Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Iskalnik po mnenjih GDPR

+ -
Datum: 11.12.2019
Naslov: Posredovanje OP
Številka: 0712-1/2019/2861
Vsebina: Posredovanje OP med upravljavci, Pravne podlage, Uradni postopki
Pravni akt: Mnenje

Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaše zaprosilo za mnenje glede posredovanja osebnih podatkov.

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba o varstvu podatkov), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju: ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju: ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.

 

IP uvodoma poudarja, da konkretnega in dokončnega odgovora o zakonitosti obdelave osebnih podatkov v okviru mnenja v nobenem primeru ne more podati, saj lahko posamezne primere obdelave podatkov konkretno presoja zgolj v okviru inšpekcijskega ali drugega upravnega postopka, zato v nadaljevanju podaja splošna pojasnila.

 

IP nadalje pojasnjuje, da je za zakonito obdelavo osebnih podatkov treba imeti ustrezno pravno podlago. Splošna uredba o varstvu podatkov pravne podlage ureja v prvem odstavku 6. člena, kjer določa, da je obdelava zakonita le in kolikor je izpolnjen vsaj eden od naslednjih pogojev:

(a) posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov;

(b) obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe;

(c) obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca;

(d) obdelava je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe;

(e) obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu;

(f) obdelava je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok.«.

Ob tem je treba upoštevati, da se zadnja točka (f) ne more uporabljati za obdelavo s strani javnih organov pri opravljanju njihovih nalog.

Zakon o zasebnem varovanju (ZZasV-1; Uradni list RS, št. 17/11) ureja pravice in obveznosti gospodarskih družb, samostojnih podjetnikov posameznikov, državnih organov, zavodov, javnih agencij ter drugih pravnih in fizičnih oseb na področju varovanja, ki ga ne zagotavlja država (v nadaljnjem besedilu zasebno varovanje). V skladu z 45. členom ZZasV-1 sme varnostnik pri opravljanju nalog zasebnega varovanja, če so ogroženi življenje, osebna varnost, premoženje, če je kršen red ali javni red na varovanem območju, uporabiti naslednje ukrepe:

1.      opozorilo;

2.      ustna odredba;

3.      ugotavljanje istovetnosti;

4.      površinski pregled;

5.      preprečitev vstopa oziroma izstopa z varovanega območja;

6.      zadržanje osebe;

7.      uporaba fizične sile;

8.      uporaba sredstev za vklepanje in vezanje.

 

Imetnik licence (v skladu s 3. točko 5. člena ZZasV-1 je to gospodarska družba ali samostojni podjetnik posameznik, registriran v skladu z zakonom, ki ureja gospodarske družbe, in na trgu opravlja zasebno varovanje in ima licenco v skladu s tem zakonom) vodi določene evidence, ki so naštete v petem odstavku 76. člena ZZasV-1, in sicer gre za:

- evidenco varnostnega osebja;

- evidenco pogodb o opravljanju storitev zasebnega varovanja;

- evidenco pritožb ter

- evidenco uporabe ukrepov varnostnika, plinskega razpršilca, službenega psa in strelnega orožja.

 

Vsebina teh evidenc je določena v 82. členu ZZasV-1. Upravljavci teh evidenc so dolžni posredovati podatke iz evidenc zgolj upravičencem do vpogleda v evidence, ki so določeni v 85. členu ZZasV-1. Mednje ne spadajo tudi naročniki varnostnih storitev.

 

V skladu s tretjim odstavkom 22. člena ZVOP-1 mora upravljavec za vsako posredovanje osebnih podatkov zagotoviti, da je mogoče pozneje ugotoviti, kateri osebni podatki so bili posredovani, komu, kdaj in na kakšni podlagi, in sicer za obdobje, ko je mogoče zakonsko varstvo pravice posameznika zaradi nedopustnega posredovanja osebnih podatkov.

IP nadalje pojasnjuje, da je upravljavec dolžan zagotoviti tudi varnost obdelave osebnih podatkov. Splošna pravila o zagotavljanju varnosti so določena v 32. členu Splošne uredbe o varstvu podatkov, še vedno pa se uporabljajo tudi določbe 24. in 25. člena ZVOP-1 o zavarovanju osebnih podatkov.

Ob tem IP opozarja na načelo najmanjšega obsega podatkov iz točke (c) prvega odstavka 5. člena Splošne uredbe o varstvu podatkov, ki določa, da morajo biti pod pogojem, da obstaja pravna podlaga, osebni podatki, ki se obdelujejo, ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo. Navedeno načelo pomeni, da je potrebno obdelovati samo toliko osebnih podatkov, kolikor je nujno potrebno za dosego zakonitega namena obdelave. V vsakem posameznem primeru je torej treba izkazati, zakaj je za dosego želenega namena obdelave naročniku treba posredovati želene osebne podatke.

 

Na podlagi navedenega IP tako meni, da bi bilo posredovanje osebnih podatkov naročniku lahko upravičeno le, kadar resnično izkaže zakoniti interes za njihovo posredovanje za zakonit in točno določen namen ter obenem zagotovi sorazmernost obdelave osebnih podatkov (zbira podatke, ki so ustrezni, relevantni in po obsegu primerni za uresničevanje zakonitega in točno določenega namena v njegovem zakonitem interesu). Zgolj pavšalne določbe v pogodbi, ki urejajo vaša medsebojna razmerja z naročnikom, tega kriterija najverjetneje ne dosegajo.

IP sklepno ponovno poudarja, da v okviru izdaje mnenja ne more odločati o tem, ali so v konkretnem primeru podani pogoji za posredovanje osebnih podatkov, temveč lahko zgolj opozori na relevantno pravno podlago ter pogoje, ki morajo biti izpolnjeni, da je določeno posredovanje podatkov zakonito. Konkretno presojo pa lahko oziroma mora opraviti izključno upravljavec osebnih podatkov, v konkretnem primeru torej vaša družba, ki nosi tudi odgovornost za tovrstno opravljeno presojo. IP namreč ne more in ne sme ocenjevati, katere konkretne osebne podatke naročnik potrebuje za opravljanje svojih nalog oziroma izpolnitev zakonitega namena obdelave. IP se torej ne more in ne sme postaviti v vlogo odločevalca (razsojevalca) v posameznih primerih in odločiti o upravičenosti posredovanja podatkov ali celo odrediti/prepovedati določenemu zavezancu posredovanje določenih podatkov.

 

S spoštovanjem.

 

 

Pripravil:

Matej Sironič,                                                  

Svetovalec pooblaščenca

za varstvo osebnih podatkov

 

 

Mojca Prelesnik, univ. dipl. prav.,

Informacijska pooblaščenka