Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Iskalnik po mnenjih GDPR

+ -
Datum: 30.12.2019
Naslov: Dopustnost posredovanja podatkov v zvezi s financiranjem FIHO
Številka: 0712-1/2019/2914
Vsebina: Društva, Posredovanje OP med upravljavci, Pravne podlage, Uradni postopki
Pravni akt: Mnenje

Informacijski pooblaščenec (v nadaljevanju IP) je prejel vaše elektronsko sporočilo, v katerem sprašujete, ali lahko Fundacija za financiranje invalidskih in humanitarnih organizacij v RS (v nadaljevanju FIHO) kot sofinancer projektov, ki jih kot društvo izvajate, dostopa do osebnih podatkov o zaposlenih v okviru rednega nadzora o namenski porabi sredstev. Prav tako prosite za mnenje o tem, ali je primerno, da osebne podatke o zaposlenih zaščitite tako, da iz dokumentov izbrišete vse podatke razen imena, ali je s stališča varovanja osebnih podatkov primerno, če v dokumentih pustite razvidno ime in priimek, ali pa je primernejša kakšna druga rešitev. V okviru rednega nadzora o namenski porabi sredstev so vas namreč pozvali, da jim pošljete različne dokumente, ki vsebujejo osebne podatke, med drugim pogodbe o zaposlitvi za vse delavce v društvu in evidence opravljenega dela po urah za posamezne programe (po mesecih in zaposlenih). Menite, da bi lahko sofinancer namensko porabo sredstev preveril tudi tako, da bi pregledal pogodbe o zaposlitvi in evidence opravljenega dela, ki ne vsebujejo osebnih podatkov.

 

Uvodoma poudarjamo, da Informacijski pooblaščenec ne more namesto upravljavcev (v konkretnem primeru vašega društva) sprejemati odločitev, o ustreznosti in dopustnosti konkretnih obdelav osebnih podatkov, v vašem primeru o obsegu pogodbenih obveznosti v zvezi s porabo javnih sredstev in o tem, katere osebne podatke ste kot društvo v zvezi s financiranimi projekti dolžni posredovati. O tem lahko IP presoja zgolj v delu, ki se nanaša na vprašanja varstva podatkov (torej ne o drugih vidikih vaših obveznosti glede obsega poročanja v zvezi s financiranjem) in to le v okviru inšpekcijskega postopka, pri čemer je pomemben tako obseg financiranja, kot tudi obveznosti, ki za društvo izhajajo iz razpisa oz. pogodbe o dodelitvi sredstev ter morebitnih drugih predpisov, ki urejajo nadzor za konkretni projekt.

 

Zato vam na podlagi informacij, ki ste nam jih posredovali, v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba o varstvu podatkov oz. Uredba), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo nekaj splošnih pojasnil v zvezi z vašimi vprašanji, končna presoja pa je naloga in odgovornost društva, pri čemer od financerja, ki podatke zahteva od vas v primeru dvoma vedno lahko (celo morate) zahtevate dodatna pojasnila o pravni podlagi za njihove zahteve in obrazložitev posameznih zahtev za podatke.

 

IP pojasnjuje, da je za zakonito obdelavo osebnih podatkov treba imeti ustrezno pravno podlago. Splošna uredba o varstvu podatkov pravne podlage ureja v prvem odstavku 6. člena, kjer določa, da je obdelava zakonita le in kolikor je izpolnjen vsaj eden od naslednjih pogojev:

(a) posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov;

(b) obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe;

(c) obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca;

(d) obdelava je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe;

(e) obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu;

(f) obdelava je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok.

Ob tem je treba upoštevati, da se zadnja točka (f) ne more uporabljati za obdelavo s strani javnih organov pri opravljanju njihovih nalog.

 

Možni pravni podlagi sta v opisanem primeru najverjetneje točka e člena 6(1) Splošne uredbe (lahko v povezavi s še veljavnim 4. odstavkom člena 9 ZVOP-1 ali drugimi področnimi predpisi v zvezi z nadzorom nad porabo sredstev, ki veljajo za konkretno podeljevanje sredstev) in za društvo točka f člena 6(1) Splošne uredbe v zvezi z obveznostmi, ki izhajajo iz pogodbe oz. druge podlage za dodelitev sredstev. Pravna podlaga zakonitih interesov po 4. odstavku 9. člena ZVOP-1 (Splošna uredba v drugem odstavku, določa, da države članice lahko ohranijo ali uvedejo podrobnejše določbe, da bi prilagodile uporabo pravil te uredbe v zvezi z obdelavo osebnih podatkov za zagotovitev skladnosti s točkama (c) in (e) prvega odstavka 6. člena Splošne Uredbe) določa, da se lahko v javnemu sektorju izjemoma obdelujejo tisti osebni podatki, ki so nujni za izvrševanje zakonitih pristojnosti, nalog ali obveznosti javnega sektorja, če se s to obdelavo ne poseže v upravičen interes posameznika, na katerega se osebni podatki nanašajo. O slednjem je treba presojati v kontekstu obveznosti društva v zvezi s poročanjem in nadzorom nad porabo sredstev, ki izhajajo iz razpisanega projekta.

 

V zvezi s tem ugotavljamo, da npr. Pravilnik o merilih in pogojih za uporabo sredstev fundacije za financiranje invalidskih in humanitarnih organizacij v Republiki Sloveniji (Uradni list RS, št. 92/98, 45/05, 23/08 in 9/09) v členu 26 določa, da so pri opravljanju nadzora, ki ga izvaja ali naroči FIHO, organizacije dolžne nadzornim organom omogočiti vpogled v celotno dokumentacijo o izvajanju programov in storitev ter razpolaganju s sredstvi, ki jih je organizacijam dodelila ta fundacija, ter dati vse potrebne podatke in pojasnila v zvezi z uporabo teh sredstev. Vsekakor pa je treba ob tem upoštevati načelo najmanjšega obsega osebnih podatkov, kar pomeni, da morajo biti podatki ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo – torej za izvajanje nadzora. Navedeno kaže, da gre tudi v primeru, ki ga opisujete verjetno za tak nadzor. Vsekakor pa v primeru dvoma lahko (celo morate) od subjektov, ki od vašega društva zahtevajo podatke, vedno zahtevate, da svojo zahtevo utemeljijo in navedejo pravno podlago za posredovanje konkretnih podatkov.

 

IP pa ni pristojen presojati ustreznosti siceršnjega izvajanja nadzora s strani FIHO.

 

Lepo vas pozdravljamo,

 

 

Pripravila:

Alenka Jerše, univ. dipl. prav.

namestnica informacijske pooblaščenke

 

 

Mojca Prelesnik, univ. dipl. prav.,

informacijska pooblaščenka