Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Iskalnik po mnenjih GDPR

+ -
Datum: 08.09.2020
Naslov: Posredovanje osebnih podatkov za izvedbo inšpekcijskega postopka
Številka: 07120-1/2020/504
Vsebina: Inšpekcijski postopki, Posebne vrste, Pravne podlage, Pridobivanje OP iz zbirk
Pravni akt: Mnenje

Informacijski pooblaščenec (v nadaljevanju IP) je prejel vaše zaprosilo za mnenje. Pojasnjujete, da ste prejeli zaprosilo Tržnega inšpektorata RS, v katerem navajajo, da po uradni dolžnosti vodijo inšpekcijski postopek zoper sobodajalko, ki je za določene goste unovčila bone, ki so bivali v njeni namestitvi. Zaprosili so vas, da jim posredujete podatek o zaposlitvi, ime in naziv delodajalca navedenih oseb, ki so koristile turistične bone. Kot pravno podlago za posredovanje zaprošenih podatkov so navedli drugi odstavek 19. člena Zakona o inšpekcijskem nadzoru.

 

Menite, da so podatki, kot so ime in naziv delodajalca, občutljivi osebni podatki, za pridobitev katerih se običajno zahteva soglasje tistega, čigar podatek se posreduje. Glede na to, da kljub zahtevi za dopolnitev zaprosila nimate pojasnila s strani Tržnega inšpektorata RS, da so ravno zaprošeni osebni podatki potrebni za izvedbo inšpekcijskega nadzora koriščenja turističnih bonov, vas zanima, ali ste v tem primeru zaprošene osebne podatke dolžni posredovati ali ne.

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov, v nadaljevanju Splošna uredba), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.

 

Uvodoma izpostavljamo, da lahko IP posamezne primere obdelave podatkov konkretno presoja le v okviru inšpekcijskega ali drugega upravnega postopka. IP namreč ne sme in ne more prevzeti odgovornosti posameznih subjektov za njihovo poslovanje, podobno kot to velja za druge inšpekcijske organe. Zato poudarjamo, da IP v mnenju ne more namesto upravljavca presojati, ali je posamezna zahteva za posredovanje podatkov utemeljena, to je izključna naloga in odgovornost upravljavca. Prav tako IP v skladu s prakso Ustavnega sodišča RS ni pristojen posegati v vodenje uradnih postopkov, za katere so pristojni drugi organi. Iz tega razloga IP na vaše vprašanje v okviru tega mnenja ne more dokončno odgovoriti, temveč v nadaljevanju podaja zgolj splošna pojasnila.

 

IP pojasnjuje, da je za vsako obdelavo osebnih podatkov treba imeti zakonito in ustrezno pravno podlago. Te so določene v členu 6(1) Splošne uredbe. Skladno s členom 6(1)(c) Splošne uredbe je obdelava zakonita, če je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca, na podlagi člena 6(1)(e) Splošne uredbe pa, če je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu.

 

Izbira ustrezne pravne podlage za obdelavo osebnih podatkov, upoštevajoč konkretne okoliščine in namen obdelave, je obveznost upravljavca. IP pa poudarja, da je za zakonitost obdelave dovolj, da je izpolnjena ena od samostojnih pravnih podlag, ki jih določa člen 6(1) Splošne uredbe. To pomeni, da v kolikor upravljavec osebne podatke obdeluje npr. na podlagi zakona, za te podatke privolitev v smislu člena 6(1)(a) Splošne uredbe ni dolžan pridobivati.

 

Iz prvega odstavka člena 9 Splošne uredbe nadalje izhaja, da so posebne vrste osebni podatki (občutljivi osebni podatki) tisti, ki razkrivajo rasno ali etnično poreklo, politično mnenje, versko ali filozofsko prepričanje ali članstvo v sindikatu, in genski podatki, biometrični podatki za namene edinstvene identifikacije posameznika, podatki v zvezi z zdravjem ali podatki v zvezi s posameznikovim spolnim življenjem ali spolno usmerjenostjo. Med temi osebnimi podatki ime in naziv delodajalca oziroma podatki o posameznikovi zaposlitvi niso našteti. Zato za obdelavo tega osebnega podatka ni potrebno, da je izpolnjena še izjema po drugem odstavku člena 9 Splošne uredbe, temveč mora biti, kot že obrazloženo, podana ena izmed pravnih podlag po členu 6(1) Splošne uredbe.

 

Po členu 6(2) Splošne uredbe lahko države članice ohranijo ali uvedejo podrobnejše določbe, da bi prilagodile uporabo pravil te uredbe v zvezi z obdelavo osebnih podatkov za zagotovitev skladnosti s točkama (c) in (e) prvega odstavka tega člena tako, da podrobneje opredelijo posebne zahteve v zvezi z obdelavo ter druge ukrepe za zagotovitev zakonite in poštene obdelave. Obdelava osebnih podatkov v inšpekcijskem postopku se z vidika teh določb šteje za zakonito, če se izvaja skladno s pravili, ki jih določajo materialni in postopkovni predpisi, ki določajo načela inšpekcijskega nadzora ter pravice, dolžnosti, pooblastila in postopek inšpektorjev. Temeljni predpis, ki ureja načela inšpekcijskega nadzora ter pravice, dolžnosti, pooblastila in postopek inšpektorjev, je Zakon o inšpekcijskem nadzoru (Uradni list RS, št. 43/07 – uradno prečiščeno besedilo in 40/14; v nadaljevanju ZIN).

