Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Iskalnik po mnenjih GDPR

+ -
Datum: 11.03.2019
Naslov: Obdelava osebnih podatkov v inšpekcijskih postopkih
Številka: 0712-1/2019/549
Vsebina: Inšpekcijski postopki
Pravni akt: Mnenje

Informacijski pooblaščenec (v nadaljevanju IP) je prejel vaše zaprosilo za mnenje glede zahtevanih osebnih podatkov odgovornih oseb v inšpekcijskih zadevah. Inšpekcijski organi za potrebe identifikacije odgovorne osebe zahtevajo naslednji osebne podatke: ime in priimek, EMŠO, stalno ali začasno prebivališče, državljanstvo, pogodbo o zaposlitvi (z vidika, ali je navedena prava odgovorna oseba glede na naloge prava).

Menite, da bi tudi na tem področju bilo potrebno upoštevati načelo vgrajenega in privzetega varstva podatkov in po vaši oceni je ta obseg podatkov prevelik. Na odločbe se nato navede tudi več osebnih podatkov (odvisno od inšpekcije in tudi inšpektorja samega), kar je nato z vidika posredovanja in shranjevanja odločb tudi dodatna težava. Vaše mnenje je, da na odločbo ni potrebno navajati osebnih podatkov kot so EMŠO, naslov ipd.

Poleg tega je izredno pomembna tudi komunikacijska pot. Roki za oddajo so izjemno kratki (2-5 dni) ne glede na delovnik ali vikend in je edina možna pot posredovanje pdf dokumentov po elektronski pošti. Ker je pošiljanje naslovljeno na skupen elektronski poštni predal in je končni prejemnik neznan, nimate možnosti, da bi dogovorili geslo in ga poslali po drugem kanalu.

Ocenjujete, da bi bilo zelo koristno, da IP pripravi uradno mnenje za inšpekcije glede posredovanja podatkov, ki bo zagotovilo varnost osebnih podatkov in ne skrajševalo že tako zelo kratkih rokov za pripravo vse dokumentacije znotraj postopkov. V idealnem primeru je to spletna aplikacija inšpekcije, kjer je možno zagotoviti vso varnost za prenos podatkov. Do takrat pa morda vsaj vzpostavljen sistem gesel, ki je definiran s strani inšpekcijskega urada in v naprej posredovan.

 

****

 

Na podlagi informacij, ki ste nam jih posredovali, v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov; v nadaljevanju: Splošna uredba), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašimi zgoraj navedenimi vprašanji.

 

IP uvodoma poudarja, da izven postopka inšpekcijskega nadzora oziroma drugega upravnega postopka ne more presojati konkretnih obdelav osebnih podatkov. V mnenju lahko zato poda zgolj splošna pojasnila, ne more pa presojati ustreznosti konkretnega ravnanja posameznih upravljavcev in obdelovalcev ter ne sme in ne more prevzeti odgovornosti posameznih subjektov za njihovo poslovanje, podobno kot to velja za druge inšpekcijske organe.

 

Kar zadeva obdelavo osebnih podatkov v postopkih inšpekcijskega nadzora je treba opozoriti še na Sklep Ustavnega sodišča RS št. U-I-92/12-13, z dne 10. 10. 2013 (http://odlocitve.us-rs.si/documents/8b/89/u-i-92-122.pdf), po katerem IP inšpekcijskega nadzora nad izvajanjem ZVOP-1 ne sme izvajati tako, da pri izvrševanju svojih zakonsko določenih pooblastil poseže v posamične pravne postopke, ki jih vodijo za to pristojni državni organi ter ne sme preverjati, ali se v konkretnih pravnih postopkih ustavnoskladno in zakonito spoštuje varstvo osebnih podatkov. Kot je v citiranem sklepu ugotovilo Ustavno sodišče, bi bila zakonska podlaga, ki bi to omogočala, v nasprotju z načelom samostojnosti pristojnega državnega organa pri odločanju (drugi odstavek 120. člena Ustave za upravne organe, 125. člen Ustave za sodišča) ter v nasprotju z rednim sistemom pravnih sredstev oz. vzpostavljeno hierarhično strukturiranostjo državne oblasti (načelo večstopenjskega odločanja) in s tem v nasprotju z načeli pravne države (2. člen Ustave). Ta načela zahtevajo, da o pravicah in obveznostih fizičnih in pravnih oseb odločajo pristojni organi v postopkih, ki so vnaprej zakonsko določeni, pri čemer se njihove odločitve lahko preverjajo le v vnaprej določenih postopkih s pravnimi sredstvi pred pristojnimi organi.

