Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Mnenja - VOP

+ -
Datum: 05.11.2007
Naslov: Obdelava OP udeležencev izobraževanj
Številka: 0712-976/2007/2
Vsebina: Svetovni splet
Pravni akt: Mnenje

Spoštovani,

Informacijski pooblaščenec (v nadaljevanju Pooblaščenec) je dne 26. 10. 2007 prejel vaše e-sporočilo, v katerem navajate, da za vaše uporabnike izvajate razna izobraževanja in da je bil do sedaj postopek prijave k udeležbi tak, da so si uporabniki preko spleta natisnili obrazec, ga izpolnili, podpisali in vam ga poslali po pošti. V prihodnje pa nameravate ta postopek avtomatizirati. Uporabniki tako ne bi več tiskali obrazca in vam ga pošiljali po pošti, ampak bi le-tega interaktivno izpolnili. Navajate še, da boste od posameznika hkrati z izpolnitvijo obrazca za prijavo pridobili tudi njegovo privolitev za obdelavo njegovih osebnih podatkov (opozorilo na spletni strani) in da bo vsak uporabnik, ki se bo on-line prijavljal na izobraževanje pred tem prejel svoje geslo in bo registracija oz. posredovanje osebnih podatkov uporabnika potekalo pod geslom. Ob tem nas sprašujete:

»ali je takšna oblika potrditve uporabnikovega strinjanja z uporabo njegovih osebnih podatkov dovolj, ali bi še vseeno morali imeti kakšno papirno obliko podpisa?«

V nadaljevanju vam na podlagi predstavljenega dejanskega stanja ter na podlagi 7. točke prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 86/04, 113/05, 51/07-ZUstS in 67/07; ZVOP-1) ter 2. člena Zakona o Informacijskem pooblaščencu (Uradni list RS št. 113/05 in 51/07-ZUstS; ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem:

Z uvedbo elektronske prijave na vaša izobraževanja ne potrebujete posebej še podpisov udeležencev na papirju, s katerimi bi vam posamezniki dovolili obdelavo njihovih osebnih podatkov. S tem, ko se bo nekdo želel udeležiti vaših izobraževanj, vam bo tako kot sedaj izpolnil prijavo in posredoval svoje osebne podatke.
O b r a z l o ž i t e v:

1. Splošno o podlagah za obdelavo osebnih podatkov

ZVOP-1 predstavlja konkretizacijo ustavne pravice do varstva osebnih podatkov, ki je določena v 38. členu Ustave RS. Prepovedana je uporaba osebnih podatkov v nasprotju z namenom njihovega zbiranja. 2. odstavek 38. člena Ustave RS določa, da zbiranje, obdelovanje, namen uporabe, nadzor in varstvo tajnosti osebnih podatkov določa zakon. ZVOP-1 določa pravice, obveznosti, načela in ukrepe, s katerimi se preprečujejo neustavni, nezakoniti in neupravičeni posegi v zasebnost in dostojanstvo posameznika pri obdelavi osebnih podatkov.

ZVOP-1 v 8. členu določa, da se lahko osebni podatki obdelujejo le, če obdelavo osebnih podatkov in osebne podatke, ki se obdelujejo, določa zakon, ki določa tudi namen obdelave osebnih podatkov ali če je za obdelavo določenih osebnih podatkov podana osebna privolitev posameznika, ki pa mora biti predhodno pisno ali na drug ustrezen način seznanjen z namenom obdelave osebnih podatkov. Nadalje pa se v skladu s prvim odstavkom 9. člena ZVOP-1 v javnem sektorju, kamor v skladu z 22. točko 6. člena ZVOP-1 sodijo tudi javni zavodi, lahko obdelujejo osebni podatki, če obdelavo osebnih podatkov in osebne podatke, ki se obdelujejo, določa zakon. Z zakonom se lahko določi, da se določeni osebni podatki obdelujejo le na podlagi osebne privolitve posameznika. Drugi odstavek istega člena določa, da lahko nosilci javnih pooblastil obdelujejo osebne podatke tudi na podlagi osebne privolitve posameznika brez podlage v zakonu, kadar ne gre za izvrševanje njihovih nalog kot nosilcev javnih pooblastil. Zbirke osebnih podatkov, ki nastanejo na tej podlagi, morajo biti ločene od zbirk osebnih podatkov, ki nastanejo na podlagi izvrševanja nalog nosilca javnih pooblastil, tretji odstavek pa določa, da se lahko v javnem sektorju ne glede na prvi odstavek tega člena obdelujejo osebni podatki posameznikov, ki so z javnim sektorjem sklenili pogodbo ali pa so na podlagi pobude posameznika z njim v fazi pogajanj za sklenitev pogodbe, če je obdelava osebnih podatkov potrebna in primerna za izvedbo pogajanj za sklenitev pogodbe ali za izpolnjevanje pogodbe.

