Informacijski pooblaščenec Republika Slovenija
    SLO | ENG
dekorativna slika

Iskalnik po mnenjih GDPR

+ -
Datum: 13.11.2020
Naslov: Dostop do podatkov preko drugih evidenc
Številka: 07120-1/2020/589
Vsebina: Pravne podlage, Pridobivanje OP iz zbirk
Pravni akt: Mnenje

Informacijski pooblaščenec (v nadaljevanju IP) je prejel vaše zaprosilo za mnenje. Navajate, da za odločanje pri uveljavljanju pravic iz Zakona o mednarodni zaščiti in potrebe spremljanja učinkovitosti integracijskih ukrepov po tem zakonu obdelujete osebne podatke, ki jih v skladu z zakonom (118. člen) pridobivate »…neposredno od posameznikov, na katere se podatki nanašajo, prič, iz uradnih in drugih zbirk osebnih podatkov ter na podlagi izvedenih aktivnosti zagotavljanja pravic in integracijskih ukrepov za osebe, ki jim je priznana mednarodna zaščita«. Upravljavec podatkov v skladu z Zakonom o mednarodni zaščiti je sicer Ministrstvo za notranje zadeve, ki uradu za namen opravljanja nalog v skladu z zakonom omogoči dostop in obdelavo podatkov.

 

Ker so posamezni podatki zbrani že v okviru drugih uradnih evidenc, vas zanima, ali obstoječa dikcija navedenega člena omogoča, da za potrebe svojega dela do teh podatkov dostopate preko drugih uradnih evidenc, ali je potrebno v zakonu podrobneje navesti zbirke podatkov posameznih upravljavcev, tako kot je to npr. urejeno v 51. členu Zakona o uveljavljanju pravic iz javnih sredstev. Pojasnjujete, da bi s pridobitvijo podatkov iz obstoječih zbirk (preko registrov) za stranke zmanjšali tudi število potrebnih dokazil pri uveljavljanju posameznih pravic, hkrati ne bi bilo več dvojnega dela pri vnašanju podatkov, vezanih na integracijske ukrepe oseb z mednarodno zaščito.

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov, v nadaljevanju Splošna uredba), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.

 

Uvodoma poudarjamo, da IP ni pristojen predlagatelj predpisov, niti ni pristojen podajati soglasij k predlogom predpisov. To je izključna odgovornost predlagatelja predpisa in zakonodajalca. IP pa lahko podaja mnenja in izpostavlja posamezne vidike z vidika zagotavljanja spoštovanja predpisov s področja varstva podatkov. Zato IP v nadaljevanju podaja splošno mnenje z vidika varstva osebnih podatkov, brez konkretnega predloga možnih rešitev, potrebe po dostopu do javnih zbirk, opredelitve nabora podatkov, konkretnega namena dostopanja ipd.

 

Zakon o mednarodni zaščiti (Uradni list RS, št. 16/17 – uradno prečiščeno besedilo; v nadaljevanju ZMZ-1) v 114. členu ureja zbirke osebnih podatkov, ki jih za namen opravljanja nalog po tem zakonu vodi ministrstvo, pristojno za notranje zadeve, za opravljanje nalog po tem zakonu. Za namen opravljanja nalog v skladu s tem zakonom ministrstvo omogoči uradu dostop in obdelavo podatkov iz evidenc iz tega člena.

 

Določba prvega odstavka 118. člena ZMZ-1 nadalje predpisuje, da pristojni organ (tj. ministrstvo) zbira  osebne podatke za vpis v evidence iz 1. in 2. točke prvega odstavka 114. člena tega zakona neposredno od posameznikov, na katere se podatki nanašajo, prič, iz uradnih in drugih zbirk osebnih podatkov ter na podlagi izvedenih aktivnosti zagotavljanja pravic in integracijskih ukrepov za osebe, ki jim je priznana mednarodna zaščita. Kadar tako določa ta zakon, pristojni organ po uradni dolžnosti sam generira podatke. Skladno z drugim odstavkom istega člena so dolžni upravljavci zbirk osebnih podatkov, ki razpolagajo s podatki, ki so potrebni za ugotovitev dejstev v zvezi z vodenjem in odločanjem v postopkih po tem zakonu, na podlagi obrazložene pisne zahteve pristojnega organa brezplačno najkasneje v roku 15 dni posredovati zahtevane podatke. Zahteva vsebuje navedbo zahtevanih podatkov, pravno podlago za posredovanje, namen njihove uporabe in številko zadeve.

