Informacijski pooblaščenec Republika Slovenija
    SLO | ENG
dekorativna slika

Mnenja - VOP

+ -
Datum: 19.09.2006
Naslov: Baza naročil kupcev kot zbirka osebnih podatkov
Številka: 092-4/2006/653
Vsebina: Register zbirk osebnih podatkov
Pravni akt: Mnenje

Spoštovani,

 

prejeli smo vaše elektronsko vprašanje, v katerem nas sprašujete,

ali gre pri bazi naročil vaših kupcev za posebno zbirko osebnih podatkov.

 

Ker lahko avtentično razlago posameznih določb zakona daje le Državni zbor, neobvezno pa predlagatelj zakona, vam na podlagi informacij, ki ste nam jih posredovali, v nadaljevanju na podlagi 7. točke prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 86/04 in 113/05, v nadaljevanju ZVOP-1) ter 2. in 18. člena Zakona o Informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje.

 

Pooblaščenec uvodoma podaja nekaj splošnih povzetkov ZVOP-1 za izdelavo kataloga zbirk osebnih podatkov in vnos v register.

 

Osebni podatek je v skladu z 1. tč. 6. člena ZVOP-1 katerikoli podatek, ki se nanaša na posameznika, ne glede na obliko, v kateri je izražen.

 

Zbirka osebnih podatkov je v skladu z 5. tč. 6. člena ZVOP-1 vsak strukturiran niz podatkov, ki vsebuje vsaj en osebni podatek, ki je dostopen na podlagi meril, ki omogočajo uporabo ali združevanje podatkov, ne glede na to, ali je niz centraliziran, decentraliziran ali razpršen na funkcionalni ali geografski podlagi; strukturiran niz podatkov je niz podatkov, ki je organiziran  na takšen način, da določi ali omogoči določljivost posameznika.

 

Katalog in register zbirk urejajo členi 26 do 28 ZVOP-1. Vsebina kataloga je določena v 26. členu ZVOP-1. V skladu s 1. odst. 26. člena ZVOP-1 mora upravljavec osebnih podatkov za vsako zbirko (torej tudi zbirko o vaših strankah, če so te – vsaj del zbirke – fizične osebe) osebnih podatkov vzpostavi katalog zbirke osebnih podatkov, ki vsebuje:
1. naziv zbirke osebnih podatkov;
2. podatke o upravljavcu osebnih podatkov (za fizično osebo: osebno ime, naslov opravljanja dejavnosti ali naslov stalnega ali začasnega prebivališča, za samostojnega podjetnika posameznika pa še firmo, sedež in matično številko; za pravno osebo: naziv oziroma firmo in naslov oziroma sedež upravljavca osebnih podatkov in matično številko);
3. pravno podlago za obdelavo osebnih podatkov;
4. kategorije posameznikov, na katere se nanašajo osebni podatki;
5. vrste osebnih podatkov v zbirki osebnih podatkov;
6. namen obdelave;
7. rok hrambe osebnih podatkov;
8. omejitve pravic posameznikov glede osebnih podatkov v zbirki osebnih podatkov in pravno podlago omejitev;
9. uporabnike ali kategorije uporabnikov osebnih podatkov, vsebovanih v zbirki osebnih podatkov;
10. dejstvo, ali se osebni podatki iznašajo v tretjo državo, kam, komu in pravno podlago iznosa;
11. splošen opis zavarovanja osebnih podatkov;
12. podatke o povezanih zbirkah osebnih podatkov iz uradnih evidenc ter javnih knjig;
13. podatke o zastopniku iz tretjega odstavka 5. člena tega zakona (za fizično osebo: osebno ime, naslov opravljanja dejavnosti ali naslov stalnega ali začasnega prebivališča, za samostojnega podjetnika posameznika pa še firmo, sedež in matično številko; za pravno osebo: naziv oziroma firmo in naslov oziroma sedež upravljavca osebnih podatkov in matično številko).

 

1. odst. 27. člena določa, katere dele kataloga mora upravljavec osebnih podatkov sporočiti državnemu nadzornemu organu (Informacijskemu pooblaščencu). Zaradi boljše preglednosti so ti deli kataloga zgoraj poudarjeni. Te podatke mora upravljavec sporočiti najmanj 15 dni pred vzpostavitvijo zbirke osebnih podatkov ali pred vnosom nove vrste osebnih podatkov. Upravljavec mora Pooblaščencu v skladu z 2. odst. 27. člena sporočiti tudi spremembe podatkov in sicer najkasneje v osmih dneh od dneva spremembe.

 

Pred vzpostavitvijo zbirke osebnih podatkov – npr. evidence kupcev, evidence zaposlenih, evidence za potrebe pokojninskega in invalidskega zavarovanja, evidence prisotnosti na delu … – morate torej vzpostaviti katalog zbirk osebnih podatkov in podatke, ki jih zahteva 27. člena ZVOP-1, pravočasno sporočiti Informacijskemu pooblaščencu.

 

V skladu z navedenim gre pri bazi naročil vaših kupcev za zbirko osebnih podatkov kot je definirana  v  5. tč. 6. člena ZVOP-1, kar pomeni, da morate kot upravljavec tudi za to zbirko vzpostaviti katalog zbirke osebnih podatkov in dele kataloga, ki so določeni v 1. odst. 27. člena ZVOP-1 sporočiti državnemu nadzornemu organu (Informacijskemu pooblaščencu).

 

Pooblaščenec opozarja, da je že nekaj časa možen vnos v register preko spletnega obrazca na spletni strani Pooblaščenca http://www.ip-rs.si/index.php?id=450, kjer si lahko ogledate tudi vnose drugih zavezancev. Na tej strani boste našli tudi podrobna navodila, kako poteka vnos v register.

 

S spoštovanjem,

      

Informacijski pooblaščenec
Nataša Pirc Musar, univ. dipl. prav.,

pooblaščenka