Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Iskalnik po mnenjih GDPR

+ -
Datum: 19.03.2020
Naslov: Pridobivanje osebnih podatkov s strani inšpektorja po 29. členu ZIN
Številka: 07120-1/2020/206
Vsebina: Pravne podlage, Pridobivanje OP iz zbirk, Uradni postopki
Pravni akt: Mnenje

Informacijskemu pooblaščencu (v nadaljevanju IP) ste dne 12. 3. 2020 poslali zaprosilo za mnenje, v katerem navajate, da ste v zadnjem času s strani inšpektorata prejeli več zahtev za predložitev dokumentacije, ki po vsebini predstavlja večje število osebnih podatkov o naročnikih oz. uporabnikih vaših storitev. Inšpektorat v zahtevah za posredovanje podatkov sicer navaja pravno podlago (npr. drugi odstavek 29. člena Zakona o inšpekcijskem nadzoru), to pa je tudi vse. Vam kot zavezancu za posredovanje osebnih podatkov tako ni poznan namen, za katerega je obdelava osebnih podatkov potrebna, čeprav gre za posredovanje ogromne količine osebnih podatkov vaših naročnikov. Prav tako ni razvidno, v okviru katerega inšpekcijskega nadzora so predmetni podatki zahtevani, kaj je predmet inšpekcijskega pregleda, kdo je zavezanec itd. Nadalje gre opozoriti, da ni jasno, na kak način bi zahtevani osebni podatki po vrsti in obsegu sploh služili izvedbi inšpekcijskega nadzora.

 

Z namenom varovanja osebnih podatkov uporabnikov vaših storitev in iz razloga neseznanjenosti o naravi in vsebini zadevnih postopkov inšpekcijskega nadzora, v okviru katerih inšpektorat zahteva posredovanje osebnih podatkov, IP prosite za mnenje, ali ste na podlagi predstavljenih zahtevkov zavezani k posredovanju zahtevanih osebnih podatkov.

 

Nadalje prosite za mnenje, ali lahko kot zavezanec inšpektorat pozovete, da v okviru svoje zahteve jasno navede namen pridobitve osebnih podatkov na način, da ne bo dvoma, da so zahtevani osebni podatki po vrsti in količini nujno potrebni za vodenje konkretnega inšpekcijskega nadzora in posledično za odločitev ob pravici, obveznosti ali pravni koristi, o kateri se lahko odloči v upravnem postopku.

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov; v nadaljevanju: Splošna uredba), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašimi zgoraj navedenimi vprašanji.

 

****

 

IP uvodoma poudarja, da izven postopka inšpekcijskega nadzora oziroma drugega upravnega postopka ne more presojati konkretnih obdelav osebnih podatkov. V mnenju lahko zato poda zgolj splošna pojasnila, ne more pa presojati ustreznosti konkretnega ravnanja posameznih upravljavcev in uporabnikov osebnih podatkov ter ne sme in ne more prevzeti odgovornosti posameznih subjektov za njihovo poslovanje, podobno kot to velja za druge inšpekcijske organe.

 

Glede na to, da se vaše zaprosilo nanaša na zbiranje osebnih podatkov za namene inšpekcijskega postopka, je treba opozoriti še na Sklep Ustavnega sodišča RS št. U-I-92/12-13, z dne 10. 10. 2013 (http://odlocitve.us-rs.si/documents/8b/89/u-i-92-122.pdf), po katerem IP inšpekcijskega nadzora nad izvajanjem ZVOP-1 ne sme izvajati tako, da pri izvrševanju svojih zakonsko določenih pooblastil poseže v posamične pravne postopke, ki jih vodijo za to pristojni državni organi ter ne sme preverjati, ali se v konkretnih pravnih postopkih ustavnoskladno in zakonito spoštuje varstvo osebnih podatkov. Kot je v citiranem sklepu ugotovilo Ustavno sodišče, bi bila zakonska podlaga, ki bi to omogočala, v nasprotju z načelom samostojnosti pristojnega državnega organa pri odločanju (drugi odstavek 120. člena Ustave za upravne organe, 125. člen Ustave za sodišča) ter v nasprotju z rednim sistemom pravnih sredstev oz. vzpostavljeno hierarhično strukturiranostjo državne oblasti (načelo večstopenjskega odločanja) in s tem v nasprotju z načeli pravne države (2. člen Ustave). Ta načela zahtevajo, da o pravicah in obveznostih fizičnih in pravnih oseb odločajo pristojni organi v postopkih, ki so vnaprej zakonsko določeni, pri čemer se njihove odločitve lahko preverjajo le v vnaprej določenih postopkih s pravnimi sredstvi pred pristojnimi organi.

