Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Mnenja - VOP

+ -
Datum: 15.03.2018
Naslov: Izvedene zbirke osebnih podatkov
Številka: 0712-1/2018/625
Vsebina: Register zbirk osebnih podatkov, Zavarovanje osebnih podatkov, Pridobivanje OP iz zbirk, Zbirke osebnih podatkov
Pravni akt: Mnenje

Informacijski pooblaščenec (v nadaljevanju IP) je prejel vaše zaprosilo za mnenje, ali je dopustno na podlagi podatkov iz računalniške aplikacije SPIS 4, ki se uporablja za evidentiranje, klasificiranje in signiranje pošte (evidenca dokumentarnega gradiva) v Excelovi tabeli vzpostaviti seznam osebnih in drugih podatkov, ki jih javni uslužbenec potrebuje pri svojem delu. Zanima vas, ali se takšna tabela, ki predstavlja izpis podatkov, s katerimi ministrstvo razpolaga v evidenci dokumentarnega gradiva, šteje kot zbirka osebnih podatkov ter pod kakšnimi pogoji se lahko ustvarjajo taki pripomočki za delo, kot je npr. Excelova tabela, ki vsebuje osebne podatke. Prosite tudi za mnenje, kako bo na tak način obdelave vplivala uporaba Splošne uredbe (EU) o varstvu podatkov.

 

IP uvodoma pojasnjuje, da se Splošna Uredba (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov; uredba) prične uporabljati 25. 5. 2018, s čimer stopijo v uporabo tudi pristojnosti IP glede izdajanja nezavezujočih mnenj na podlagi določb uredbe, zato lahko svoje mnenje v obdobju pred uporabo uredbe podamo le na podlagi obstoječe zakonodaje o varstvu osebnih podatkov. Tako vam na podlagi informacij, ki ste nam jih posredovali, v nadaljevanju na podlagi 7. točke prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07, uradno prečiščeno besedilo, v nadaljevanju ZVOP-1) ter 2. člena Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) v zvezi z vašim zaprosilom posredujemo naše neobvezno mnenje.

 

Pravne podlage za  obdelavo osebnih podatkov v javnem sektorju opredeljuje 9. člen ZVOP-1. Ta v prvem odstavku določa, da se osebni podatki v javnem sektorju lahko obdelujejo, če obdelavo osebnih podatkov in osebne podatke, ki se obdelujejo, določa zakon. Z zakonom se lahko določi, da se določeni osebni podatki obdelujejo le na podlagi osebne privolitve posameznika. Nosilci javnih pooblastil lahko obdelujejo osebne podatke tudi na podlagi osebne privolitve posameznika brez podlage v zakonu, kadar ne gre za izvrševanje njihovih nalog kot nosilcev javnih pooblastil. Zbirke osebnih podatkov, ki nastanejo na tej podlagi, morajo biti ločene od zbirk osebnih podatkov, ki nastanejo na podlagi izvrševanja nalog nosilca javnih pooblastil. Ne glede na prvi odstavek tega člena se lahko v javnem sektorju obdelujejo osebni podatki posameznikov, ki so z javnim sektorjem sklenili pogodbo ali pa so na podlagi pobude posameznika z njim v fazi pogajanj za sklenitev pogodbe, če je obdelava osebnih podatkov potrebna in primerna za izvedbo pogajanj za sklenitev pogodbe ali za izpolnjevanje pogodbe. Ne glede na prvi odstavek tega člena se lahko v javnem sektorju izjemoma obdelujejo tisti osebni podatki, ki so nujni za izvrševanje zakonitih pristojnosti, nalog ali obveznosti javnega sektorja, če se s to obdelavo ne poseže v upravičen interes posameznika, na katerega se osebni podatki nanašajo.

 

Skladno z določbo 5. točke 6. člena ZVOP-1 je zbirka osebnih podatkov vsak strukturiran niz podatkov, ki vsebuje vsaj en osebni podatek, ki je dostopen na podlagi meril, ki omogočajo uporabo ali združevanje podatkov, ne glede na to, ali je niz centraliziran, decentraliziran ali razpršen na funkcionalni ali geografski podlagi; strukturiran niz podatkov je niz podatkov, ki je organiziran na takšen način, da določi ali omogoči določljivost posameznika.

 

Osebni podatki posameznikov (npr. šifrant fizičnih oseb) so v računalniški aplikaciji SPIS 4, ki se uporablja za evidentiranje, klasificiranje in signiranje pošte oziroma evidentiranje dokumentarnega gradiva ministrstva, strukturirani tako, da ustrezajo definiciji zbirke osebnih podatkov, saj gre za strukturiran niz podatkov, ki se nanašajo na določene oziroma določljive posameznike.

