Informacijski pooblaščenec Republika Slovenija
SLO | ENG

Iskalnik po odločbah in mnenjih GDPR

+ -
Datum: 18.03.2019
Naslov: obdelava OP v inšpekcijskih postopkih
Številka: 0712-1/2019/617
Vsebina: Inšpekcijski postopki
Pravni akt: Mnenje

Informacijski pooblaščenec (v nadaljevanju IP) je prejel vaše zgoraj naveden dopis, v katerem navajate, da boste na …. v okviru letošnjega izobraževanja zaposlenih, …., diskutirali tudi na temo varstva osebnih podatkov pri vašem delu. Ker se vam kljub pozornosti, ki jo namenjate temu področju še vedno postavljajo določene dileme, se za pojasnilo obračate na IP, kateremu posredujete vaše dileme in vprašanja.

 

****

 

Na podlagi informacij, ki ste nam jih posredovali, v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov; v nadaljevanju: Splošna uredba), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašimi vprašanji in dilemami.

 

****

 

IP uvodoma poudarja, da izven postopka inšpekcijskega nadzora oziroma drugega upravnega postopka ne more presojati konkretnih obdelav osebnih podatkov. V mnenju lahko zato poda zgolj splošna pojasnila, ne more pa presojati ustreznosti konkretnega ravnanja posameznih upravljavcev in obdelovalcev ter ne sme in ne more prevzeti odgovornosti posameznih subjektov za njihovo poslovanje, podobno kot to velja za druge inšpekcijske organe.

 

Kar zadeva obdelavo osebnih podatkov v postopkih inšpekcijskega nadzora je treba opozoriti še na Sklep Ustavnega sodišča RS št. U-I-92/12-13, z dne 10. 10. 2013 (http://odlocitve.us-rs.si/documents/8b/89/u-i-92-122.pdf), po katerem IP inšpekcijskega nadzora nad izvajanjem ZVOP-1 ne sme izvajati tako, da pri izvrševanju svojih zakonsko določenih pooblastil poseže v posamične pravne postopke, ki jih vodijo za to pristojni državni organi ter ne sme preverjati, ali se v konkretnih pravnih postopkih ustavnoskladno in zakonito spoštuje varstvo osebnih podatkov. Kot je v citiranem sklepu ugotovilo Ustavno sodišče, bi bila zakonska podlaga, ki bi to omogočala, v nasprotju z načelom samostojnosti pristojnega državnega organa pri odločanju (drugi odstavek 120. člena Ustave za upravne organe, 125. člen Ustave za sodišča) ter v nasprotju z rednim sistemom pravnih sredstev oz. vzpostavljeno hierarhično strukturiranostjo državne oblasti (načelo večstopenjskega odločanja) in s tem v nasprotju z načeli pravne države (2. člen Ustave). Ta načela zahtevajo, da o pravicah in obveznostih fizičnih in pravnih oseb odločajo pristojni organi v postopkih, ki so vnaprej zakonsko določeni, pri čemer se njihove odločitve lahko preverjajo le v vnaprej določenih postopkih s pravnimi sredstvi pred pristojnimi organi.

****

 

IP v zvezi z vašimi vprašanji pojasnjuje, da se v primerih, kadar se osebni podatki obdelujejo za namene vodenja upravnih postopkov, kamor sodijo tudi inšpekcijski in prekrškovni postopki, kot pravna podlaga za obdelavo osebnih podatkov šteje (e) točka člena 6(1) Splošne uredbe, saj gre za obdelavo, ki je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu. Po odstavku 2 člena 6 Splošne uredbe lahko države članice ohranijo ali uvedejo podrobnejše določbe, da bi prilagodile uporabo pravil te uredbe v zvezi z obdelavo osebnih podatkov za zagotovitev skladnosti s točkama (c) in (e) odstavka 1, tako da podrobneje opredelijo posebne zahteve v zvezi z obdelavo ter druge ukrepe za zagotovitev zakonite in poštene obdelave.

