Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Iskalnik po mnenjih GDPR

+ -
Datum: 08.11.2019
Naslov: Nadzor MDDSZ nad izvajanjem sofinanciranega projekta
Številka: 0712-1/2019/2305
Vsebina: Pravne podlage, Pridobivanje OP iz zbirk, Privolitev
Pravni akt: Mnenje

Informacijski pooblaščenec (v nadaljevanju IP) je prejel vaš dopis, v katerem navajate, da je bil vaš zavod izvajalec projekta dolgega programa socialne aktivacije, ki je bil leta 2017 izbran na javnem razpisu Ministrstva za delo, družino, socialne zadeve in enake možnosti (MDDSZ). Projekt je sofinanciran iz MDDSZ in Evropskega socialnega sklada. V vaš program je bilo med 18. 10. 2017 in 18. 7. 2019 vključenih petinštirideset brezposelnih oseb. Nekateri med njimi so se tekom programa zaposlili, o zaposlitvah pa ste z uradnimi zaznamki  morali sproti obveščati MDDSZ.

 

MDDSZ  je 4. 4. 2018 sporočilo, da uradni zaznamek in vaše preverjanje zaposlitve ni primerno in za preverjanje kazalnika (zaposlitev) od izvajalca zahteva dokazilo zaposlitve, in sicer obrazec M1, ki vsebuje datum prijave osebe v obvezno zdravstveno zavarovanje in odjave, če je do nje prišlo. Obrazec vam lahko posreduje posameznik ali Zavod za pokojninsko in invalidsko zavarovanje (ZPIZ). ZPIZ je pojasnil, da brez pisnega pooblastila oseb, zaradi GDPR in ZVOP-1, potrdil ne izda in da naj se na ZPIZ direktno s primerno pravno podlago obrne MDDSZ. Kot izvajalec projekta ste se s tolmačenjem ZPIZ-a zadovoljili in pisnih pooblastil posameznikov niste pridobivali, o čemer ste obvestili tudi MDDSZ. Kot še navajate, zahteva ni bila del razpisne dokumentacije, ampak je MDDSZ zahtevo določilo kasneje, brez sklepa, samo z obvestilom.

 

Zanima vas, ali imate pravno podlago, da od udeležencev projekta zahtevate podpis pooblastila in kaj narediti v primeru, če ga ne podpiše? Ali je MDDSZ kot nadzorni organ javnega razpisa pristojen za pridobitev potrdil iz evidenc ZPIZ-a?

 

****

 

Na podlagi informacij, ki ste nam jih posredovali, v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov; v nadaljevanju: Splošna uredba), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašimi zgoraj navedenimi vprašanji. Ob tem poudarjamo, da IP izven postopka inšpekcijskega nadzora oziroma drugega upravnega postopka ne more presojati konkretnih obdelav osebnih podatkov.

 

****

 

Za zakonito obdelavo osebnih podatkov mora obstajati ustrezna pravna podlaga. Pravne podlage za obdelavo osebnih podatkov so določene v prvem odstavku 6. člena Splošne uredbe. Skladno z določbami prvega odstavka 6. člena Splošne uredbe se obdelava osebnih podatkov šteje za zakonito, le in kolikor je izpolnjen vsaj eden od naslednjih pogojev:

(a)    posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov;
(b)    obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe
(c)    obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca;
(d)    obdelava je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe;
(e)    obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu;
(f)    obdelava je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok.

 

Točka (f) se ne uporablja za obdelavo osebnih podatkov s strani javnih organov, pri opravljanju njihovih nalog.

 

Pravne podlage za obdelavo osebnih podatkov v javnem sektorju, kamor spada MDDSZ, so nadalje določene v 9. členu ZVOP-1, ki v tem delu še vedno ostaja v veljavi. V javnem sektorju se tako lahko osebni podatki v zvezi s točko (c) in (e) prvega odstavka 6. Splošne uredbe praviloma obdelujejo le, če tako določa zakon, ki lahko določi tudi to, da se določeni osebni podatki obdelujejo le na podlagi osebne privolitve posameznika.

 

****

 

IP pojasnjuje, da v vašem opisanem primeru pooblastilo oz. privolitev posameznika najverjetneje ne more šteti kot veljavna podlaga za pridobivanje osebnih podatkov od ZPIZ-a, saj takšna privolitev najverjetneje ne bi izpolnjevala strogih pogojev, ki jih v zvezi s privolitvijo določa 7. člen Splošne uredbe, zlasti ne pogoja, da mora biti privolitev dana prostovoljno. Navedeno pomeni, da bi v primeru, ko bi od udeležencev projekta zahtevali posredovanje obrazca M1 ali podpis pooblastila za pridobitev tega obrazca od ZPIZ, takšna zahteva bila najverjetneje neskladna z določbami Splošne uredbe. Takšna zahteva bi bila lahko izjemoma skladna z določbami Splošne uredbe le v primeru, če bi tako določal zakon ali pa če bi takšna dolžnost izhajala iz pogodbe, ki jo je z izvajalcem projekta sklenil posameznik, pri čemer pa se v tem primeru kot pravna podlaga za takšno zbiranje ne bi štela osebna privolitev, pač pa točka (b) prvega odstavka 6. člena Splošne uredbe.  

