Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Mnenja - VOP

+ -
Datum: 14.05.2018
Naslov: Modul za SMS obveščanje
Številka: 0712-3/2018/368
Vsebina: Zavarovanje osebnih podatkov, Razno, Moderne tehnologije
Pravni akt: Mnenje

prejeli smo vaš dopis, v katerem nas zaprošate za navodila, kako vpeljati modul za SMS obveščanje pacientov.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju na podlagi 7. točke prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07, uradno prečiščeno besedilo, v nadaljevanju ZVOP-1) ter 2. člena Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašimi vprašanji.

Informacijski pooblaščenec (IP) uvodoma poudarja, da IP ne more potrjevati predlogov rešitev informacijskih rešitev, aplikacij ali sistemov, predvsem pa ne more dajati navodil, kako naj se implementira določena informacijska rešitev. Za takšna dejanja IP nima zakonskih pristojnosti ali pooblastil.

 

Glede na to, da gre za informacijsko rešitev, pri kateri se obdelujejo tudi posebne vrste osebnih podatkov menimo, da gre za projekt, ki ima lahko pomembne posledice na varstvo osebnih podatkov posameznikov, zato je absolutno nujno, da se pred izvedbo prenove opravi ustrezna ocena učinka na varstvo osebnih podatkov. Tovrstne pravočasne ocene učinka lahko bistveno zmanjšajo tveganja za kršitev načel varstva osebnih podatkov – zakonitosti, točnosti, varnosti[1], sorazmernosti in drugih načel. Po določbah uredbe bodo takšni primeri prav gotovo nujno terjali izvedbo ocen učinka, ki pa jo mora opraviti upravljavec oziroma upravljavci osebnih podatkov, po potrebi v sodelovanju s pogodbenimi obdelovalci oz. zakonodajalec pri pripravi zakonodajnih ukrepov; ocena učinka v zvezi z varstvom podatkov se zahteva zlasti v primeru(35. člen uredbe):

 

(a) sistematičnega in obsežnega vrednotenja osebnih vidikov v zvezi s posamezniki, ki temelji na avtomatizirani obdelavi, vključno z oblikovanjem profilov, in je osnova za odločitve, ki imajo pravne učinke v zvezi s posameznikom ali nanj na podoben način znatno vplivajo;

(b) obsežne obdelave posebnih vrst podatkov iz člena 9(1) ali osebnih podatkov v zvezi s kazenskimi obsodbami in prekrški iz člena 10, ali

(c) obsežnega sistematičnega spremljanja javno dostopnega območja.

 

Močno odsvetujemo implementacijo informacijskih rešitev velikega obsega brez ustrezno izvedenih predhodnih ocen učinkov na varstvo osebnih podatkov.

 

Ocene učinka ne more in ne sme namesto upravljavca izvesti IP, lahko pa na pripravljeno oceno učinka poda mnenje v primeru okoliščin iz 1. odstavka 36. člena uredbe, torej če bi bilo iz ocene učinka v zvezi z varstvom podatkov razvidno, da bi obdelava povzročila veliko tveganje, če upravljavec ne bi sprejel ukrepov za ublažitev tveganja; v tem primeru upravljavec podatkov oceno učinka posreduje v mnenje IP (1. odstavek 36. člena uredbe).

 

Po določbah 3. odstavka 36. člena uredbe pri posvetovanju z nadzornim organom upravljavec nadzornemu organu predloži:

 

(a) kadar je ustrezno, dolžnosti upravljavca, skupnih upravljavcev in obdelovalcev, vključenih v obdelavo, zlasti pri obdelavi v povezani družbi;

(b) namene in sredstva predvidene obdelave;

(c) ukrepe in zaščitne ukrepe za zaščito pravic in svoboščin posameznikov, na katere se nanašajo osebni podatki, v skladu s to uredbo;

(d) kadar je ustrezno, kontaktne podatke pooblaščene osebe za varstvo podatkov;

(e) oceno učinka v zvezi z varstvom podatkov iz člena 35 in

(f) vsakršne druge informacije, ki jih zahteva nadzorni organ.

 

 

Kaj so ocene učinkov na varstvo podatkov, kako se izvedejo, kakšni so primeri metodologij ter kontrolni seznam za ugotovitev, ali je bila ocena učinka celovito in kakovostno izvedena, si lahko podrobno preberete v Smernicah Informacijskega pooblaščenca o ocenah učinka, ki so dostopne na:

 

https://www.ip-rs.si/fileadmin/user_upload/Smernice_o_ocenah_ucinka__DPIA__nov2017.pdf

 

 

Lep pozdrav,

 

 

Mojca Prelesnik, univ.dipl.prav.,                                                  

informacijska pooblaščenka

 

 

 

 

 

Pripravil:                                                                                                                                  

mag. Andrej Tomšič,
namestnik informacijske pooblaščenke  

 

 

 

           

 


[1] Varnost je zgolj eno od temeljni načel varstva osebnih podatkov.