 

Obdelava osebnih podatkov v inšpekcijskem postopku se z vidika zgoraj citiranih določb točke (e) člena 6(1) in ob upoštevanju določb odstavka 2 člena 6 Splošne uredbe šteje za zakonito, če se izvaja skladno s pravili, ki jih določajo materialni in postopkovni predpisi, ki določajo načela inšpekcijskega nadzora ter pravice, dolžnosti, pooblastila in postopek inšpektorjev. Kot temeljni predpis, ki določa načela inšpekcijskega nadzora ter pravice, dolžnosti, pooblastila in postopek inšpektorjev, se šteje Zakon o inšpekcijskem nadzoru (Uradni list RS, št. 43/07-UPB1 in 40/14, v nadaljevanju ZIN-1), poleg tega po so pooblastila in pristojnosti posameznih inšpektoratov in inšpektorjev lahko dodatno določena tudi v zakonih, ki podrobneje določajo pooblastila posameznih inšpektoratov oz. inšpektorjev (npr. Zakon o inšpekciji dela, Zakon o zdravstveni inšpekciji) ter v zakonih, ki urejajo posamezna področja (npr. Zakon o zasebnem varovanju, Zakon o detektivski dejavnosti). Glede postopkovnih vprašanj, ki niso urejena z ZIN-1 ali s posebnim zakonom, se skladno z drugim odstavkom 3. člena ZIN-1 uporablja Zakon o splošnem upravnem postopku (Uradni list RS, št. 24/06- UPB2, s sperm; v nadaljevanju ZUP).

 

Skladno z določbami prvega odstavka 19. člena ZIN-1 imajo inšpektorji pri opravljanju nalog inšpekcijskega nadzora pri fizični ali pravni osebi, pri kateri opravljajo inšpekcijski nadzor, med drugim pravico pregledovati listine, s katerimi lahko ugotovijo istovetnost oseb ter brezplačno pridobiti in uporabljati osebne in druge podatke iz uradnih evidenc in drugih zbirk, ki so potrebni za izvedbo inšpekcijskega nadzora. Poleg tega lahko inšpektorji na podlagi drugega odstavka 19. člena ZIN-1 osebne podatke in druge dokaze, ki so potrebni za izvedbo inšpekcijskega postopka, pridobivajo tudi od drugih pravnih in fizičnih oseb, ki z njimi razpolagajo.

 

Kadar inšpektor v pri opravljanju inšpekcijskega nadzora ugotovi kršitev zakona ali drugega predpisa, ki ga nadzoruje, je po določbi prvega odstavka 32. člena ZIN-1 dolžan izvesti tudi postopke v skladu z zakonom o prekrških, torej je v teh postopkih dolžan postopati skladno z določbami Zakona o prekrških (Uradni list RS, št. 29/2011-UPB8, s sprem., v nadaljevanju ZP-1).

 

Kar zadeva posebna pooblastila in dolžnosti inšpektorjev je treba omeniti npr. še določbe drugega odstavka 185. člena ZUP, ki določa vrste osebnih podatkov, ki se zbirajo od prič (osebno ime, poklic, prebivališče, rojstni kraj, starost in zakonski stan), v primeru Inšpektorata RS za delo pa še drugi odstavek 15. člena Zakona o inšpekciji dela, ki določa, da za potrebe vodenja postopka o prekrških zapisnik iz prejšnjega odstavka (t.j. zapisnik o opravljenem inšpekcijskem pregledu) vsebuje tudi podatke po zakonu, ki ureja prekrške, zlasti pa: podatke o kršitelju: osebno ime, EMŠO oziroma datum in kraj rojstva, državljanstvo, prebivališče oziroma ime, sedež in matično številko pravne osebe, ter zaposlitev odgovorne osebe.

 

ZIN v 4. členu določa, da so inšpektorji pri opravljanju nalog inšpekcijskega nadzora v okviru svojih pooblastil samostojni, kar pomeni, da mora inšpektor sam presoditi oziroma odločiti, kateri osebni in drugi podatki so potrebni za izvedbo inšpekcijskega postopka in ugotovitev dejanskega stanja ter katere listine in drugo dokumentacijo je za te namene treba pridobiti, reproducirati in hraniti v inšpekcijskem spisu. Pri tem mora inšpektor upoštevati načelo sorazmernosti iz 7. člena ZIN (inšpektorji morajo opravljati svoje naloge tako, da pri izvrševanju svojih pooblastil posegajo v delovanje pravnih in fizičnih oseb le v obsegu, ki je nujen za zagotovitev učinkovitega inšpekcijskega nadzora) ter načelo najmanjšega obsega podatkov iz točke (c) člena 5(1) Splošne uredbe (osebni podatki morajo biti ustrezni, relevantni in omejeni na to, kar je potrebno za name, za katere se obdelujejo). V praksi se obe načeli odražata na način, da inšpektor v postopku pridobi in reproducira le tisto dokumentacijo, ki je potrebna za izvedbo inšpekcijskega nadzora in ugotovitev dejstev, kar velja tudi glede vrste in obsega osebnih podatkov, ki jih inšpektor pridobi in navede v svojih aktih (npr. v zapisniku ali v odločbi).