 

****

 

Kar zadeva vaše vprašanje o tem, ali je MDDSZ kot nadzorni organ javnega razpisa pristojen za pridobitev potrdil iz evidenc ZPIZ-a, vam pojasnjujemo, da bi navedeno ministrstvo osebne podatke od ZPIZ-a praviloma lahko pridobilo v primeru, če bi bilo za takšno pridobivanje osebnih podatkov pooblaščeno z zakonom.

 

ZPIZ podatke prijav v obvezno pokojninsko zavarovanje in odjave iz obrazca M1 po vedenju IP vodi v matični evidenci zavarovancev in uživalcev pravic iz obveznega pokojninskega in invalidskega zavarovanja (v nadaljevanju matična evidenca). Pravila vodenja navedene evidence in s tem povezano obdelavo osebnih podatkov ureja Zakon o matični evidenci zavarovancev in uživalcev pravic iz obveznega pokojninskega in invalidskega zavarovanja (Uradni list RS, št. 111/13 in 97/14, v nadaljevanju ZMEPIZ-1). Navedeni zakon v 3. členu določa namene obdelave osebnih podatkov v matični evidenci ter subjekte, ki lahko pridobivajo in uporabljajo podatke, ki jih vsebuje matična evidenca. Drugi odstavek 3. člena ZMEPIZ-1 v zvezi s pridobivanjem osebnih podatkov iz matične evidence določa: »Statistični urad Republike Slovenije (v nadaljnjem besedilu: SURS), Zavod za zdravstveno zavarovanje Slovenije (v nadaljnjem besedilu: ZZZS), Davčna uprava Republike Slovenije (v nadaljnjem besedilu: DURS), Zavod Republike Slovenije za zaposlovanje (v nadaljnjem besedilu: ZRSZ), Ministrstvo za delo, družino, socialne zadeve in enake možnosti (v nadaljnjem besedilu: MDDSZ) in Centri za socialno delo (v nadaljnjem besedilu: CSD) so upravičeni do pridobitve vsebine podatkov, ki jih vsebuje matična evidenca. Podatke lahko uporabljajo za izvajanje njihovih zakonskih pooblastil, oblikovanje registrov in izvajanje statističnih raziskovanj.« 

 

MDDSZ je torej na podlagi zgoraj citirane določbe drugega odstavka 3. člena ZMEPIZ-1 v primeru, ko podatke potrebuje za izvajanje svojih zakonskih pooblastil, upravičeno pridobivati podatke iz matične evidence ZPIZ-a.

 

Poleg zgoraj navedene zakonske podlage bi v predstavljenem primeru kot pravna podlaga za pridobivanje osebnih podatkov s strani MDDSZ lahko prišla v poštev tudi točka e) prvega odstavka 6. člena Splošne uredbe, ki jo dopolnjuje tretji odstavek istega člena, kateri za obdelavo iz točk (c) in (e) prvega odstavka napotuje na določitev podlage v pravu EU ali pravu države članice, ki velja za upravljavca. Tudi ZVOP-1 v četrtem odstavku 9. člena, ki ureja pravne podlage v javnem sektorju (kamor se skladno z 22. točko 6. člena ZVOP-1 uvršča tudi MDDSZ) določa, da se lahko v javnemu sektorju izjemoma obdelujejo tisti osebni podatki, ki so nujni za izvrševanje zakonitih pristojnosti, nalog ali obveznosti javnega sektorja, če se s to obdelavo ne poseže v upravičen interes posameznika, na katerega se osebni podatki nanašajo.

 

MDDSZ bi na podlagi točke (e) prvega odstavka 6. člena Splošne uredbe osebne podatke udeležencev projekta od ZPIZ-a lahko pridobilo v primeru, če bi uspelo izkazati, da je pridobivanje določenih osebnih podatkov nujno potrebno za opravljanje nalog v javnem interesu ali izvajanju javne oblasti in teh nalog ni mogoče opraviti brez pridobivanja oz. obdelave osebnih podatkov.

 

IP v zvezi z zgoraj navedenimi pravnimi podlagami še dodaja, da lahko MDDSZ (kar velja tudi za vse ostale upravljavce ali uporabnike) ob upoštevanju načela najmanjšega obsega podatkov iz (c) točke prvega odstavka 5. člena Splošne uredbe pridobi le tiste osebne podatke, ki so ustrezni in relevantni za namene, za katere se pridobivajo.

 

 

Pripravil:

Jože Bogataj,

namestnik informacijske pooblaščenke

 

 

Mojca Prelesnik, univ. dipl. prav.,

informacijska pooblaščenka