Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Iskalnik po mnenjih GDPR

+ -
Datum: 18.11.2019
Naslov: Zbiranje podatkov po Gradbenem zakonu
Številka: 0712-1/2019/2613
Vsebina: Pravne podlage, Privolitev, Zavarovanje osebnih podatkov
Pravni akt: Mnenje

Informacijski pooblaščenec (v nadaljevanju IP) je prejel vaše zaprosilo za mnenje. Navajate, da v okviru civilne iniciative na podlagi Gradbenega zakona zbirate naslednje podatke o članih: ime in priimek, kraj rojstva, kraj bivanja in datum podpisa, zaradi lažjega kontakta s samimi člani pa ste dodali še kontaktne podatke, in sicer elektronski naslov ali telefonsko številko.

Zanima vas:

- ali našteti podatki štejejo kot izjeme pri uporabi Zakona o varstvu osebnih podatkov (drugi odstavek 7. člena),

- kako in na kakšen način je potrebno skladno z zakonodajo varovati te podatke in

- kdo je odgovoren za varovanje le teh podatkov.

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov, v nadaljevanju Splošna uredba), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašimi vprašanji.

 

IP uvodoma izpostavlja, da se je 25. 5. 2018 začela uporabljati Splošna uredba. Glede na to, da Republika Slovenija še ni sprejela zakona, s katerim bi uredila izvajanje Splošne uredbe in razveljavila določbe obstoječega ZVOP-1, sta do uveljavitve takšnega zakona v uporabi dva predpisa, ki na sistemski ravni urejata področje varstva osebnih podatkov, in sicer Splošna uredba ter ZVOP-1. Splošna uredba se v članicah Evropske unije uporablja neposredno, zato v Republiki Sloveniji po 25. 5. 2018 ostajajo v veljavi le še tiste določbe ZVOP-1, ki jih Splošna uredba ne ureja drugače in niso v nasprotju z določbami te uredbe.

 

Skladno s členom 4(7) Splošne uredbe pomeni upravljavec pomeni fizično ali pravno osebo, javni organ, agencijo ali drugo telo, ki samo ali skupaj z drugimi določa namene in sredstva obdelave; kadar namene in sredstva obdelave določa pravo Unije ali pravo države članice, se lahko upravljavec ali posebna merila za njegovo imenovanje določijo s pravom Unije ali pravom države članice. Glede na navedeno bi lahko imela status upravljavca verjetno tudi civilna iniciativa, kot je opredeljena v 54. členu Gradbenega zakona (Uradni list RS, št. 61/17 in 72/17 – popr., v nadaljevanju GZ).

 

Nadalje IP pojasnjuje, da mora imeti civilna iniciativa ali drug upravljavec za vsako obdelavo osebnih podatkov (npr. za zbiranje, shranjevanje, uporabo, razkritje, izbris ipd.) zakonito in ustrezno pravno podlago. Pravne podlage za obdelavo osebnih podatkov so določene v členu 6(1) Splošne uredbe in so za zasebni sektor naslednje:

-      privolitev (točka (a)),

-      sklenitev ali izvajanje pogodbe (točka (b)),

-      zakon oziroma izvajanje javnih nalog (točka (c) oziroma (e)),

-      zakoniti interesi, ki prevladajo nad interesi posameznika (točka (f)).

 

V zvezi s pravnimi podlagami v zasebnem sektorju si lahko ogledate tudi infografiko, objavljeno na spletni strani IP: https://www.ip-rs.si/fileadmin/user_upload/png/infografike/pravne_podlage_zasebni_sektor_s_pogoji_privolitve.pdf.

