Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Iskalnik po mnenjih GDPR

+ -
Datum: 01.03.2019
Naslov: Pravna podlaga za urejanje obdelave OP v internih pravilnikih
Številka: 0712-1/2019/443
Vsebina: Uradni postopki
Pravni akt: Mnenje

Informacijski pooblaščenec (v nadaljevanju IP) je prejel vaše zaprosilo za mnenje. Zanima vas, ali obstaja pravna podlaga, na temelju katere lahko zbornica v svojih internih pravilnikih uredi obdelavo osebnih podatkov zaradi izvajanja posameznega javnega pooblastila, konkretno v pravilniku, ki ureja pripravništvo, in v pravilniku, ki ureja strokovni izpit. Menite, da pravilnik sicer ni samostojna pravna podlaga za obdelavo osebnih podatkov, temveč da zgolj prenaša podlago, ki jo predvideva že zakonodaja, in sicer 77. člen Zakona o socialnem varstvu, 139. člen Zakona o upravnem postopku in četrti odstavek 9. člena Zakona o varstvu osebnih podatkov.   

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov, v nadaljevanju Splošna uredba), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.

 

Uvodoma IP poudarja, da izven postopka inšpekcijskega nadzora konkretnih obdelav osebnih podatkov ne more presojati. V mnenju lahko zato poda zgolj splošna pojasnila, ne more pa presojati ustreznosti konkretnega ravnanja posameznih upravljavcev. Prav tako IP ne more potrjevati ustreznosti konkretnih besedil posameznih internih aktov in izven posameznega inšpekcijskega postopka ne sme preverjati primernosti izbrane pravne podlage, namenov in obsega obdelave osebnih podatkov v konkretnem primeru. IP namreč ne sme in ne more prevzeti odgovornosti posameznih subjektov za njihovo poslovanje, podobno kot to velja za druge inšpekcijske organe. Dokončnega odgovora na vaše vprašanje IP v tem mnenju zato ne more podati. Vsekakor pa bo ustreznost in zakonitost obdelav osebnih podatkov v zbornicah preverjal v konkretnih inšpekcijskih postopkih.

 

IP pojasnjuje, da je za vsako obdelavo osebnih podatkov treba imeti zakonito pravno podlago. Te so določene v členu 6(1) Splošne uredbe in za javni sektor je to načeloma zakon (točka (c) člena 6(1) Splošne uredbe v zvezi s še veljavnim prvim odstavkom 9. člena ZVOP-1). Glede na to IP svetuje, da se vsebine posameznih evidenc (npr. o pripravništvih, o mentorjih ter o kandidatih z opravljenim strokovnih izpitom) določi že v zakonu. Področni zakon v smislu prvega odstavka 9. člena ZVOP-1 je v konkretnem primeru na primer Zakon o socialnem varstvu (Uradni list RS, št. 3/07 – uradno prečiščeno besedilo, 23/07 – popr., 41/07 – popr., 61/10 – ZSVarPre, 62/10 – ZUPJS, 57/12, 39/16, 52/16 – ZPPreb-1, 15/17 – DZ, 29/17, 54/17, 21/18 – ZNOrg in 31/18 – ZOA-A, v nadaljevanju ZSV), ki pa ureja le imenik zunanjih sodelavcev iz desete alinee drugega odstavka 77. člena ZSV.

 

Za zakonitost obdelave pa je dovolj, da je izpolnjena zgolj ena izmed samostojnih pravnih podlag, ki jih določa člen 6(1) Splošne uredbe. Na podlagi še veljavnega četrtega odstavka 9. člena ZVOP-1 v zvezi s točko (e) člena 6(1) Splošne uredbe se lahko v javnem sektorju obdelujejo tudi tisti osebni podatki, obdelava katerih je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu. ZSV v drugem odstavku 77. člena našteva naloge, ki jih zbornica opravlja kot javna pooblastila. Oceniti morate torej, ali zbornica potrebuje določene osebne podatke za izvrševanje svojih zakonitih pristojnosti in nalog in gre za obdelavo na zgoraj omenjeni pravni podlagi. Pri tem pa je treba v vsakem primeru upoštevati načelo najmanjšega obsega podatkov, ki določa, morajo biti osebni podatki ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo (točka (c) člena 5(1) Splošne uredbe).

 

IP je za enostavnejši in razumljivejši prikaz dopustnih pravnih podlag obdelave osebnih podatkov v javnem sektorju izdelal infografiko, ki je dostopna na naslednji povezavi: https://www.ip-rs.si/fileadmin/user_upload/Pdf/infografike/pravne_podlage_javni_sektor.pdf.

 

Dokončna presoja, na kateri pravni podlagi lahko za konkreten namen obdelujete osebne podatke in na kakšen način ter katere osebne podatke nujno potrebujete za izvrševanje javnih pooblastil, pa je primarna odgovornost zbornice kot upravljavca.

 

Lep pozdrav,

 

 

                                                                                                     Mojca Prelesnik, univ. dipl. prav.,                                                

                                                                                                           informacijska pooblaščenka

 

Pripravila:                                                                                                                              

Tina Ivanc, univ. dipl. prav.,
svetovalka IP za varstvo osebnih podatkov