Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Mnenja - VOP

+ -
Datum: 07.12.2017
Naslov: Zagotavljanje sledljivosti in pravica do pozabe
Številka: 0712-1/2017/2393
Vsebina: Zavarovanje osebnih podatkov, Rok hrambe OP
Pravni akt: Mnenje

Spoštovani,

 

prejeli smo vaše zaprosilo za mnenje, ki se nanaša na vprašanja glede zagotavljanja sledljivosti in pravice do pozabe.

 

Uvodoma pojasnjujemo, da IP ne more opravljati nalog, ki sodijo na področje svetovanja, t.j. kako v praksi implementirati določene zahteve zakonodaje, kar številna vaša konkretna vprašanja terjajo. Prav tako ne moremo predpisovati ali določati konkretnega načina implementacije ali svetovati glede vsebine posameznih dokumentov, zaslonskih mask in drugih elementov, zakonitost obdelave podatkov pa lahko preverjamo le v okviru  inšpekcijskega postopka, zato vam lahko podamo napotke, usmeritve in priporočila, konkreten način implementacije pa je v rokah posameznega upravljavca ali obdelovalca podatkov.

 

Informacijski pooblaščenec (IP) vam na podlagi informacij, ki ste nam jih posredovali v zaprosilu za mnenje v nadaljevanju na podlagi 7. točke prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07, uradno prečiščeno besedilo, v nadaljevanju ZVOP-1) ter 2. člena Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posreduje naše neobvezno mnenje v zvezi z vašimi vprašanji.

 

 

Pojasnila glede sledljivosti:

 

Nekoliko smo presenečeni, da se ISO 27001 certificirano podjetje šele sedaj sooča z vprašanjem zagotavljanja sledljivosti, saj med kontrole omenjenega standarda sodi tudi zagotavljanje skladnosti z zakonodajo, omenjena zahteva pa je v ZVOP-1 prisotna že vsaj od leta 2004. Kot pojasnjujemo v smernicah o zavarovanju posebnih podatkov (glejte posebej poglavje o sledljivosti [1], dodatno pomoč najdete v Smernicah o zavarovanju informacijskih sistemih bolnišnic [2]), je namen zagotavljanja sledljivosti možnost rekonstrukcije, kdo je kdaj obdeloval katere osebne podatke. Sam način implementacije ni predpisan in ga tudi ne moremo svetovati ali predpisovati, bistveno je, da izbrani način doseže omenjeni cilj sledljivosti, z vidika zavezanca pa je seveda pomembno, da izbrani način čim manj obremenjuje delovanje informacijskega sistema tako z vidika hitrosti delovanja, kapacitet za hrambo podatkov kot po drugih kriterijih za učinkovito delovanje informacijskega sistema. Kot tudi pojasnjujemo v smernicah, ni treba beležiti vrednosti podatka oz. njihov življenjski cikel [3], pomembno je, da vemo, katere vrste podatkov je videl kateri uporabnik in kdaj [4]. Kot smo pojasnili, je treba posebej paziti na iskalne kriterije, saj (pre)več prikazanih podatkov lahko pomeni večje zahteve za sledljivost, zato je treba pozorno premisliti, ali mora uporabnik res takoj videti vse podatke in omejiti prikaz podatkov na seznamih zadetkov na nujno potrebno, prikaz podatkov pa po potrebi razdeliti v več korakov. Pomembno je tudi razmisliti, ali se da beležiti zahtevke (poizvedbe) uporabnikov in na ta način omogočiti rekonstrukcijo, do katerih podatkov katerih oseb je prišel uporabnik. Kot dostop do osebnih podatkov se šteje tudi prikaz podatka na zaslonu oziroma drugi izhodni napravi – ne pozabite, da je namen sledljivosti najti krivca, ki je prišel do podatkov in jih zlorabil, kar je lahko za vas test, ali način implementacije sledljivosti dosega zasledovane cilje.

 

 

Glede pravice do pozabe  sprašujete, ali naj v programe vgradite opcijo za možnost izbrisa neke fizične osebe.

 

Pravica do pozabe je natančno urejena v 17. členu Splošne Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov; uredba), ki med drugim določa, da (točki b in c, podčrtal IP):

 

 

(b) | posameznik, na katerega se nanašajo osebni podatki, prekliče privolitev, na podlagi katere poteka obdelava v skladu s točko (a) člena 6(1) ali točko (a) člena 9(2), in kadar za obdelavo ne obstaja nobena druga pravna podlaga;

(c) | posameznik, na katerega se nanašajo osebni podatki, obdelavi ugovarja v skladu s členom 21(1), za njihovo obdelavo pa ne obstajajo nobeni prevladujoči zakoniti razlogi, ali pa posameznik, na katerega se nanašajo osebni podatki, obdelavi ugovarja v skladu s členom 21(2);

 

 

Posebej opozarjamo tudi na določbe 3.b odstavka 17. člena uredbe, ki določa, da se prva dva odstavka ne uporabljata, če je obdelava potrebna za izpolnjevanje pravne obveznosti obdelave na podlagi prava Unije ali prava države članice, ki velja za upravljavca, ali za izvajanje naloge v javnem interesu ali pri izvajanju javne oblasti, ki je bila dodeljena upravljavcu. Kot primer: obvezno hrambo računov in roke določa davčna zakonodaja, zato se jih ne sme brisati, (tudi) če bi tako zahtevala fizična oseba, temveč je treba upoštevati pogoje in roke hrambe, ki jih določa zakonodaja. Podobno je treba preveriti za druge poslovne dokumente, ki jih navajate. Pred vsako morebitno zahtevo za izbris podatkov bo moral upravljavec temeljito preveriti, ali mora dejansko ugoditi zahtevi posameznika ali po drugi strani pretehtajo drugi razlogi, da zahtevi ne ugodi, kot to določa 17. člen uredbe. Prav gotovo pa ni priporočljivo podatkov brisati takoj na zahtevo posameznika, temveč je najprej treba skrbno preveriti, ali za hrambo ne obstajajo druge pravne podlage ali nobeni prevladujoči zakoniti razlogi.

 

Svetujemo vam, da podrobno preučite določbe 17. člena uredbe in se nato odločite, pri katerih poslovnih dokumentih je smiselno podpreti možnost izbrisa.

 

 

S spoštovanjem,

 

Pripravil:

mag. Andrej Tomšič

namestnik informacijske pooblaščenke

 

Informacijski Pooblaščenec:

Mojca Prelesnik, univ. dipl. prav.

informacijska pooblaščenka

 


[1] https://www.ip-rs.si/fileadmin/user_upload/Pdf/smernice/Smernice_o_zavarovanju_OP.pdf

[2] https://www.ip-rs.si/fileadmin/user_upload/Pdf/smernice/Smernice_za_zavarovanje_OP_v_IS_bolnisnic_15022008.pdf

[3] To bi se zgodilo z zajemom in hrambo zaslonskih slik.

[4] Npr. da je videl naslednje kategorije podatkov o posamezniku: datum rojstva, EMŠO, naslov prebivališča določenega posameznika.