 

****

IP v zvezi z vašimi vprašanji pojasnjuje, da se v primerih, kadar se osebni podatki obdelujejo za namene vodenja upravnih postopkov, kamor sodijo tudi inšpekcijski in prekrškovni postopki, kot pravna podlaga za obdelavo osebnih podatkov šteje (e) točka člena 6(1) Splošne uredbe, saj gre za obdelavo, ki je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu. Po odstavku 2 člena 6 Splošne uredbe lahko države članice ohranijo ali uvedejo podrobnejše določbe, da bi prilagodile uporabo pravil te uredbe v zvezi z obdelavo osebnih podatkov za zagotovitev skladnosti s točkama (c) in (e) odstavka 1, tako da podrobneje opredelijo posebne zahteve v zvezi z obdelavo ter druge ukrepe za zagotovitev zakonite in poštene obdelave.

 

Obdelava osebnih podatkov v inšpekcijskem postopku se z vidika zgoraj citiranih določb točke (e) člena 6(1) in ob upoštevanju določb odstavka 2 člena 6 Splošne uredbe šteje za zakonito, če se izvaja skladno s pravili, ki jih določajo materialni in postopkovni predpisi, ki določajo načela inšpekcijskega nadzora ter pravice, dolžnosti, pooblastila in postopek inšpektorjev. Kot temeljni predpis, ki določa načela inšpekcijskega nadzora ter pravice, dolžnosti, pooblastila in postopek inšpektorjev, se šteje Zakon o inšpekcijskem nadzoru (Uradni list RS, št. 43/07-UPB1 in 40/14, v nadaljevanju ZIN-1), poleg tega po so pooblastila in pristojnosti posameznih inšpektoratov in inšpektorjev lahko dodatno določena tudi v zakonih, ki podrobneje določajo pooblastila posameznih inšpektoratov oz. inšpektorjev (npr. Zakon o inšpekciji dela, Zakon o zdravstveni inšpekciji) ter v zakonih, ki urejajo posamezna področja (npr. Zakon o zasebnem varovanju, Zakon o detektivski dejavnosti). Glede postopkovnih vprašanj, ki niso urejena z ZIN-1 ali s posebnim zakonom, se skladno z drugim odstavkom 3. člena ZIN-1 uporablja Zakon o splošnem upravnem postopku (Uradni list RS, št. 24/06- UPB2, s sperm; v nadaljevanju ZUP).

 

Skladno z določbami prvega odstavka 19. člena ZIN-1 imajo inšpektorji pri opravljanju nalog inšpekcijskega nadzora pri fizični ali pravni osebi, pri kateri opravljajo inšpekcijski nadzor, med drugim pravico pregledovati listine, s katerimi lahko ugotovijo istovetnost oseb ter brezplačno pridobiti in uporabljati osebne in druge podatke iz uradnih evidenc in drugih zbirk, ki so potrebni za izvedbo inšpekcijskega nadzora. Poleg tega lahko inšpektorji na podlagi drugega odstavka 19. člena ZIN-1 osebne podatke in druge dokaze, ki so potrebni za izvedbo inšpekcijskega postopka, pridobivajo tudi od drugih pravnih in fizičnih oseb, ki z njimi razpolagajo.

 

Kadar inšpektor v pri opravljanju inšpekcijskega nadzora ugotovi kršitev zakona ali drugega predpisa, ki ga nadzoruje, je po določbi prvega odstavka 32. člena ZIN-1 dolžan izvesti tudi postopke v skladu z zakonom o prekrških, torej je v teh postopkih dolžan postopati skladno z določbami Zakona o prekrških (Uradni list RS, št. 29/2011-UPB8, s sprem., v nadaljevanju ZP-1).