 

****

 

Pravne podlage za zakonito obdelavo osebnih podatkov so določene v prvem odstavku 6. člena Splošne uredbe, ki določa, da je obdelava zakonita le in kolikor je izpolnjen vsaj eden od naslednjih pogojev:

(a)    posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov;
(b)    obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe;
(c)    obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca;
(d)    obdelava je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe;
(e)    obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu;
(f)    obdelava je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok.
 

Točka (f) se ne uporablja za obdelavo s strani javnih organov pri opravljanju njihovih nalog.

 

V primerih, ko se osebni podatki obdelujejo za namene vodenja upravnih postopkov, kamor sodijo tudi inšpekcijski in prekrškovni postopki, se kot pravna podlaga za obdelavo osebnih podatkov šteje (e) točka prvega odstavka 6. člena Splošne uredbe, saj gre za obdelavo, ki je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu. Po drugem odstavku 6. člena Splošne uredbe lahko države članice ohranijo ali uvedejo podrobnejše določbe, da bi prilagodile uporabo pravil te uredbe v zvezi z obdelavo osebnih podatkov za zagotovitev skladnosti s točkama (c) in (e) prvega odstavka tega člena tako, da podrobneje opredelijo posebne zahteve v zvezi z obdelavo ter druge ukrepe za zagotovitev zakonite in poštene obdelave.

 

Obdelava osebnih podatkov v inšpekcijskem postopku se z vidika zgoraj citiranih določb (e) točke prvega odstavka in drugega odstavka 6. člena Splošne uredbe šteje za zakonito, če se izvaja skladno s pravili, ki jih določajo materialni in postopkovni predpisi, ki določajo načela inšpekcijskega nadzora ter pravice, dolžnosti, pooblastila in postopek inšpektorjev. Kot temeljni predpis, ki določa načela inšpekcijskega nadzora ter pravice, dolžnosti, pooblastila in postopek inšpektorjev, se šteje Zakon o inšpekcijskem nadzoru (Uradni list RS, št. 43/07-UPB1 in 40/14, v nadaljevanju ZIN-1), poleg tega po so pooblastila in pristojnosti posameznih inšpektoratov in inšpektorjev lahko dodatno določena tudi v zakonih, ki podrobneje določajo pooblastila posameznih inšpektoratov oz. inšpektorjev (npr. Zakon o inšpekciji dela, Zakon o zdravstveni inšpekciji) ter v zakonih, ki urejajo posamezna področja (npr. Zakon o elektronskih komunikacijah, Zakon o varstvu potrošnikov, ipd.). Glede postopkovnih vprašanj, ki niso urejena z ZIN-1 ali s posebnim zakonom, se skladno z drugim odstavkom 3. člena ZIN-1 uporablja Zakon o splošnem upravnem postopku (Uradni list RS, št. 24/06- UPB2, s sperm; v nadaljevanju ZUP).