 

Dolžnost vpisa zbirk osebnih podatkov po ZVOP-1 v register Informacijskega pooblaščenca nalaga 27. člen, pri čemer oblika ali format določene zbirke (npr. ali gre za zbirko osebnih podatkov v računalniški aplikaciji, Excelovo tabelo z osebnimi podatki ali drugo obliko zbirke osebnih podatkov) ne igra vloge.

 

Glede na vaša pojasnila, da Excelova tabela, predstavlja izpis določenih osebnih podatkov iz osnovne evidence dokumentarnega gradiva ministrstva, ki jih javni uslužbenec potrebuje pri svojem delu, IP meni, da se tak delovni pripomoček lahko šteje kot izvedena zbirka ali pa za del osnovne zbirke, dokler gre za obdelavo osebnih podatkov v okviru istega namena. IP načeloma meni, da tako izvedenih zbirk ali delov osnovnih zbirk osebnih podatkov, ki se obdelujejo v okviru istega (osnovnega) namena, ne moremo šteti za novo zbirko in s tem za novo dolžnost prijave v register zbirk osebnih podatkov pri IP. Takšno tolmačenje bi namreč po mnenju IP predstavljajo za upravljavce osebnih podatkov nesorazmerno breme, saj bi morali praktično po vsaki poizvedbi po bazah osebnih podatkov opraviti novo prijavo v register za tako pridobljene podatke, ki ustrezajo kriterijem, po katerih so poizvedovali. Vsekakor pa tudi za takšne izčlenjene ali izvedene zbirke osebnih podatkov veljajo dolžnosti za zagotavljanje ustrezne informacijske varnosti kot tudi spoštovanje ostalih načel varstva osebnih podatkov (npr. načelo sorazmernosti in načelo namenske rabe osebnih podatkov). Treba jih je ustrezno varovati tako kot osnovno zbirko celo (vključno z zagotovitvijo ustrezne sledljivosti obdelave osebnih podatkov v skladu s 5. točko 1. odstavka 24. člena ZVOP-1, če se ta zahteva za osnovno zbirko) in treba je zagotoviti točnost in ažurnost osebnih podatkov v tako izvedenih zbirkah, kar bi pri večjem obsegu vključenih podatkov uslužbencem lahko predstavljalo ključni izziv in razlog, zakaj morda ni najbolj smotrno izvesti in hraniti takih izpisov pri sebi na zalogo.

 

V primeru, da bi pri izčlenitvi osebnih podatkov iz evidence dokumentarnega gradiva ministrstva, kot osnovne zbirke osebnih podatkov, šlo za nov namen obdelave osebnih podatkov, ki ni vsebovan oziroma zajet v osnovnih namenih obdelave celotne zbirke, potem bi lahko govorili o novi zbirki osebnih podatkov, ki bi jo ministrstvo v skladu z ZVOP-1 bilo dolžno posebej prijaviti v register in bi za takšno obdelavo tudi potrebovalo ustrezno pravno podlago.

 

V skladu s členom 4(6) Splošne uredbe o varstvu podatkov pojem »zbirka« pomeni vsak strukturiran niz osebnih podatkov, ki so dostopni v skladu s posebnimi merili, niz pa je lahko centraliziran, decentraliziran ali razpršen na funkcionalni ali geografski podlagi, zato tudi po določilih uredbe ni nobenih dilem, da Excelova tabela z izpisom določenih osebnih podatkov iz osnovne evidence dokumentarnega gradiva ministrstva, šteje za zbirko.

 

Prijava zbirk osebnih podatkov v register IP po 25. 5. 2018 za upravljavce ne bo več obvezna, bodo pa upravljavci in obdelovalci ter njihovi predstavniki, kadar ti obstojijo, imeli obveznost voditi evidenco dejavnosti obdelave osebnih podatkov v okviru svoje odgovornosti, kot to določa člen 30 Splošne uredbe o varstvu podatkov, katere sestavni del (kadar je to mogoče) je tudi splošen opis tehničnih in organizacijskih varnostnih ukrepov iz člena 32(1) uredbe, ki morajo biti zagotovljeni za varnost zbirk.

 

S spoštovanjem,

 

Pripravila:                                                 

mag. Petra Ratajec                                                                        Mojca Prelesnik, univ. dipl. prav.,

državna nadzornica za varstvo                                                       informacijska pooblaščenka

osebnih podatkov