 

ZIN v 4. členu določa, da so inšpektorji pri opravljanju nalog inšpekcijskega nadzora v okviru svojih pooblastil samostojni, kar pomeni, da mora inšpektor sam presoditi, kateri osebni in drugi podatki so potrebni za izvedbo inšpekcijskega postopka in ugotovitev dejanskega stanja ter katere listine in drugo dokumentacijo je za te namene treba pridobiti, reproducirati in hraniti v inšpekcijskem spisu. Pri tem mora inšpektor upoštevati načelo sorazmernosti iz 7. člena ZIN ter načelo najmanjšega obsega podatkov iz člena 5(1)(c) Splošne uredbe. V praksi se obe načeli odražata na način, da inšpektor v postopku pridobi in reproducira le tisto dokumentacijo, ki je potrebna za izvedbo inšpekcijskega nadzora in ugotovitev dejstev, kar velja tudi glede vrste in obsega osebnih podatkov, ki jih inšpektor pridobi in uporabi za namene vodenja inšpekcijskega postopka. Inšpektor lahko torej v postopku inšpekcijskega nadzora obdeluje vse tiste osebne podatke, ki so potrebni in primerni za izvedbo postopka inšpekcijskega nadzora.

 

Navajate, da se inšpektorat v konkretni zahtevi za posredovanje osebnih podatkov sklicuje na določbo drugega odstavka 19. ZIN. Ta predpisuje, da morajo pravne in fizične osebe, zoper katere se ne vodi inšpekcijski postopek, in ki razpolagajo z domnevnimi dokazi oziroma drugimi, tudi osebnimi podatki, potrebnimi za izvedbo inšpekcijskega nadzora, na zahtevo inšpektorja posredovati dokaze in druge, tudi osebne podatke, oziroma morajo omogočiti zaslišanje prič za pridobitev teh dokazov ali drugih, tudi osebnih podatkov, najkasneje v treh dneh od prejema njegove zahteve. V 38. členu ZIN je prepisana tudi sankcija za zavezanca, ki ne posreduje dokazov in drugih, tudi osebnih podatkov, oziroma ne omogoči zaslišanja prič najkasneje v treh dneh od prejema zahteve inšpektorja. Določba drugega odstavka 19. člena ZIN se z vidika člena 6 Splošne uredbe šteje kot zadostna zakonska podlaga, ki po eni strani inšpektorja pooblašča, da od zavezanca pridobi osebe podatke, ki so potrebni za izvedbo inšpekcijskega nadzora, po drugi strani pa daje zavezancu zadostno pravno podlago, da inšpektorju zahtevane podatke posreduje.

 

IP je že opozoril na načelo najmanjšega obsega podatkov iz člena 5(1)(c) Splošne uredbe, vendar pa navedeno načelo v primeru zbiranja osebnih podatkov za namene vodenja inšpekcijskega postopka zavezuje zlasti uradno osebo, ki vodi inšpekcijski postopek. Če kot upravljavec osebnih podatkov in inšpekcijski zavezanec na podlagi prejete zahteve inšpektorata niste prepričani o spoštovanju tega načela, ste po mnenju IP od inšpektorata sicer upravičeni zahtevati dodatna pojasnila o predmetu inšpekcijskega nadzora in namenu uporabe zahtevanih osebnih podatkov. Vendar pa je potrebno upoštevati, da kot inšpekcijski zavezanec niste pristojni presojati, kateri osebni in drugi podatki so potrebni za izvedbo inšpekcijskega postopka, saj o tem odloča uradna oseba, ki vodi inšpekcijski postopek in je odgovorna tudi za zakonito obdelavo pridobljenih osebnih podatkov. Kot inšpekcijski zavezanec lahko torej svoje pravice v postopku varujete in uveljavljate le v skladu z zakoni, ki urejajo inšpekcijski postopek, npr. s pravico do pregledovanja dokumentov v spisu zadeve in zahtevanju obvestil o poteku postopka po 82. členu Zakona o splošnem upravnem postopku (Uradni list RS, št. 24/06 – uradno prečiščeno besedilo, 105/06 – ZUS-1, 126/07, 65/08, 8/10 in 82/13; v nadaljevanju ZUP) ter z uporabo ugovorov ter rednih in izrednih pravnih sredstev, kot le te določata ZIN in ZUP.

 

 

Lep pozdrav,

 

                                                                                                     Mojca Prelesnik, univ. dipl. prav.,                                               

                                                                                                           informacijska pooblaščenka

Pripravila:                                                                                                                              

Tina Ivanc, univ. dipl. prav.,
svetovalka IP za varstvo osebnih podatkov