Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Mnenja - VOP

+ -
Datum: 28.12.2016
Naslov: Osebni podatki pri obdelavi e-vlog
Številka: 0712-1/2016/2647
Vsebina: Moderne tehnologije, Zavarovanje osebnih podatkov, Pogodbena obdelava OP
Pravni akt: Mnenje

Spoštovani,

 

Informacijski pooblaščenec (v nadaljevanju IP) je prejel vaše elektronsko sporočilo, v katerem pojasnjujete, da vaše podjetje podpira funkcionalnost spletne oddaje vlog občanov občinam, ki v osnovi deluje tako, da občan na spletni strani posamezne občine izpolni elektronsko vlogo (nekatere vsebujejo tudi osebne podatke), ki se po zaključku izpolnitve posreduje po elektronski pošti na uradni elektronski naslov občine. V zvezi s tem IP zastavljate naslednja vprašanja:

1. Ali je v takem načinu obdelovanja podatkov vprašljivo varstvo osebnih podatkov, glede na to da se pošta posreduje na uradni elektronski naslov občine?

2. Glede na to, da se sedaj vsaka vloga hrani tudi na spletni strani v evidenci in se za vsak dostop do vloge beleži kdo dostopa, kdaj, iz katerega IP-ja in razlogi za vpogled, vas zanima ali bi bilo bolj pravilno, da se na elektronski naslov občine ne pošilja kar pdf-ja, ampak samo povezavo do vloge na strežniku, kjer bi se nato beležili dostopi do vlog kot do sedaj?

3. Ali bi v tem primeru bilo potrebno zavarovati dostop in zagotoviti, da se do izpolnjenih e-vlog na strežniku dostopa preko prijave z digitalnim potrdilom?

 

Avtentično razlago posameznih določb zakona daje le Državni zbor, neobvezno pa predlagatelj zakona, zato vam na podlagi informacij, ki ste nam jih posredovali, v nadaljevanju, na podlagi 7. točke prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07, uradno prečiščeno besedilo, v nadaljevanju ZVOP-1) ter 2. člena Zakona o Informacijskem pooblaščencu (Uradni list RS, št. 113/2005 in 51/2007–ZUstS-A, v nadaljevanju ZInfP), posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.

 

Osebni podatki v javnem sektorju, kamor spadajo občine, se lahko obdelujejo, če obdelavo osebnih podatkov in osebne podatke, ki se obdelujejo, določa zakon. Z zakonom se lahko določi, da se določeni osebni podatki obdelujejo le na podlagi osebne privolitve posameznika. Ne glede na to se lahko v javnem sektorju izjemoma obdelujejo tisti osebni podatki, ki so nujni za izvrševanje zakonitih pristojnosti, nalog ali obveznosti javnega sektorja, če se s to obdelavo ne poseže v upravičen interes posameznika, na katerega se osebni podatki nanašajo, kot to določa četrti odstavek 9. člena ZVOP-1.

 

Posredovanje osebnih podatkov preko elektronskih komunikacijskih omrežij pod splošnimi pogoji je dopustno, vendar IP pri tem opozarja, da je pri zavarovanju prenosa osebnih podatkov preko elektronske pošte zaradi možnosti zlorab in nepooblaščenega dostopa pri obdelavi osebnih podatkov potrebna posebna skrbnost. Če pa se v vlogah oz. izpolnjenih obrazcih občanov nahajajo tudi občutljivi osebni podatki, so zahteve ZVOP-1 glede zavarovanja še strožje.   

 

Po določilu 1. točke 1. odstavka 6. člena ZVOP-1 je osebni podatek katerikoli podatek, ki se nanaša na posameznika, ne glede na obliko, v kateri je izražen. Občutljivi osebni podatki (19. točka 6. člena ZVOP-1) pa so osebni podatki o rasnem, narodnem ali narodnostnem poreklu, političnem, verskem ali filozofskem prepričanju, članstvu v sindikatu, zdravstvenem stanju, spolnem življenju, vpisu ali izbrisu v ali iz kazenske evidence ali evidenc, ki se vodijo na podlagi zakona, ki ureja prekrške; občutljivi osebni podatki so tudi biometrične značilnosti, če je z njihovo uporabo mogoče določiti posameznika v zvezi s kakšno od prej navedenih okoliščin.

 

Razlika med »običajnimi« osebnimi podatki in občutljivimi osebnimi podatki, je pomembna z vidika zavarovanja posameznih tipov podatkov. Zahteve, ki jim morajo postopki in ukrepi za zavarovanje osebnih podatkov zadostiti so določene v 24. členu ZVOP-1, medtem ko je v 25. členu določeno še, da morajo upravljavci osebnih podatkov postopke in ukrepe za zavarovanje osebnih podatkov predpisati v svojih aktih ter zagotoviti njihovo izvajanje. ZVOP-1 pa v 14. členu posebej določa metode zavarovanja občutljivih osebnih podatkov. Določa, da morajo biti občutljivi osebni podatki pri obdelavi posebej označeni in zavarovani tako, da se nepooblaščenim osebam onemogoči dostop do njih. Dodatno še določa, da se pri prenosu občutljivih osebnih podatkov preko telekomunikacijskih omrežij šteje, da so podatki ustrezno zavarovani, če se posredujejo z uporabo kriptografskih metod in elektronskega podpisa tako, da je zagotovljena njihova nečitljivost oziroma neprepoznavnost med prenosom.