 

Kar zadeva posebna pooblastila in dolžnosti inšpektorjev je treba omeniti npr. še določbe drugega odstavka 185. člena ZUP, ki določa vrste osebnih podatkov, ki se zbirajo od prič (osebno ime, poklic, prebivališče, rojstni kraj, starost in zakonski stan), v primeru Inšpektorata RS za delo pa še drugi odstavek 15. člena Zakona o inšpekciji dela, ki določa, da za potrebe vodenja postopka o prekrških zapisnik iz prejšnjega odstavka (t.j. zapisnik o opravljenem inšpekcijskem pregledu) vsebuje tudi podatke po zakonu, ki ureja prekrške, zlasti pa: podatke o kršitelju: osebno ime, EMŠO oziroma datum in kraj rojstva, državljanstvo, prebivališče oziroma ime, sedež in matično številko pravne osebe, ter zaposlitev odgovorne osebe.

 

ZIN v 4. členu določa, da so inšpektorji pri opravljanju nalog inšpekcijskega nadzora v okviru svojih pooblastil samostojni, kar pomeni, da mora inšpektor sam presoditi oziroma odločiti, kateri osebni in drugi podatki so potrebni za izvedbo inšpekcijskega postopka in ugotovitev dejanskega stanja ter katere listine in drugo dokumentacijo je za te namene treba pridobiti, reproducirati in hraniti v inšpekcijskem spisu. Pri tem mora inšpektor upoštevati načelo sorazmernosti iz 7. člena ZIN (inšpektorji morajo opravljati svoje naloge tako, da pri izvrševanju svojih pooblastil posegajo v delovanje pravnih in fizičnih oseb le v obsegu, ki je nujen za zagotovitev učinkovitega inšpekcijskega nadzora) ter načelo najmanjšega obsega podatkov iz točke (c) člena 5(1) Splošne uredbe (osebni podatki morajo biti ustrezni, relevantni in omejeni na to, kar je potrebno za name, za katere se obdelujejo). V praksi se obe načeli odražata na način, da inšpektor v postopku pridobi in reproducira le tisto dokumentacijo, ki je potrebna za izvedbo inšpekcijskega nadzora in ugotovitev dejstev, kar velja tudi glede vrste in obsega osebnih podatkov, ki jih inšpektor pridobi in navede v svojih aktih (npr. v zapisniku ali v odločbi).

 

Z namenom, da ne bi prišlo do zlorabe osebnih podatkov, poslovne ali druge tajnosti, ZIN v 16. členu inšpektorja zavezuje k varovanju tajnosti, s katero se seznani pri opravljanju inšpekcijskega nadzora, poleg tega pa ga k varovanju osebnih podatkov zavezuje tudi četrti odstavek 24. člena ZVOP-1, ki določa, da so funkcionarji, zaposleni in drugi posamezniki, ki opravljajo dela in naloge pri osebah, ki obdelujejo osebne podatke, dolžni varovati tajnost osebnih podatkov, s katerimi se seznanijo pri opravljanju njihovih funkcij, del in nalog, in sicer tudi še po prenehanju funkcije, zaposlitve ali opravljanja takšnih del in nalog.

 

