Informacijski pooblaščenec Republika Slovenija
    SLO | ENG
dekorativna slika

Iskalnik po mnenjih GDPR

+ -
Datum: 23.09.2020
Naslov: Pridobivanje podatkov v okviru sistema »eBOL«
Številka: 07120-1/2020/520
Vsebina: Delovna razmerja, Posredovanje OP med upravljavci, Pravne podlage, Pridobivanje OP iz zbirk, Zdravstveni osebni podatki
Pravni akt: Mnenje

Pri Informacijskem pooblaščencu (IP) smo dne 14. 9. 2020 prejeli vaše zaprosilo za mnenje o tem, na kakšen način bi lahko prenašali podatke iz odloženih eBOL v vaš interni sistem za evidentiranje časa (CODEX):

  • avtomatično brez posredovanja javnega uslužbenca preko istega povezovalnega znaka za uparjanje (EMŠO),
  • pol avtomatično s posredovanjem javnega uslužbenca na način uvozi podatke v Codex,
  • ročno s prepisovanjem podatkov javnega uslužbenca v Codex.


Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba o varstvu podatkov), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

 

Ker gre pri vašem vprašanju za področje, o katerem se pri IP odloča v posebnem upravnem postopku, vam vnaprejšnjega in dokončnega odgovora ne moremo podati.

 

Ker je možno, da gre v vašem primeru za povezovanje v smislu 84. člena ZVOP-1, vam predlagamo, da pri IP vložite vlogo za izdajo odločbe o povezovanju zbirk, do odločitve pa prevzemanje podatkov izvajate po varianti 2 ali 3.

 

 

O b r a z l o ž i t e v:

 

Na splošno pri pridobivanju podatkov s strani delodajalcev iz sistema eBOL ne gre za povezovanje zbirk osebnih podatkov v smislu 84. člena ZVOP-1. Vendar pa je pri konkretni izvedbi oziroma načinu pridobivanja podatkov na strani uporabnika možno, da so izpolnjeni pogoji za uvrstitev pod povezovanje, za kar bi bila potrebna upravna odločba (dovoljenje) IP, saj 

  • naj bi se podatki v uporabnikovo interno zbirko CODEX prevzemali na način avtomatizirane in neposredne vključitve v zbirko na avtomatizirano zahtevo uporabnika tako, da se bo pojav novih ali spremenjenih podatkov za določenega zaposlenega periodično odrazil tudi v zbriki CODEX, kjer bodo podatki na voljo za nadaljnjo uporabo brez dodatnih poizvedb v sistemu eBOL;
  • je »sistem eBOL« javna evidenca oz. njen del, ker jo vodi nosilec javnih pooblastil in ker je predpisana z ZZVZZ (79.b člen);
  • podatki iz eBOL spadajo med posebne kategorije osebnih podatkov oziroma občutljive osebne podatke v smislu ZVOP-1 in
  • naj bi se domnevno povezovanje podatkov izvajalo s pomočjo EMŠO kot »povezovalnega« znaka.

 

Konkretna in dokončna presoja na podlagi seznanitve s tehničnimi podrobnostmi je možna le v upravnem postopku, ki se začne na zahtevo upravljavca. Če bi bilo ugotovljeno, da ne gre za povezovanje, bi IP zahtevo zavrgel na podlagi 1. točke prvega odstavka 129. člena ZUP ali izdal ugotovitveno odločbo.

 

Poleg presoje informacijsko komunikacijskih tehnologij, ki bi se uporabile za vodenje zbirk, ki naj bi se povezovale in bi bile uporabljene za domnevno povezovanje zbirk ter s tem povezane komunikacijske protokole, aplikacije in servise, bi se v upravnem postopku presodilo, ali je na voljo tudi pravna podlaga in ali je ustrezno poskrbljeno za varnost podatkov.

 

Lepo vas pozdravljamo,

 

Pripravil:
mag. Urban Brulc, univ. dipl. prav.

samostojni svetovalec IP

 

 

Mojca Prelesnik, univ. dipl. prav.

informacijska pooblaščenka