 

Glede na zgoraj navedene zahteve ZVOP-1 po zagotovitvi zavarovanja (občutljivih) osebnih podatkov, ki jih morate v konkretnem primeru upoštevati pri izgradnji informacijske rešitve spletne oddaje vlog občanov občinam, vam v nadaljevanju odgovarjamo na vaša vprašanja:

 

1.   ZVOP-1 zahteva od upravljavca, da ima zakonsko podlago za obdelavo osebnih podatkov. Ne predpisuje pa načina oz. poti dostave teh podatkov. Oddaja vlog na vhodni naslov e-pošte občine se lahko izvede tako, da posameznik neposredno pošlje vlogo prek svoje e-pošte na e-poštni naslov občine, lahko pa se postopek izvede prek spletne strani, in sicer z oddajo elektronske vloge prek vnosne maske oz. na primerljiv način. Oddane vloge morajo biti ustrezno zavarovane pred nepooblaščeno obdelavo osebnih podatkov. Kljub temu, da morda ne gre za obdelavo občutljivih osebnih podatkov (ni pa to izključeno!), je priporočljivo, da spletna stran uporablja SSl/TSL protokol, ki omogoča šifriran prenos podatkov. Če gre za prenos občutljivih osebnih podatkov prek telekomunikacijskih omrežij, npr. od računalnika uporabnika do spletne strani občine, morajo biti skladno s 14. členom ZVOP-1 podatki med prenosom šifrirani. Poleg navedenega je treba spletni strežnik redno vzdrževati, tj. poskrbeti za ustrezne varnostne popravke v primeru ugotovljenih novih varnostnih pomanjkljivosti.

 

2.   Dejstvo, ali se izpolnjena vloga občana posreduje na uradni elektronski naslov občine ali pa se hrani na spletnem strežniku in pooblaščene osebe do nje dostopajo neposredno preko spletne strani, z vidika ZVOP-1 načeloma ni pomembno. Pomembno je, da se omeji dostop do teh vlog na način, da se prepreči nepooblaščena obdelava osebnih podatkov, in da se zagotovi revizijske sledi, s katerimi se lahko naknadno ugotavlja, kdo je dostopal do katerih podatkov, kdaj je dostopal in za kakšen namen. V vsakem primeru mora biti raven zavarovanja dostopa do in obdelave osebnih podatkov v obeh primerih, ki ste jih predlagali, primerljiva. Priporočljiva rešitev je tista, kjer je stopnja zavarovanja višja. Priporočamo tudi naše smernice o zavarovanju osebnih podatkov:

 

·   https://www.ip-rs.si/fileadmin/user_upload/Pdf/smernice/Smernice_o_zavarovanju_OP.pdf

 

 

Urediti je treba tudi vidik pogodbene obdelave, saj za občino nastopate kot pogodbeni obdelovalec osebnih podatkov, zato morate izpolniti dolžnosti glede pogodbe, kot je določa 11. člen ZVOP-1. Več o tem si lahko preberete v naših smernicah na to temo:

 

·  https://www.ip-rs.si/fileadmin/user_upload/Pdf/smernice/Smernice_o_pogodbeni_obdelavi_web.pdf

 

3.   Iz vašega vprašanja ni povsem jasno, kdo naj bi v konkretnem primeru dostopal do izpolnjenih elektronskih vlog občanov na strežniku (pooblaščene osebe občine ali občani zase), zato vam v zvezi s tem vprašanjem podajamo splošen odgovor. V primerih vlog v elektronski obliki, za katere je z zakonodajo določeno, da morajo biti varno elektronsko podpisane in podpis overjen s kvalificiranim potrdilom (npr. elektronske vloge v skladu s 107. členom Uredbe o upravnem poslovanju) ali v primerih, ko je z zakonodajo določeno, da mora posameznik za uradno priznano vlogo izkazati svojo identiteto z osebnim dokumentom, je uporaba digitalnega potrdila nujna. Prav tako je ta v skladu z ZVOP-1 nujna v primerih elektronskih vlog, ki vsebujejo občutljive osebne podatke. V vseh ostalih primerih je priporočljiva zaradi dviga ravni varnosti, torej tudi v primeru, ko do svojih dokumentov dostopa občane (tako kot na primer pri eDavkih).

 

Lep pozdrav,

 

Pripravila:                           
mag. Petra Ratajec    
državna nadzornica za varstvo   
osebnih podatkov                                  


Mojca Prelesnik, univ. dipl. prav.,
informacijska pooblaščenka