Iz zgoraj navedenega tako izhaja, da lahko inšpektor v postopku inšpekcijskega nadzora obdeluje vse tiste osebne podatke, ki so potrebni za izvedbo inšpekcijskega nadzora ter da je inšpektor v primeru, ko v postopku inšpekcijskega nadzora zazna kršitev zakona ali drugega predpisa, katerega izvajanje nadzoruje, upravičen poleg osebnega imena in funkcije oz. delovnega mesta zaposlenih pri zavezancu pridobiti in v zapisniku in odločbi o prekršku navesti tudi tiste osebne podatke odgovornih oseb, ki jih potrebuje za izvedbo postopka o prekršku. Vrste osebnih podatkov o odgovornih osebah, ki so potrebni za izvedbo postopka o prekrških, so določene v 56. in 57. členu ZP-1, kjer je določeno, da mora pisna odločba o prekršku oz. plačilni nalog, ki velja kot pisna odločba o prekršku, vsebovati osebne podatke kršitelja, in sicer osebno ime, EMŠO, če je fizična oseba tujec, pa njene rojstne podatke, državljanstvo, stalno oziroma začasno prebivališče ter za odgovorno osebo tudi zaposlitev. Navedene osebne podatke je inšpektor skladno z določbami 56. in 57. člena ZP-1 dolžan navesti v izreku odločbe o prekršku ali v plačilnem nalogu ter jih vnesti v prekrškovne evidence iz 203. in 206. člena ZP-1.

 

****

 

V zvezi z vašimi predlogi glede komunikacijske poti za posredovanje osebnih podatkov in dokumentacije inšpekcijskim organom vam pojasnjujemo, da IP sodeluje v projektu priprave informacijskega sistema za podporo delu inšpekcijskim organom, vendar pa so pristojnosti IP v zvezi s tem omejene, saj sprejem vlog s strani državnih organov, kamor sodijo tudi inšpektorati, določa Uredba o upravnem poslovanju, ta pa določa, da pošto, naslovljeno na organ, prevzame, odpre, pregleda in evidentira v evidenco dokumentarnega gradiva, glavna pisarna prek informacijskega sistema za vodenje evidence dokumentarnega gradiva. Delavci glavne pisarne so dolžni varovati tajnost osebnih podatkov, s katerimi se seznanijo pri opravljanju njihovih funkcij, del in nalog, enako kot inšpektorji, predpisi s področja varstva osebnih podatkov pa upravljavcev ne omejujejo, da osebne podatke ter druge vloge in pisanja sprejemajo prek centralne glavne pisarne. Upravljavci osebnih podatkov so pri posredovanju oz. prenosu vsekakor dolžni preprečiti nepooblaščen dostop do osebnih podatkov, kar pa je možno storiti na več načinov, ki pa so odvisni predvsem od načina prenosa podatkov in dokumentacije, torej, ali se prenos izvaja osebno, z navadno pošto ali pa po telekomunikacijskih sredstvih in omrežjih. Dokumenti z varovanimi in občutljivimi osebnimi podatki, ki se posredujejo prek elektronske pošte, morajo biti pri prenosu zavarovani na način, da je zagotovljena njihova nečitljivost oziroma neprepoznavnost med prenosom, pri čemer IP v praksi dopušča, da se elektronska pošta, ki vsebuje občutljive osebne podatke, posreduje v kriptirani obliki z uporabo prosto dostopne programske opreme. Dokumenti z varovanimi in občutljivimi osebnimi podatki, ki se posreduje prek elektronske pošte, morajo biti pri prenosu torej krištirani in zavarovani z geslom, ki se naslovniku sporoči po drugem mediju (npr. osebno), pri čemer pa je treba upoštevati, da se osebni podatki, kot so osebno ime, EMŠO oziroma datum in kraj rojstva, državljanstvo in prebivališče, glede na določbe 6. člena ZVOP-1 ne štejejo kot občutljivi osebni podatki in se po določbah člena 9 Splošne uredbe tudi ne štejejo med t.i. posebne vrste osebnih podatkov, kar dodatno omejuje možnost ukrepanja IP. IP zato predlaga, da inšpektoratu zahtevane osebne in druge podatke pošljete bodisi s povratnico po navadni pošti ali pa po elektronski pošti v kriptirani obliki z uporabo prosto dostopne programske opreme, pri čemer jim geslo za odpiranje pošte sporočite po drugem mediju oz. na drug dogovorjen način.

 

V upanju, da vam bo naš odgovor v pomoč, vas lepo pozdravljamo.

 

Pripravil:

Jože Bogataj,

namestnik informacijske pooblaščenke

 

Mojca Prelesnik, univ. dipl. prav.,

informacijska pooblaščenka