Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Iskalnik po mnenjih GDPR

+ -
Datum: 15.10.2019
Naslov: Obdelava EMŠO
Številka: 0712-1/2019/2321
Vsebina: EMŠO in davčna, Pravne podlage, Pridobivanje OP iz zbirk
Pravni akt: Mnenje

Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaše zaprosilo za mnenje glede obdelave enotne matične številke občana (EMŠO).

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba o varstvu podatkov), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju: ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju: ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.

 

IP uvodoma pojasnjuje, da Splošna uredba o varstvu podatkov določa pravne podlage v prvem odstavku 6. člena, ki določa, da je obdelava zakonita le in kolikor je izpolnjen vsaj eden od naslednjih pogojev:

(a) posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov;

(b) obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe;

(c) obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca;

(d) obdelava je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe;

(e) obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu;

(f) obdelava je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok.«.

Ob tem je treba upoštevati, da se zadnja točka (f) ne more uporabljati za obdelavo s strani javnih organov pri opravljanju njihovih nalog.

 

Pravne podlage za obdelavo osebnih podatkov v javnem sektorju, kamor spada tudi vaš organ, so  nadalje določene v 9. členu ZVOP-1. Ta v prvem odstavku določa, da se osebni podatki v javnem sektorju lahko obdelujejo le, če obdelavo osebnih podatkov in osebne podatke, ki se obdelujejo, določa zakon. Z zakonom pa se lahko določi, da se določeni osebni podatki obdelujejo le na podlagi osebne privolitve posameznika. Državni organ mora torej za obdelavo podatka o EMŠO posameznika imeti pravno podlago v zakonu, sicer obdelava tega podatka ni dopustna.

IP pojasnjuje, da mu ni znana neposredna zakonska podlaga, ki bi določala obdelavo EMŠO za namen sofinanciranja nakupa prevoza s kolesi oziroma ustvarjanja baze z namenom preprečitve dvojnega financiranja.

V skladu s 6. členom Zakona o centralnem registru prebivalstva (Uradni list RS, št. 72/06 – ZCRP-UPB1; v nadaljevanju: ZCRP) je EMŠO identifikacija za enoznačno opredelitev posameznika, ki je namenjena vodenju in vzdrževanju zbirk podatkov o prebivalstvu, povezovanju podatkov v teh zbirkah ter racionalizaciji dela državnih organov in drugih uporabnikov, ki imajo zakonsko podlago za uporabo EMŠO, pa tudi uresničevanju pravic in obveznosti posameznika. Uporaba EMŠO je določena v prvem odstavku 9. člena ZCRP, ki določa, da  jo morajo uporabljati upravljavci zbirk podatkov, ki jih vodijo o posamezniku na podlagi zakona na področjih statistike, notranjih zadev, zdravstvenega varstva in zdravstvenega zavarovanja, davkov in carine, obrambe, geodetske službe, urejanja prostora in ekološke zaščite, zaposlovanja in spremljanja delovne sile, pokojninskega in invalidskega zavarovanja, pravosodja, šolstva, socialnega varstva in drugi uporabniki, določeni z zakonom oziroma upravljavci zbirk podatkov, določeni z zakonom, ki v teh zbirkah podatkov uporabljajo EMŠO. Na podlagi tretjega odstavka istega člena pa je tisti, ki pridobiva EMŠO, dolžan navesti zakonsko podlago in namen pridobivanja EMŠO, v primeru pisne privolitve pa posameznika seznaniti z namenom pridobivanja.

 

IP dodaja, da ne more potrjevati predlogov informacijskih rešitev, aplikacij ali sistemov, predvsem pa ne more dajati navodil, kako naj se implementira določena informacijska rešitev. V primerih informacijskih rešitev, ki bi lahko imele pomembne posledice na varstvo osebnih podatkov posameznikov, vsekakor svetujemo, da se pred izvedbo prenove opravi ustrezna ocena učinka na varstvo osebnih podatkov. Del takšne ocene je tudi ugotavljanje pravnih podlag za obdelavo osebnih podatkov, ki jih zahteva posamezna rešitev. Takšne ocene učinka IP ne sme izvesti namesto upravljavca, lahko pa na pripravljeno oceno učinka poda mnenje, če bi bilo iz ocene učinka razvidno, da bi obdelava povzročila veliko tveganje, če upravljavec ne bi sprejel ukrepov za ublažitev tveganja. V tem primeru upravljavec podatkov oceno učinka posreduje v mnenje IP.

 

V pomoč pri pripravi ocen učinkov, smo pripravili Smernice IP o ocenah učinka (https://www.ip-rs.si/fileadmin/user_upload/Pdf/Ocene_ucinkov/Smernice_o_ocenah_ucinka__DPIA__julij2018.pdf)   s pojasnili, kaj so ocene učinkov na varstvo podatkov, kako se izvedejo, kakšni so primeri metodologij ter kontrolni seznam za ugotovitev, ali je bila ocena učinka celovito in kakovostno izvedena.

Dodatno IP še pojasnjuje, da morajo biti uporabniki v vsakem primeru ustrezno obveščeni o vseh vidikih obdelave osebnih podatkov v skladu s členom 13 oziroma 14 Splošne uredbe o varstvu podatkov.

IP na koncu svetuje, da pri pripravi omenjene in drugih rešitev upoštevate temeljna načela varstva osebnih podatkov (tudi načelo sorazmernosti) in obdelujete posamezne kategorije osebnih podatkov le, če je to nujno potrebno za dosego zastavljenega cilja. Če torej v konkretnem primeru obdelava EMŠO ni nujno potrebna (ne glede na to, ali zanjo obstaja pravna podlaga), svetujemo, da se zadeve lotite na drugačen način.

 

 

S spoštovanjem.

 

 

Pripravil:

Matej Sironič,                                                  

Svetovalec pooblaščenca

za varstvo osebnih podatkov

 

 

Mojca Prelesnik, univ. dipl. prav.,

Informacijska pooblaščenka