Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Iskalnik po mnenjih GDPR

+ -
Datum: 06.11.2019
Naslov: Obdelava OP v okviru javnega razpisa
Številka: 0712-1/2019/2520
Vsebina: Pravne podlage, Pridobivanje OP iz zbirk, Uradni postopki
Pravni akt: Mnenje

Informacijski pooblaščenec (v nadaljevanju IP) je prejel vaše zaprosilo za mnenje v zvezi z obdelavo osebnih podatkov pri pripravi javnega razpisa. Navajate, da:

  • v prijavi na javni razpis in v rednih poročilih od izvajalcev zahtevate podatke o konkretnih posameznikih z imenom in priimkom, ki delajo v programih, ki jih sofinancirate. Sredstva namreč namenjate v točno določeni višini, za točno določeno število ur in za konkretno delovno mesto. Pri prijavi na javni razpis morajo izvajalci predložiti tudi druga dokazila o izpolnjevanju pogojev za konkretno osebo, ki jo financirate (strokovni izpit, izobrazba, ipd.);
  • prijave na javni razpis in poročila se pošiljajo tako po navadni pošti kot po elektronski pošti;
  • v dokumentacijo imajo vpogled samo skrbnice pogodb na ministrstvu. V primeru, da je program vključen v evalvacijo pri inštitutu, pa izvajalci končna poročila o izvajanju programa posredujejo tudi slednjemu.

 

Zanima vas, če se lahko sklicujete na člen 6(1)(e) Splošne uredbe oziroma če IP predlaga kaj drugega.

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov, v nadaljevanju Splošna uredba), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašimi vprašanji.

 

Uvodoma pojasnjujemo, da lahko IP posamezne primere obdelave podatkov konkretno presoja le v okviru inšpekcijskega ali upravnega postopka. IP namreč ne sme in ne more prevzeti odgovornosti posameznih subjektov za njihovo poslovanje, podobno kot to velja za druge inšpekcijske organe. Iz tega razloga v nadaljevanju podajamo zgolj splošna pojasnila ter izpostavljamo relevantno pravno podlago ter pogoje, ki morajo biti izpolnjeni, da je določeno posredovanje podatkov zakonito. Konkretno presojo pa mora opraviti izključno upravljavec osebnih podatkov.

 

Za vsako obdelavo osebnih podatkov je treba imeti zakonito in ustrezno pravno podlago. Te so določene v členu 6(1) Splošne uredbe in so za javni sektor, kamor spadajo ministrstva, naslednje:

- zakon (točka (c)),

- privolitev, kadar ne gre za izvajanje javnih nalog (točka (a)),

- sklenitev ali izvajanje pogodbe (točka (b)),

- izvajanje javne naloge (točka (e)).

 

IP je za enostavnejši in razumljivejši prikaz dopustnih pravnih podlag obdelave osebnih podatkov v javnem sektorju izdelal infografiko, ki je dostopna na naslednji povezavi: https://www.ip-rs.si/fileadmin/user_upload/Pdf/infografike/pravne_podlage_javni_sektor.pdf.

 

Po mnenju IP lahko javne institucije na podlagi člena 6(1)(e) Splošne uredbe načeloma pridobivajo od izvajalcev osebne podatke določenega posameznika za namen podelitve sredstev na javnem razpisu, če so ti podatki potrebni za izvedbo konkretnega javnega razpisa ali nadzor nad porabo javnih sredstev ter zgolj v obsegu, ki je nujen za izvrševanje zakonitih nalog oziroma za dokazovanje upravičenosti do javnih sredstev. Člen 5(1)(c) Splošne uredbe namreč določa, da morajo biti osebni podatki ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo (načelo najmanjšega obsega podatkov).

 

Smiselno enako velja za posredovanje končnih poročil inštitutu. Če so določeni osebni podatki posameznika, ki so vsebovani v teh poročilih, potrebni za evalvacijo konkretnega programa, je posredovanje takšnih osebnih podatkov s strani izvajalcev inštitutu lahko utemeljeno na podlagi člena 6(1)(e) Splošne uredbe, sicer ne.

 

Izbira ustrezne pravne podlage za obdelavo osebnih podatkov, upoštevajoč konkretne okoliščine in namen obdelave, je obveznost upravljavca. V vsakem konkretnem primeru je torej treba preverjati, ali posamezni organ javnega sektorja podatke, ki jih zahteva, resnično potrebuje za zgoraj naveden namen.

 

IP nadalje pojasnjuje, da ni pristojen presojati, kakšen je ustrezen način pošiljanja prijav na javni razpis in poročil. Izpostavlja pa, da ste kot upravljavec dolžni zagotavljati varnost osebnih podatkov. Področje varnosti osebnih podatkov urejata Splošna uredba v členu 32 ter ZVOP-1 v še veljavnih členih 14, 24 in 25. Splošna uredba sledi standardom na področju informacijske varnosti, kjer velja glavno načelo, da je treba varnostne ukrepe prilagoditi glede na tveganja. Člen 32 Splošne uredbe tako predpisuje, da se pri določanju ustrezne ravni varnosti upoštevajo zlasti tveganja, ki jih pomeni obdelava, zlasti zaradi nenamernega ali nezakonitega uničenja, izgube, spremembe, nepooblaščenega razkritja ali dostopa do osebnih podatkov, ki so poslani, shranjeni ali kako drugače obdelani. Odločitev, kakšno stopnjo varnosti potrebuje določena organizacija, je zato v rokah upravljavca, pri čemer naj upošteva stopnjo tehnološkega razvoja in stroškov izvajanja ter narave, obsega, okoliščin in namenov obdelave, pa tudi tveganj za pravice in svoboščine posameznikov, ki se razlikujejo po verjetnosti in resnosti. ZVOP-1 uporablja izraz »zavarovanje« in v 24. členu določa cilje, ki jim morajo postopki in ukrepi za zavarovanje osebnih podatkov zadostiti. Organizacijski, tehnični in logično-tehnični postopki in ukrepi za zavarovanje osebnih podatkov morajo v prvi vrsti preprečiti nepooblaščeno obdelavo osebnih podatkov, poleg tega pa morajo preprečiti tudi slučajno ali namerno nepooblaščeno uničevanje podatkov ter njihovo spremembo ali izgubo. V 25. členu pa ZVOP-1 določa, da upravljavci v internem aktu o zavarovanju oziroma varnosti predpišejo ustrezne postopke in ukrepe ter določijo osebe, ki so odgovorne za določene zbirke osebnih podatkov, in osebe, ki zaradi narave njihovega dela lahko obdelujejo določene osebne podatke (t.j. dostopne pravice).

 

Več o varnosti osebnih podatkov si lahko preberete na spletnih straneh https://upravljavec.si/zagotovite-varnost/ in https://www.ip-rs.si/varstvo-osebnih-podatkov/obveznosti-upravljavcev/zavarovanje-oz-varnost-osebnih-podatkov/ ter v smernicah IP o zavarovanju osebnih podatkov, ki so dostopne na povezavi: https://www.ip-rs.si/fileadmin/user_upload/Pdf/smernice/Smernice_o_zavarovanju_OP.pdf.

 

 

Lep pozdrav,

 

 

Mojca Prelesnik, univ. dipl. prav.,                                                

informacijska pooblaščenka

 

 

Pripravila:                                                                                                                              

Tina Ivanc, univ. dipl. prav.,
svetovalka IP za varstvo osebnih podatkov