 

ZIN v 4. členu določa, da so inšpektorji pri opravljanju nalog inšpekcijskega nadzora v okviru svojih pooblastil samostojni, kar pomeni, da mora inšpektor sam presoditi oziroma odločiti, kateri osebni in drugi podatki so potrebni za izvedbo inšpekcijskega postopka in ugotovitev dejanskega stanja ter katere listine in drugo dokumentacijo je za te namene treba pridobiti, reproducirati in hraniti v inšpekcijskem spisu. Pri tem mora inšpektor upoštevati načelo sorazmernosti iz 7. člena ZIN (inšpektorji morajo opravljati svoje naloge tako, da pri izvrševanju svojih pooblastil posegajo v delovanje pravnih in fizičnih oseb le v obsegu, ki je nujen za zagotovitev učinkovitega inšpekcijskega nadzora) ter načelo najmanjšega obsega podatkov iz točke (c) prvega odstavka 5. člena Splošne uredbe (osebni podatki morajo biti ustrezni, relevantni in omejeni na to, kar je potrebno za name, za katere se obdelujejo). V praksi se obe načeli odražata na način, da inšpektor v postopku pridobi in reproducira le tisto dokumentacijo, ki je potrebna za izvedbo inšpekcijskega nadzora in ugotovitev dejstev, kar velja tudi glede vrste in obsega osebnih podatkov, ki jih inšpektor pridobi in uporabi za namene vodenja inšpekcijskega postopka.

 

Z namenom, da ne bi prišlo do zlorabe osebnih podatkov ter poslovne ali druge tajnosti, ZIN v 16. členu inšpektorja zavezuje k varovanju tajnosti, s katero se seznani pri opravljanju inšpekcijskega nadzora, poleg tega pa ga k varovanju osebnih podatkov zavezuje tudi četrti odstavek 24. člena ZVOP-1, ki določa, da so funkcionarji, zaposleni in drugi posamezniki, ki opravljajo dela in naloge pri osebah, ki obdelujejo osebne podatke, dolžni varovati tajnost osebnih podatkov, s katerimi se seznanijo pri opravljanju njihovih funkcij, del in nalog, in sicer tudi še po prenehanju funkcije, zaposlitve ali opravljanja takšnih del in nalog.

 

Iz zgoraj citiranih določb izhaja, da lahko inšpektor v postopku inšpekcijskega nadzora obdeluje vse tiste osebne podatke, ki so potrebni in primerni za izvedbo postopka inšpekcijskega nadzora.

 

****

 

Kot je razvidno iz vašega zaprosila, se inšpektorat v svoji zahtevi za posredovanje osebnih podatkov sklicuje na določbo drugega odstavka 29. člena ZIN. Ta določa, da zavezanec oziroma odgovorna oseba zavezanca mora dati, ne glede na določbe o varstvu osebnih in drugih podatkov, na zahtevo inšpektorja in v roku, ki ga določi inšpektor, pisno pojasnilo, dokumentacijo in izjavo v zvezi s predmetom nadzora. V 38. členu ZIN je prepisana tudi sankcija za zavezanca, ki na zahtevo inšpektorja in v roku, ki ga določi inšpektor, ne da pisnega pojasnila, dokumentacije in izjave v zvezi s predmetom nadzora.

 

Določba drugega odstavka 29. člena ZIN se z vidika določb prvega odstavka 6. člena Splošne uredbe in prvega odstavka 8. člena ZVOP-1 šteje kot zadostna zakonska podlaga, ki po eni strani inšpektorja pooblašča, da od zavezanca pridobi osebe podatke, ki so potrebni za izvedbo inšpekcijskega nadzora, po drugi strani pa daje zavezancu zadostno pravno podlago, da inšpektorju zahtevane podatke posreduje. Izjema so lahko le tisti osebni podatki, za katere poseben zakon določa, da se lahko pod določenimi pogoji posredujejo le določenim uporabnikom, ko to velja npr. za podatke, ki se nanašajo na tajnost pisem in drugih občil ter prometne in lokacijske, ki jih hranijo operaterji javnih komunikacijskih omrežij in jih varuje 37. člen Ustave RS ter Zakon o elektronskih komunikacijah.