 

Z namenom, da ne bi prišlo do zlorabe osebnih podatkov, poslovne ali druge tajnosti, ZIN v 16. členu inšpektorja zavezuje k varovanju tajnosti, s katero se seznani pri opravljanju inšpekcijskega nadzora, poleg tega pa ga k varovanju osebnih podatkov zavezuje tudi četrti odstavek 24. člena ZVOP-1, ki določa, da so funkcionarji, zaposleni in drugi posamezniki, ki opravljajo dela in naloge pri osebah, ki obdelujejo osebne podatke, dolžni varovati tajnost osebnih podatkov, s katerimi se seznanijo pri opravljanju njihovih funkcij, del in nalog, in sicer tudi še po prenehanju funkcije, zaposlitve ali opravljanja takšnih del in nalog.

 

Iz zgoraj navedenega tako izhaja, da lahko inšpektor v postopku inšpekcijskega nadzora obdeluje vse tiste osebne podatke, ki so potrebni za izvedbo inšpekcijskega nadzora ter da je inšpektor v primeru, ko v postopku inšpekcijskega nadzora zazna kršitev zakona ali drugega predpisa, katerega izvajanje nadzoruje, upravičen poleg osebnega imena in funkcije oz. delovnega mesta zaposlenih pri zavezancu pridobiti ter v zapisniku in odločbi o prekršku navesti tudi druge osebne podatke odgovornih oseb, in sicer tiste, ki jih potrebuje za izvedbo postopka inšpekcijskega nadzora in postopka o prekršku. Vrste osebnih podatkov o odgovornih osebah, ki so potrebni za izvedbo postopka o prekrških, so določene v 56. in 57. členu ZP-1, kjer je določeno, da mora pisna odločba o prekršku oz. plačilni nalog, ki velja kot pisna odločba o prekršku, vsebovati osebne podatke kršitelja, in sicer osebno ime, EMŠO, če je fizična oseba tujec, pa njene rojstne podatke, državljanstvo, stalno oziroma začasno prebivališče ter za odgovorno osebo tudi zaposlitev. Navedene osebne podatke je inšpektor skladno z določbami 56. in 57. člena ZP-1 dolžan navesti v izreku odločbe o prekršku ali v plačilnem nalogu ter jih vnesti v prekrškovne evidence iz 203. in 206. člena ZP-1.

 

****

 

Ob upoštevanju zgoraj pojasnjenega vam v nadaljevanju posredujemo še odgovore na vaša konkretna vprašanja.

 

1. Zbiranje osebnih podatkov na zapisnik v inšpekcijskem postopku

 

Vprašanje:

Kot navajate, 76. člen ZUP-a govori o tem, da se v zapisnik vpiše osebno ime navzočih, pri čemer sta z vidika nadaljevanja inšpekcijskega postopka zgolj ime in priimek premalo, v kolikor je potrebno npr. pridobivati dodatna dokazila ali potrdila iz uradnih evidenc, v času opravljanja nadzora (pisanja zapisnika) pa še ni povsem jasno ali bo organ take dodatne poizvedbe potreboval ali ne. Zanima vas, ali organ dejansko ne sme v času nadzora od zavezanca pridobiti tudi podatke npr. o stalnem prebivališču in mora, v kolikor je za razjasnitev okoliščin in ali ugotavljanja dejanskega prekrška potrebna poizvedba v uradnih evidencah drugih organov oz. organizacij, zavezanca naknadno pozvati k posredovanju še drugih osebnih podatkov (npr. vsaj stalno prebivališče) z obrazložitvijo zakaj boste podatke (vsaj stalno prebivališče) potrebovali ter ali je z vidika ekonomičnosti postopka dovoljeno, da zavezanca že v času pisanja zapisnika zaprosite tudi za podatke o stalnem prebivališču ter na zapisnik navedete, da bodo podatki uporabljeni za namene morebitnih potrebnih poizvedb v uradnih evidencah, CRP ipd.?

