Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Iskalnik po mnenjih GDPR

+ -
Datum: 11.08.2020
Naslov: Povezovanje podatkov za namene statističnega raziskovanja
Številka: 07120-1/2020/478
Vsebina: Bančništvo, Ocene učinkov v zvezi z varstvom podatkov , Pravne podlage
Pravni akt: Mnenje

Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaše zaprosilo za mnenje glede povezave določenih podatkov za namene statističnega raziskovanja.

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba o varstvu podatkov), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju: ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju: ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.

 

IP uvodoma pojasnjuje, da lahko podaja nezavezujoča mnenja in pojasnila, ne sme pa izven konkretnih inšpekcijskih postopkov vnaprej potrjevati posameznih rešitev ali konkretnih dejanj obdelave osebnih podatkov z vidika skladnosti s Splošno uredbo o varstvu podatkov. Dokončno presojo zakonitosti obdelave osebnih podatkov lahko IP poda le v konkretnem inšpekcijskem postopku.

IP tako ne nudi storitve pregleda ali vnaprejšnje odobritve različnih storitev, aplikacij ali drugih sistemov, ki jih uvajajo posamezni upravljavci, z vidika njihove skladnosti z veljavnimi predpisi. IP namreč za to ni pristojen. IP tako v okviru mnenja ne more presojati ustreznosti aktivnosti, ki jih nameravate vzpostaviti za namene v vašem zaprosilu opisane statistične raziskave, s predpisi s področja varstva osebnih podatkov.

IP nadalje pojasnjuje, da mora vsak upravljavec pred uvedbo rešitve presoditi dopustnost in sorazmernost obdelav osebnih podatkov, če bodo v njenem okviru obdelovani osebni podatki. Sama obdelava osebnih podatkov mora potekati na eni od pravnih podlag, ki jih določa 6. člen Splošne uredbe o varstvu podatkov. V skladu s tem je obdelava osebnih podatkov zakonita le in kolikor je izpolnjen vsaj eden od naslednjih pogojev:

(a) posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov;

(b) obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe;

(c) obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca;

(d) obdelava je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe;

(e) obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu;

(f) obdelava je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok.«.

Ob tem je treba upoštevati, da se zadnja točka (f) ne more uporabljati za obdelavo s strani javnih organov pri opravljanju njihovih nalog.

Ob tem vas IP ponovno napotuje na pojasnila glede anonimizacije podatkov, ki so vam bila podana v mnenju št. 07120-1/2020/378, z dne 1.6. 2020.

IP posebej opozarja še na temeljna načela obdelave osebnih podatkov iz 5. člena Splošne uredbe o varstvu podatkov, še posebej pa na načelo najmanjšega obsega podatkov, ki določa, da morajo biti pod pogojem, da obstaja pravna podlaga (katerakoli), osebni podatki, ki se obdelujejo, ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo. Navedeno načelo pomeni, da je potrebno v okviru rešitve obdelovati samo toliko osebnih podatkov uporabnikov, kolikor je nujno potrebno za izpolnitev namena v konkretnem primeru, torej izvedbo analize dostopnosti finančnih virov.

IP opozarja tudi na določbo 35. člena Splošne uredbe o varstvu podatkov, ki opredeljuje oceno učinka na varstvo osebnih podatkov. IP pojasnjuje, da v okviru nezavezujočega mnenja ni pristojen podajati zavezujočih usmeritev za to, kdaj je za upravljavca izvedba ocene učinka v konkretnem primeru obvezna. IP je na to temo izdelal Smernice o ocenah učinkov na varstvo podatkov, ki so dostopne na spletni strani IP:

 

https://www.ip-rs.si/fileadmin/user_upload/Pdf/Ocene_ucinkov/Smernice_o_ocenah_ucinka__DPIA__julij2018.pdf

 

IP nadalje pojasnjuje, da je v skladu s prvim odstavkom 35. člena Splošne uredbe o varstvu podatkov temeljni kriterij za vprašanje, kdaj je ocena učinkov obvezna, zlasti ocena, ali bo obdelava povzročila veliko tveganje za pravice in svoboščine posameznikov. Dodatni kriteriji so opredeljeni v tretjem odstavku istega člena.

IP je tudi pripravil in na spletni strani objavil seznam dejanj obdelav osebnih podatkov, za katere velja zahteva po izvedbi ocene učinka v zvezi z varstvom osebnih podatkov:

https://www.ip-rs.si/fileadmin/user_upload/Pdf/Ocene_ucinkov/Seznam_dejanj_obdelav_osebnih_podatkov__za_katere_velja_zahteva_po_izvedbi_ocene_ucinka_v_zvezi_z_varstvom_osebnih_podatkov.pdf

 

IP pojasnjuje, da se navedeni kriteriji lahko uporabljajo prepleteno in ne predstavljajo izključnega seznama. Glede na pojasnila, vsebovana v vašem zaprosilu za mnenje, IP meni, da bi zelo verjetno opisane nameravane aktivnosti lahko imele pomembne posledice na varstvo osebnih podatkov posameznikov, zato je glede na določbe Splošne uredbe o varstvu podatkov potrebno, da se pred izvedbo aktivnosti opravi ustrezna ocena učinka na varstvo osebnih podatkov.

IP na podlagi navedenega pojasnjuje, da je upravljavec odgovoren za izbiro načina delovanja posamezne rešitve in zakonitost ter sorazmernost obdelav osebnih podatkov, ki se izvajajo v okviru njenega delovanja. Upravljavec v okviru opisanih pogojev torej sam odloča o ukrepih, ki so potrebni za nemoteno in učinkovito delovanje rešitve, kot tudi o načinu dostopa do podatkov v njenem okviru.

IP sklepno ponavlja, da v okviru mnenja ne more presojati ustreznosti določene rešitve z vidika skladnosti z obstoječimi predpisi. Presojo o ustreznosti lahko izvede le v okviru konkretnega inšpekcijskega ali upravnega postopka. Presoja glede zakonitosti obdelave oziroma obstoja pravne podlage za posamezno obdelavo je na vsakem upravljavcu posebej.

 

IP na koncu poudarja še, da je ocena učinkov namenjena upravljanju s tveganji in njihovi minimizaciji. Ob tem prinaša tudi druge pozitivne učinke, predvsem pa bi jo upravljavci, ki stremijo k odgovornemu ravnanju z osebnimi podatki posameznikov, morali prepoznati kot orodje, ki je primarno v njihovem oziroma vašem interesu. Namenjeno je namreč pravočasni identifikaciji tveganj in sprejemu ustreznih ukrepov za obvladovanje tveganj, s čimer lahko upravljavci preprečite, da bi prišlo do kršitev zakonodaje.

 

 

S spoštovanjem.

 

 

Pripravil:

Matej Sironič,                                                  

Svetovalec pooblaščenca

za varstvo osebnih podatkov

 

 

Mojca Prelesnik, univ. dipl. prav.,

Informacijska pooblaščenka