 

Navedene zakonske določbe po mnenju IP ne omogočajo neposrednega vpogleda in pridobivanja podatkov iz drugih uradnih zbirk, saj lahko od upravljavca konkretne zbirke ministrstvo pridobi potrebne podatke le na podlagi obrazložene zahteve, ki vsebuje navedbo zahtevanih podatkov, pravno podlago za posredovanje, namen njihove uporabe in številko zadeve, kot to določa drugi odstavek 118. člena ZMZ-1.

 

Morebitna bodoča ureditev, ki bi omogočala takšen neposreden dostop do podatkov iz drugih uradnih zbirk, bi lahko bila podobna tisti iz 51. in 52. člena Zakona o uveljavljanju pravic iz javnih sredstev (Uradni list RS, št. 62/10, s spremembami in dopolnitvami), kot predlagate. V teh določbah so namreč izrecno določeni konkretni podatki iz zbirk drugih upravljavcev, katere lahko pridobivajo pristojno ministrstvo oziroma centri za socialno delo, prav tako pa je jasno opredeljen namen obdelave.

 

Če je torej pridobivanje določenih podatkov neposredno iz drugih uradnih evidenc potrebno, nujno in primerno za vaše delo, torej za odločanje pri uveljavljanju pravic iz ZMZ-1 in potrebe spremljanja učinkovitosti integracijskih ukrepov po tem zakonu, bi bila za tovrstno obdelavo podatkov potrebna sprememba ZMZ-1, o čemer pa bo v končni fazi odločal zakonodajalec. Ob tem pa je treba upoštevati tako interese in zakonite cilje, ki jih zasledujete, kot tudi pravice, svoboščine in zakonite interese posameznikov ter tveganja zlorab, ki bi jih takšna ureditev lahko prinesla.

 

IP še pojasnjuje, da mora vsak upravljavec osebnih podatkov zagotoviti, da poteka obdelava osebnih podatkov na zakonit način, kar pomeni, da mora biti podana ena od samostojnih pravnih podlag, ki jih določa člen 6(1) Splošne uredbe. Pri tem je treba vedno upoštevati tudi splošna načela Splošne uredbe iz člena 5. Tako načelo najmanjšega obsega podatkov zahteva, da so osebni podatki ustrezni, relevantni in omejeni na to, kar je potrebno za zakonite namene, za katere se (glede na posamezno pravno podlago) obdelujejo, načelo omejitve namena pa določa, da morajo biti osebni podatki zbrani za določene, izrecne in zakonite namene. Prav tako je upravljavec vezan in omejen na obdelavo osebnih podatkov za namene, ki izhajajo iz te pravne podlage ter mora skrbeti, da ne pride do obdelave osebnih podatkov za druge namene brez ustrezne pravne podlage.

 

IP opozarja tudi na določbo člena 35 Splošne uredbe, ki opredeljuje oceno učinka v zvezi z varstvom podatkov. V skladu s prvim odstavkom tega člena je temeljni kriterij za vprašanje, kdaj je ocena učinkov obvezna, zlasti presoja, ali bo obdelava povzročila veliko tveganje za pravice in svoboščine posameznikov. Dodatni kriteriji so predpisani v tretjem odstavku istega člena. V okviru nezavezujočega mnenja IP sicer ni pristojen podajati zavezujočih usmeritev za to, kdaj je za upravljavca izvedba ocene učinka v konkretnem primeru obvezna, vendar pa bi jo bilo v primeru, ki ga opisujete, glede na obsežnost tovrstnih sistemov pred pripravo zakonskega besedila vsaj smiselno izvesti. Ocena učinkov je namreč namenjena upravljanju s tveganji in njihovi minimizaciji, prinaša pa tudi druge pozitivne učinke. IP je posodobil smernice z naslovom Ocene učinkov na varstvo osebnih podatkov, ki so vam lahko  pri izvedbi ocene učinkov v pomoč. Smernice pojasnjujejo zakonske določbe in dajejo odgovore na kdo, kdaj, zakaj in kako naj izvede oceno učinkov: https://www.ip-rs.si/publikacije/prirocniki-in-smernice/ocene-ucinkov-na-varstvo-podatkov/. V smernicah je naveden tudi seznam konkretnih obdelav osebnih podatkov, za katere je ocena učinkov obvezna.

 

Glede na obrazloženo ocenjujemo, da v tem trenutku sestanek ni potreben, smo pa na voljo za morebitna dodatna pojasnila.

 

 

Lep pozdrav,

 

                                                                                                     Mojca Prelesnik, univ. dipl. prav.,                                                

                                                                                                           informacijska pooblaščenka

Pripravila:                                                                                                                              

Tina Ivanc, univ. dipl. prav.,
svetovalka IP za varstvo osebnih podatkov