 

 

Odgovor IP:

Kot smo že pojasnili, morajo biti ob upoštevanju načela najmanjšega obsega podatkov iz točke (c) člena 5(1) Splošne uredbe, osebni podatki, ki se obdelujejo, ustrezni, relevantni in omejeni na to, kar je potrebno za name, za katere se obdelujejo. Kar zadeva pisanje zapisnika, je ob upoštevanju prej navedenega načela treba ločiti med osebnimi podatki, ki se o navzočih v zapisnik vpišejo na podlagi prvega odstavka 76. člena ZUP, ter osebnimi podatki, ki se v zapisnik vpišejo v zvezi z opravljenimi dejanji in ugotovitvami inšpekcijskega postopka. Po določbi prvega odstavka 76. člena ZUP se v uvodu zapisnika navedejo zgolj osebna imena uradnih oseb, navzočih strank in njihovih zastopnikov ali pooblaščencev ter njihov status v predmetnem postopku, medtem ko se v delu zapisnika, kjer se navaja potek postopka, vsebina v postopku opravljenega dejanja in danih izjav ter ugotovitve, lahko zapišejo tisti osebni podatki o zaposlenih pri zavezancu in o drugih osebah, ki so potrebni za izvedbo inšpekcijskega nadzora. V primeru, ko se npr. v postopku zaslišijo priče, se o pričah v zapisniku navedejo osebni podatki, ki jih v zvezi z zaslišanjem prič določa drugi odstavek 185. člena ZUP (osebno ime, poklic, prebivališče, rojstni kraj in starost). Podobni podatki se v zapisniku lahko navedejo tudi o stranki, ki se jo zasliši tekom postopka.

 

Če se tekom postopka izkaže, da je za izvedbo postopka potrebno poleg osebnega imena, zaposlitve in naziva delovnega mesta pridobiti tudi naslove prebivališča ali kakšne druge osebne podatke določenih zaposlenih in drugih oseb, ki za zavezanca opravljajo določene dejavnosti, jih inšpektor tekom postopka lahko pridobi ter zapiše v zapisniku, pri čemer lahko na podlagi 19. člena ZIN z vpogledom v osebni dokument ali drugo listino preveri tudi identiteto osebe in točnost pridobljenih osebnih podatkov. Glede na to, da osebnih podatkov ni dopustno zbirati na zalogo, je pridobivanje posameznih vrst osebnih podatkov in njihova navedba v zapisniku dopustna v primeru, če so osebni podatki potrebni za razjasnitev okoliščin, za izvedbo postopka o prekršku ali za kakšne druge zakonite namene. Presoja in odločitev o tem, kateri osebni podatki so potrebni za izvedbo konkretnega postopka, je torej na strani inšpektorja, ki vodi postopek.

 

2. Odločbe o prekršku

 

Vprašanje:

2.1. Zaradi zahteve ZP-1 po določitvi neposredne odgovornosti, se na …. srečujete z odločbami o prekršku, ko odgovorna oseba ni zaposlena pri pravni osebi, ki posredno nosi objektivno odgovornost za prekršek. Zaradi zahteve ZP-1 po določitvi neposredne odgovornosti se na …. srečujete z odločbami o prekršku, ko odgovorna oseba ni zaposlena pri pravni osebi, ki posredno nosi objektivno odgovornost za prekršek. Npr. s posamezno trafiko, ki je d.o.o., na podlagi pogodbe o poslovnem sodelovanju upravlja določen s.p., le ta pa ima zaposleno prodajalko, ki je neposredna storilka prekrška. Račune zadevna trafika izdaja v imenu in za račun podjetja, ki je d.o.o. in zato posledično zaradi storitve prekrška prodajalke nosi objektivno odgovornost. Zanima vas, ali prekrškovni organ v konkretnem primeru izda eno odločbo o prekršku, v kateri ugotovi in izreče globo v 1. točki pravni osebi (d.o.o.) in v 2. točki odgovorni osebi (zaposleni pri s.p.) glede na dejstvo, da odgovorna oseba ni neposredno zaposlena pri d.o.o. in se z izrekom takšne odločbe družbi razkrije tudi druge osebne podatke o zaposleni pri s.p., kot so npr. EMŠO in državljanstvo, saj navedbo le-teh pri izreku odgovornosti zahteva ZP-1? Ali mora organ v takšnem primeru izdati dve ločeni odločbi, eno za odgovornost pravne osebe in drugo za odgovornost neposrednega storilca?

