Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Iskalnik po mnenjih GDPR

+ -
Datum: 06.03.2019
Naslov: Obdelava podatkov v okviru projetka in obveščanje posameznikov
Številka: 0712-1/2019/507
Vsebina: Razno
Pravni akt: Mnenje

Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaše zaprosilo za mnenje glede poročanja o delu glavnemu partnerju v projektu ter glede obveščanja posameznikov o obdelavi njihovih osebnih podatkov.

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba o varstvu podatkov), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju: ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju: ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.

 

IP uvodoma poudarja, da lahko podaja nezavezujoča mnenja in pojasnila, ne more pa izven konkretnih inšpekcijskih postopkov posameznim poslovnim subjektom svetovati, kako organizirati konkretne poslovne procese in v tem okviru obdelovati osebne podatke, niti ne more vnaprej potrjevati posameznih rešitev z vidika skladnosti s Splošno uredbo o varstvu podatkov.

 

IP uvodoma pojasnjuje, da je za zakonito obdelavo osebnih podatkov treba imeti ustrezno pravno podlago. Splošna uredba o varstvu podatkov določa pravne podlage v prvem odstavku 6. člena, kjer določa, da je obdelava zakonita le in kolikor je izpolnjen vsaj eden od naslednjih pogojev:

(a) posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov;

(b) obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe;

(c) obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca;

(d) obdelava je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe;

(e) obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu;

(f) obdelava je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok.«.

Ob tem je treba upoštevati, da se zadnja točka (f) ne more uporabljati za obdelavo s strani javnih organov pri opravljanju njihovih nalog.

 

Iz vašega zaprosila po mnenju IP lahko izhaja, da potrebujete podatke zaradi izvajanja obveznosti iz pogodbe s projektnim partnerjem in bi tako lahko obdelava osebnih podatkov temeljila na točki (e) (v primeru javnega sektorja) ali (f) (v primeru zasebnega sektorja) člena 6(1) Splošne uredbe o varstvu podatkov (v primeru, če gre za zaposlene pri izvajalcu projekta, tudi v povezavi s členom 48 Zakona o delovnih razmerjih). Obveznosti poročanja pa bi načeloma morale biti jasno opredeljene tudi v pogodbi o izvedbi projekta. Iz vašega zaprosila izhaja, da pogodba s projektnim partnerjem izrecno ne določa, katere podatke morate prilagati kot dokazilo za povračilo stroškov dela. Ob tem je treba upoštevati načelo najmanjšega obsega podatkov, ki določa, da morajo biti pod pogojem, da obstaja pravna podlaga, osebni podatki, ki se obdelujejo, ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo. To pomeni, da morate izkazati, da je obdelava podatkov, ki jih navajate, ustrezna in potrebna za poročanje projektnemu partnerju in torej brez obdelave teh podatkov poročanja ne bi mogli ustrezno in kvalitetno izvesti.

 

Glede vprašanja, ali lahko financer projekta (pristojno ministrstvo) od vas zahteva, da v evidenco opravljenih svetovanj vnašate določene osebne podatke, ki jih navajate (telefonska številka, elektronski naslov svetovanca), IP ponavlja, da mora za obdelavo obstajati pravna podlaga, poleg tega pa je treba upoštevati omenjeno načelo najmanjšega obsega podatkov. IP v mnenju ne more dokončno presojati, ali bi morali za namen povračilo stroškov dela in ostalih stroškov dejansko obdelovati podatke o telefonski številki in elektronskem naslovu svetovanca ter zakaj se povračila ne da izvesti brez obdelave teh podatkov. IP pa se sprašuje, ali za ta namen ne zadoščajo predloženi račun ali drug dokaz o svetovanju posameznemu podjetju. Ocena upravičenosti povračila stroškov bi verjetno lahko temeljila na teh podatkih. Zato predlagamo, da se za dodatna navodila obrnete na financerja.

 

Glede vprašanja o pogodbeni obdelavi IP pojasnjuje, da v skladu s 4. členom Splošne uredbe o varstvu podatkov pojem »upravljavec« pomeni fizično ali pravno osebo, javni organ, agencijo ali drugo telo, ki samo ali skupaj z drugimi določa namene in sredstva obdelave; kadar namene in sredstva obdelave določa pravo Unije ali pravo države članice, se lahko upravljavec ali posebna merila za njegovo imenovanje določijo s pravom Unije ali pravom države članice. Pojem »obdelovalec« pomeni fizično ali pravno osebo, javni organ, agencijo ali drugo telo, ki obdeluje osebne podatke v imenu upravljavca.

 

Za določitev medsebojnega razmerja so bistvene vloge posameznih subjektov pri pridobivanju podatkov, določanju namenov in sredstev obdelave ter izvrševanju pravic posameznikov, katerih podatki se obdelujejo. Za razlikovanje med upravljavcem in obdelovalcem osebnih podatkov je tako ključno, da je obdelovalec samostojna, od upravljavca ločena pravna entiteta, in da osebne podatke vselej obdeluje le v imenu in za račun upravljavca. Gre torej za primere, ko upravljavec, ki bi posamezne aktivnosti v zvezi z osebnimi podatki lahko izvedel sam, sprejme odločitev, da jih bo iz različnih razlogov zaupal obdelovalcu. Ker slednji dela v imenu in za račun upravljavca, je eden pomembnih elementov razmerja med njima tudi nadzor upravljavca nad obdelavo osebnih podatkov, ki jo zanj izvaja obdelovalec.