Osebni podatki se lahko zbirajo le za določene in zakonite namene ter se ne smejo nadalje oblikovati tako, da bi bila njihova obdelava v neskladju s temi nameni, če zakon ne določa drugače. (16. člen ZVOP-1)

2. Elektronsko pošiljanje obrazcev za prijavo na izobraževanje

Pooblaščenec nadalje pojasnjuje, da se v skladu z 21. členom ZVOP-1 osebni podatki lahko shranjujejo le toliko časa, dokler je to potrebno za dosego namena, zaradi katerega so se zbirali ali nadalje obdelovali.
Po izpolnitvi namena obdelave se osebni podatki zbrišejo, uničijo, blokirajo ali anonimizirajo, če niso na podlagi zakona, ki ureja arhivsko gradivo in arhive, opredeljeni kot arhivsko gradivo, oziroma če zakon za posamezne vrste osebnih podatkov ne določa drugače. Če boste torej želeli osebne podatke uporabljati tudi za namene neposrednega trženja, morate ob zbiranju podatkov posameznika na to opozoriti, še posebej

Kot upravljavec zbirke osebnih podatkov morate ne glede na obliko zbirke (papirnata ali elektronska zbirka osebnih podatkov udeležencev vaših izobraževanja) poskrbeti tudi za ustrezno zavarovanje zbirk osebnih podatkov. 25. člen ZVOP-1 določa, da so upravljavci osebnih podatkov kot tudi morebitni pogodbeni obdelovalci dolžni zagotoviti zavarovanje osebnih podatkov. Upravljavci osebnih podatkov v svojih aktih predpišejo postopke in ukrepe za zavarovanje osebnih podatkov ter določijo osebe, ki so odgovorne za določene zbirke osebnih podatkov, in osebe, ki lahko zaradi narave njihovega dela obdelujejo določene osebne podatke.
24. člen ZVOP-1 pa določa, da zavarovanje osebnih podatkov obsega organizacijske, tehnične in logično-tehnične postopke in ukrepe, s katerimi se varujejo osebni podatki, preprečuje slučajno ali namerno nepooblaščeno uničevanje podatkov, njihova sprememba ali izguba ter nepooblaščena obdelava teh podatkov tako, da se:
1. varujejo prostori, oprema in sistemsko programska oprema, vključno z vhodno-izhodnimi enotami;
2. varuje aplikativna programska oprema, s katero se obdelujejo osebni podatki;
3. preprečuje nepooblaščen dostop do osebnih podatkov pri njihovem prenosu, vključno s prenosom po telekomunikacijskih sredstvih in omrežjih;
4. zagotavlja učinkovit način blokiranja, uničenja, izbrisa ali anonimiziranja osebnih podatkov;
5. omogoča poznejše ugotavljanje, kdaj so bili posamezni osebni podatki vneseni v zbirko osebnih podatkov, uporabljeni ali drugače obdelani in kdo je to storil, in sicer za obdobje, ko je mogoče zakonsko varstvo pravice posameznika zaradi nedopustnega posredovanja ali obdelave osebnih podatkov.
V primeru obdelave osebnih podatkov, ki so dostopni preko telekomunikacijskega sredstva ali omrežja, morajo strojna, sistemska in aplikativno programska oprema zagotavljati, da je obdelava osebnih podatkov v zbirkah osebnih podatkov v mejah pooblastil uporabnika osebnih podatkov.
Postopki in ukrepi za zavarovanje osebnih podatkov morajo biti ustrezni glede na tveganje, ki ga predstavlja obdelava in narava določenih osebnih podatkov, ki se obdelujejo.
Funkcionarji, zaposleni in drugi posamezniki, ki opravljajo dela ali naloge pri osebah, ki obdelujejo osebne podatke, so dolžni varovati tajnost osebnih podatkov, s katerimi se seznanijo pri opravljanju njihovih funkcij, del in nalog. Dolžnost varovanja tajnosti osebnih podatkov jih obvezuje tudi po prenehanju funkcije, zaposlitve, opravljanja del ali nalog ali opravljanja storitev pogodbene obdelave.
Upoštevaje vse navedeno Pooblaščenec zaključuje, da z uvedbo elektronske prijave na izobraževanja ne potrebujete posebej še podpisov udeležencev na papirju, s katerim bi vam posamezniki dovolili obdelavo njihovih osebnih podatkov. S tem, ko se bo nekdo želel udeležiti vaših izobraževanj, vam bo tako kot sedaj izpolnil prijavo in posredoval svoje osebne podatke. Kot upravljavec zbirke osebnih podatkov, ki bo nastala na tej podlagi, pa ste zavezani spoštovati vse navedene določbe ZVOP-1.

S spoštovanjem,

Informacijski pooblaščenec:
Nataša Pirc Musar, univ. dipl. prav.,
Pooblaščenka