 

Odgovor IP:

Kadar se osebni podatki obdelujejo za namene vodenje pravnega postopka (upravnega, prekrškovnega, kazenskega, pravdnega, ipd.) se obdelava osebnih podatkov z vidika določb Splošne uredbe in ZVOP-1 šteje za zakonito, če se osebni podatki obdelujejo skladno z določbami procesnih in materialnih zakonov, ki določajo pravila vodenja konkretnega postopka. Organ, ki vodi postopek ter stranke in ostali udeleženci postopka, lahko osebne podatke, ki so pridobljeni in se obdelujejo za namene vodenja postopka, zakonito uporabljajo za opravljanje procesnih dejanj v okviru vodenega postopka ter za uveljavljanje in varovanje svojih pravic pred pristojnimi organi, uporaba osebnih podatkov za druge namene pa lahko že pomeni nezakonito obdelavo osebnih podatkov in s tem povezano kršitev določb Splošne uredbe, kršitev določb ZVOP-1 ali kakšno drugo kršitev (npr. zlorabo osebnih podatkov po 143. členu KZ-1 ali kršitev tajnosti postopka po 287. členu KZ-1).

 

Po določbi drugega odstavka 58. člena ZP-1 se v hitrem postopku o prekršku za postopek zoper pravno in odgovorno osebo in za postopek združitve in izločitve postopka smiselno uporabljajo določbe tega zakona o rednem sodnem postopku, kolikor ni s tem zakonom drugače določeno. ZP-1 združitev in izločitev postopka ureja v 107 členu, kjer je v prvem odstavku določeno, da če je obdolženec z enim dejanjem ali z več dejanji storil več prekrškov, o katerih še ni bila izdana sodba, za vse prekrške pa je pristojno isto sodišče, se izvede praviloma enoten postopek in izda ena sama sodba o prekršku. Enoten postopek se izvede praviloma tudi zoper pravno osebo in odgovorno osebo, zoper obdolženca, sostorilca, napeljevalca in pomagača, razen če so podani zakonski razlogi, da se postopek vodi samo zoper enega izmed njih. Enoten postopek zoper pravno in odgovorno osebo določa tudi 70. člen ZP-1, ki v prvem odstavku določa, da se zoper pravno osebo in odgovorno osebo vodi praviloma enoten postopek, drugi odstavek pa nadalje določa, da če zaradi pravnih ali dejanskih ovir ni mogoče voditi postopka zoper odgovorno osebo, se vodi postopek le zoper pravno osebo.

 

Pravna oseba je po določbi 14. člena ZP-1 odgovorna za prekršek, ki ga storilec stori pri opravljanju njene dejavnosti ter v imenu ali za račun ali v korist ali s sredstvi pravne osebe. Pri tem ni nujno, da je storilec oseba, ki je zaposlena pri pravni osebi, pač je pomembno predvsem to, da storilec na kakršni koli pravni podlagi sodeluje pri opravljanju dejavnosti pravne osebe. Pravna oseba je torej akcesorno odgovorna za prekršek, ki ga pri opravljanju njene dejavnosti storilec stori v njenem imenu, na njen račun, v njeno korist ali z njenimi sredstvi. Zaradi tega se po določbi prvega odstavka 107. člena ZP-1 v primeru, ko niso podani zakoniti razlogi, da se postopek vodi samo zoper pravno osebo ali samo zoper odgovorno osebo, zoper pravno in odgovorno osebo vodi enoten postopek o prekršku, v katerem prekrškovni organ odloči z eno odločbo, in sicer ne glede na to, da neposredni storilec ni neposredno zaposlen pri odgovorni osebi.

 

Vprašanje:

2.2. Organ ugotovi prekršek, za katerega so odgovorne tri različne osebe, sicer vse zaposlene pri pravni osebi, ki nosi objektivno odgovornost. Z izdajo ene odločbe, v kateri se ugotovi in izreče globo v 1. točki pravni osebi, v 2., 3. in 4. točki pa odgovornim osebam, so osebni podatki (npr. EMŠO) ene odgovorne osebe razkriti drugi odgovorni osebi. Mora organ z namenom varovanja osebnih podatkov v takšnem primeru izdati 4 odločbe o prekršku (eno pravni osebi, ter vsaki odgovorni osebi posebej)?