 

Za obdelavo določenih osebnih podatkov članov civilne iniciative (tj. osebno ime, naslov stalnega prebivališča, datum rojstva, podpis in datum podpisa) je podana neposredna zakonska podlaga v drugem odstavku 54. člena GZ. Za obdelavo telefonske številke oziroma elektronskega naslova člana civilne iniciative pa bi lahko prišla v poštev zlasti privolitev posameznika po členu 6(1)(a) Splošne uredbe ali pa zakoniti interesi upravljavca po členu 6(1)(f) Splošne uredbe. Izbor pravne podlage mora ustrezati vsem okoliščinam konkretnega primera, odgovornost za izbiro pa nosi upravljavec.

 

Tudi za varovanje osebnih podatkov je primarno odgovoren upravljavec osebnih podatkov, v primeru pogodbene obdelave pa tudi obdelovalec osebnih podatkov (gre za fizično ali pravno osebo, javni organ, agencijo ali drugo telo, ki obdeluje osebne podatke v imenu upravljavca). Glede varnosti osebnih podatkov Splošna uredba v členu 32 določa, da ob upoštevanju najnovejšega tehnološkega razvoja in stroškov izvajanja ter narave, obsega, okoliščin in namenov obdelave, pa tudi tveganj za pravice in svoboščine posameznikov, ki se razlikujejo po verjetnosti in resnosti, upravljavec in obdelovalec z izvajanjem ustreznih tehničnih in organizacijskimi ukrepov zagotovita ustrezno raven varnosti glede na tveganje, vključno med drugim z naslednjimi ukrepi, kot je ustrezno:

(a) psevdonimizacijo in šifriranjem osebnih podatkov;

(b) zmožnostjo zagotoviti stalno zaupnost, celovitost, dostopnost in odpornost sistemov in storitev za obdelavo;

(c) zmožnostjo pravočasno povrniti razpoložljivost in dostop do osebnih podatkov v primeru fizičnega ali tehničnega incidenta;

(d) postopkom rednega testiranja, ocenjevanja in vrednotenja učinkovitosti tehničnih in organizacijskih ukrepov za zagotavljanje varnostni obdelave.

Pri določanju ustrezne ravni varnosti se upoštevajo zlasti tveganja, ki jih pomeni obdelava, zlasti zaradi nenamernega ali nezakonitega uničenja, izgube, spremembe, nepooblaščenega razkritja ali dostopa do osebnih podatkov, ki so poslani, shranjeni ali kako drugače obdelani.

 

ZVOP-1 uporablja izraz »zavarovanje« in določa obveznosti v še veljavnem 24. ter 25. členu. Določeni so cilji, ki jim morajo postopki in ukrepi za zavarovanje osebnih podatkov zadostiti. Več o varnosti osebnih podatkov si lahko preberete na spletnih straneh https://upravljavec.si/zagotovite-varnost/ in https://www.ip-rs.si/varstvo-osebnih-podatkov/obveznosti-upravljavcev/zavarovanje-oz-varnost-osebnih-podatkov/ ter v smernicah IP o zavarovanju osebnih podatkov, ki so dostopne na povezavi: https://www.ip-rs.si/fileadmin/user_upload/Pdf/smernice/Smernice_o_zavarovanju_OP.pdf.

 

IP na koncu še opozarja, da drugi odstavek 7. člena ZVOP-1, na katerega se sklicujete v zaprosilu, ne velja več, saj je nadomeščen z določbama člena 2. (Področje uporabe) in 30. (Evidenca dejavnosti obdelave) Splošne uredbe. Skladno z navedenima določbama se Splošna uredba uporablja za vse osebne podatke članov, ki jih naštevate, ter vzpostavlja načelno dolžnost vodenja evidence dejavnosti obdelav. Več o sami evidenci dejavnosti obdelav ter kaj je glede tega novega po Splošni uredbi pa si lahko preberete na spletni strani IP: https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/kljucna-podrocja-uredbe/evidenca-dejavnosti-obdelave/.

 

Lep pozdrav,

 

 

Mojca Prelesnik, univ. dipl. prav.,                                               

informacijska pooblaščenka

 

 

Pripravila:                                                                                                                              

Tina Ivanc, univ. dipl. prav.,
svetovalka IP za varstvo osebnih podatkov