 

Na podlagi navedb v vašem zaprosilu IP sicer meni, da ste tako vaš zavod kot ostali udeleženci v projektu verjetno upravljavci osebnih podatkov. Vaš zavod namreč verjetno ne obdeluje osebnih podatkov v imenu in za račun drugih udeležencev. Enako velja tudi v nasprotni smeri in če je temu tako, potem ne obstaja obveznost oziroma potreba po sklenitvi pogodbe ali drugega akta o obdelavi osebnih podatkov iz 28. člena Splošne uredbe o varstvu podatkov. Seveda pa mora tudi za posredovanje osebnih podatkov med upravljavci obstajati ena izmed pravnih podlag, ki jih Splošna uredba o varstvu podatkov opredeljuje v 6. členu. Prav tako morajo vsi upravljavci samostojno zagotoviti ustrezne ukrepe za zagotavljanje varnosti obdelav osebnih podatkov. Dokončna presoja pa je glede na oceno konkretnih okoliščin vaša odgovornost.

 

IP svetuje, da natančno preučite dejansko stanje in naravo vašega medsebojnega odnosa z udeleženci v projektu v smislu pojasnil, ki jih IP podaja v tem mnenju. IP ponavlja, da v okviru mnenja ne more vnaprej potrjevati posameznih rešitev z vidika skladnosti s Splošno uredbo o varstvu podatkov, niti ne more presojati, ali so v konkretnem primeru, za konkreten namen in podatke izpolnjeni pogoji za obdelavo osebnih podatkov. To je namreč naloga upravljavca. IP pa lahko o tem dokončno presoja zgolj v okviru inšpekcijskega ali upravnega postopka.

 

Glede obveščanja posameznikov IP pojasnjuje, da so informacije, ki jih je treba zagotoviti posamezniku, na katerega se nanašajo osebni podatki, z vidika varstva osebnih podatkov na splošno urejene v členih 13 in 14 Splošne uredbe o varstvu podatkov. IP vam svetuje, da obvestilo oziroma pojasnilo, ki ga dajete strankam, preučite v luči spodaj navedenih pojasnil.

 

Skladno z določbo 13. člena je dolžan upravljavec v primeru, kadar so bili osebni podatki  pridobljeni od posameznika, na katerega se ti nanašajo, le-temu takrat, ko pridobi osebne podatke, zagotoviti naslednje informacije:

  1. identiteto in kontaktne podatke upravljavca in njegovega predstavnika, kadar ta obstaja;
  2. kontaktne podatke pooblaščene osebe za varstvo podatkov, kadar ta obstaja;
  3. namene, za katere se osebni podatki obdelujejo, kakor tudi pravno podlago za njihovo obdelavo;
  4. kadar obdelava temelji na točki (f) člena 6(1), zakonite interese, za uveljavljanje katerih si prizadeva upravljavec ali tretja oseba;
  5. uporabnike ali kategorije uporabnikov osebnih podatkov, kadar obstajajo;
  6. kadar je ustrezno, informacije o tem, da namerava upravljavec prenesti osebne podatke uporabniku v tretji državi ali mednarodni organizaciji, ter o obstoju ali neobstoju sklepa Komisije o ustreznosti ali v primeru prenosov iz člena 46 ali 47 ali drugega pododstavka člena 49(1) sklic na ustrezne ali primerne zaščitne ukrepe in sredstva za pridobitev njihove kopije ali kje so na voljo;
  7. tudi nekatere druge informacije, opredeljene v drugem odstavku istega člena.

 

Dodatno drugi odstavek člena 14 Splošne uredbe zahteva med drugim tudi zagotovitev informacij o roku hrambe, obstoju pravic posameznika in možnosti pritožbe nadzornemu organu.

 

Informacije se posamezniku dajo na način, določen v 12. členu Splošne uredbe o varstvu podatkov. Opisana obveznost informiranja posameznika odpade le izjemoma, in sicer takrat, kadar posameznik, na katerega se nanašajo osebni podatki, že ima informacije.

 

Posamezniku je torej treba ob pridobitvi njegovih osebnih podatkov zagotoviti navedene informacije o obdelavi osebnih podatkov. V kolikor se podatki pridobijo po telefonu, mu je treba na tak način tudi zagotoviti te informacije. Predhodna informiranost posameznika o obdelavi njegovih podatkov je ključen element zakonite obdelave osebnih podatkov, saj se lahko le na podlagi ustreznih informacij o tem, komu lahko zaupa določene svoje podatke in za kakšen namen, posameznik svobodno odloči, ali bo to storil ali ne.

 

Več o obveznostih upravljavcev glede seznanitev posameznikov z informacijami glede obdelave, ki so potrebne za zagotavljanje načela transparentnosti, si lahko preberete v revidiranih smernicah, ki jih je izdala delovna skupina WP 29 in so dostopne na naslednji povezavi:

https://www.ip-rs.si/fileadmin/user_upload/Pdf/mnenja/Mednarodna_mnenja/mnenja_na_eu_ravni/20180413_WP260rev01_Article29WPTransparencyGuidelines.pdf.

 

S spoštovanjem.

 

 

Pripravil:

Matej Sironič,                                                  

Svetovalec pooblaščenca

za varstvo osebnih podatkov

 

 

Informacijski pooblaščenec:

Mojca Prelesnik, univ. dipl. prav.,

pooblaščenka