 

Gede na to, da se inšpektorat v svoji zahtevi sklicuje na drugi odstavek 29. ZIN, gre sklepati, da se inšpekcijski postopek vodi zoper osebo (zavezanca), od katere se zahtevajo podatki, saj če bi se inšpekcijski postopek vodil zoper drugega zavezanca, bi se moral inšpektorat v svoji zahtevi sklicevati na drugi odstavek 19. člena ZIN, ki k posredovanju podatkov zavezuje pravne in fizične osebe, zoper katere se ne vodi inšpekcijski postopek. ZVOP-1, Splošna uredba in 29. člen ZIN ne vsebujejo posebnih določb o tem, katere podatke in informacije mora vsebovati zahteva, s katero inšpektor od zavezanca zahteva osebne in druge osebne podatke v zvezi s predmetom nadzora. Je pa v tretjem odstavku 22. člena ZVOP-1 določeno, da mora upravljavec osebnih podatkov za vsako posredovanje osebnih podatkov zagotoviti, da je mogoče pozneje ugotoviti, kateri osebni podatki so bili posredovani, komu, kdaj in na kakšni podlagi, in sicer za obdobje, ko je mogoče zakonsko varstvo pravice posameznika zaradi nedopustnega posredovanja osebnih podatkov. Iz citirane določbe ZVOP-1 tako izhaja, da mora biti iz zahteve za posredovanje osebnih podatkov poleg podatkov o vlagatelju takšne zahteve, navedena vsaj še pravna podlaga, ki vlagatelja pooblašča pridobivati zahtevane osebne podatke. Predmetna zahteva inšpektorata za posredovanje osebnih podatkov tako z vidika predpisov s področja varstva osebnih podatkov po mnenju IP vsebuje vse nujne sestavine, ki jih mora vsebovati takšna zahteva, saj je iz nje dovolj jasno razvidno tako, kdo zahteva osebne podatke, kot tudi pravna podlaga, ki vlagatelja pooblašča pridobivati zahtevane osebne podatke. Iz navedene pravne podlage (drugi odstavek 29. člena ZIN) je razviden tudi namen pridobivanja in nadaljnje obdelave osebnih podatkov, to je vodenje inšpekcijskega nadzora, sam predmet inšpekcijskega nadzora pa iz zahteve, ki ste nam jo priložili na vpogled, ni razviden.

 

IP je uvodoma že opozoril na načelo najmanjšega obsega podatkov iz točke (c) prvega odstavka 5. člena Splošne uredbe, vendar pa navedeno načelo v primeru zbiranja osebnih podatkov za namene vodenja inšpekcijskega postopka zavezuje zlasti uradno osebo, ki vodi inšpekcijski postopek. Če kot upravljavec osebnih podatkov in inšpekcijski zavezanec na podlagi prejete zahteve inšpektorata niste prepričani o spoštovanju načela najmanjšega obsega podatkov, ki so potrebni za izvedbo konkretnega inšpekcijskega postopka, ste po mnenju IP od inšpektorata sicer upravičeni zahtevati dodatna pojasnila o predmetu inšpekcijskega nadzora in namenu uporabe zahtevanih osebnih podatkov, vendar pa je potrebno upoštevati, da kot inšpekcijski zavezanec niste pristojni presojati, kateri osebni in drugi podatki so potrebni za izvedbo inšpekcijskega postopka, saj o tem odloča uradna oseba, ki vodi inšpekcijski postopek in je odgovorna tudi za zakonito obdelavo pridobljenih osebnih podatkov. Kot inšpekcijski zavezanec lahko torej svoje pravice v postopku varujete in uveljavljate le v skladu z zakoni, ki urejajo inšpekcijski postopek, npr. s pravico do pregledovanja dokumentov v spisu zadeve in zahtevanju obvestil o poteku postopka po 82. členu ZUP ter z uporabo ugovorov ter rednih in izrednih pravnih sredstev, kot le te določa ZIN in ZUP.

 

 

V upanju, da vam bo naš odgovor v pomoč, vas lepo pozdravljamo.

 

 

Pripravil:

Jože Bogataj,                                                                             Mojca Prelesnik, univ. dipl. prav.,

namestnik informacijske pooblaščenke                                     informacijska pooblaščenka