znanja s področja informacijskih ved, sploh vedeli, da je prišlo do nedopustnega ravnanja z osebnimi podatki, kljub njihovi prisotnosti ob servisiranju.

Glede na določbo 4. alineje 31. člena vašega pravilnika, Pooblaščenec sklepa, da gre dejansko za obveznost vseh zaposlenih, saj omenjena določba 31. člena določa, da javni uslužbenec stori lažjo kršitev delovne dolžnosti, če ni ves čas servisiranja računalnika in programske opreme prisoten. Kot je bilo razloženo zgoraj, Pooblaščenec dvomi v smiselnost in učinkovitost takšne določbe in predlaga, da velja omenjena obveznost in iz nje izvirajoče odgovornosti le za osebe, ki so pooblaščene za vzdrževanje in delovanje informacijskega okolja.

Ob pregledu ostalih določba vašega pravilnika o zavarovanju osebnih podatkov Pooblaščenec podobno dvomi v smiselnost in učinkovitost nekaterih določb, med katere zlasti sodijo predvidene kršitve delovne dolžnosti, za katere je odgovoren javni uslužbenec, npr. v naslednjih primerih, ki jih predvideva vaš pravilnik:

-    če ne izdeluje redno kopije vsebine osebnih podatkov (5. alineja 31. člena);
-    če ne izvaja preventive v zvezi z računalniškimi virusi (8. alineja 32. člena).

Glede na izkušnje Pooblaščenca, v poslovnih okoljih prevladujejo takšne informacijske rešitve, ki omenjene obveznosti izvajajo brez udeležbe posameznega uporabnika, saj bi takšna zahteva (to je, da mora vsak uporabnik redno izdelovati varnostne kopije in izvajati preventivo v zvezi z računalniškimi virusi) praviloma motila delovni proces, obenem pa se takšne naloge veliko učinkoviteje izvajajo centralno in s strani pooblaščenih oseb za delovanje in vzdrževanje informacijskega okolja.

Pooblaščenec vam zato svetuje, da se pred morebitnimi spremembami pravilnika o zavarovanju posvetujete z osebami, ki so pri vas pooblaščene za vzdrževanje in delovanje informacijskega okolja, saj boste le tako lahko dosegli, da bodo določbe vašega pravilnika tako ustrezne zahtevam ZVOP-1, kot tudi smiselne in učinkovite.

Lepo vas pozdravljamo,
Informacijski pooblaščenec:
Nataša Pirc Musar, univ. dipl. prav.,
pooblaščenka