 

Odgovor IP:

Kot je navedeno že v odgovoru na predhodno vprašanje, se po določbi prvega odstavka 107. člena enoten postopek praviloma izvede tako zoper pravno osebo in odgovorno osebo kot tudi zoper obdolženca, sostorilca, napeljevalca in pomagača, razen če so podani zakonski razlogi, da se postopek vodi samo zoper enega izmed njih. Navedeno pomeni, da prekrškovni organ praviloma vodi enoten postopek in izda eno odločbo v prekršku tudi v primeru, ko je pravna oseba odgovorna za prekršek, ki ga pri opravljanju njene dejavnosti ter v njenem imenu, na njen račun, v njeno korist ali z njunimi sredstvi stori več odgovornih oseb. Ker je vodenje takšnega enotnega postopka določeno v ZP-1, razkritje osebnih podatkov drugemu storilcu, sostorilcu, napeljevalcu ali pomagaču v odločbi o prekršku ne predstavlja kršitve določb Splošne uredbe ali ZVOP-1. Do kršitve bi lahko prišlo šele tedaj, če bi uradna oseba ali kateri od kršiteljev osebne podatke uporabil izven okvira vodenega postopka, torej za namene, ki ne predstavljajo opravljanja procesnih dejanj ali uveljavljanja in varovanja pravic pred pristojnimi organi.

 

 

3. Opozorilo na varstvo osebnih podatkov pri vpogledu v spis

 

Vprašanje:

Pri vpogledih v spis s strani upravičenih oseb po ZUP, se v določenih primerih oseba, ki je vpogledala v spis, seznani tudi z osebnimi podatki tretjih oseb. V tem primeru inšpektor osebo, ki je vpogledala v spis, seznani z dolžnostjo varovanja takšnih podatkov v skladu s predpisi s področja varstva osebnih podatkov. To navede tudi v uradnem zaznamku, ki ga sestavi zaradi vpogleda v spis. Zzanima vas, ali je navedba v uradnem zaznamku, da je oseba, ki je vpogledala v spis in se seznanila z osebnimi podatki tretjih oseb, dolžna le-te varovati v skladu s predpisi, ki urejajo področje varstva osebnih podatkov dovolj ali bi moralo biti to določilo v uradnem zaznamku bolj konkretizirano (npr. konkretni predpisi, načini varovanja, prepoved posredovanja ipd.) ter o tem bolj konkretizirano poučena tudi oseba, ki je vpogledala v spis.

 

Odgovor IP:

ZUP, Splošna uredba in ZVOP-1 pooblaščeni uradni osebi ne zapovedujejo, da mora osebo, ki opravi vpogled v spis, opozoriti na dolžnost varovanja osebnih ali kakšnih drugih varovanih podatkov. ZVOP-1 v odstavku 22. člena določa zgolj to, da mora upravljavec osebnih podatkov za vsako posredovanje osebnih podatkov zagotoviti, da je mogoče pozneje ugotoviti, kateri osebni podatki so bili posredovani, komu, kdaj in na kakšni podlagi, in sicer za obdobje, ko je mogoče zakonsko varstvo pravice posameznika zaradi nedopustnega posredovanja osebnih podatkov. Glede na to, da se kot posredovanje osebnih podatkov šteje tudi razkritje osebnih podatkov ter da je odgovornost za zakonito uporabo osebnih podatkov vedno tudi na strani njihovega uporabnika, mora torej uradna oseba pri vpogledu v spis, v katerem se vodijo osebni podati, narediti uradni zaznamek, iz katerega mora biti razvidno, kdo, kdaj in na kakšni pravni podlagi je vpogledal v spis ter katere dokumente si je pri tem prepisal, prekopiral oz. preslikal. IP stoji na stališču, da mora pooblaščena oseba poleg prej navedenih obveznih sestavin uradnega zaznamka iz preventivnih razlogov osebo, ki je vpogledala v spis, opozoriti tudi na dolžnost varovanja osebnih podatkov in to navesti v uradni zaznamek. Glede na to, da zakon takšnega opozorila izrecno ne zapoveduje, je dovolj, da se osebo, ob vpogledu v spis opozori zlasti na to, da je dolžna osebne podatke, s katerimi se je seznanila, varovati v skladu s predpisi, ki urejajo področje varstva osebnih podatkov, dodatno pa še, da osebnih podatkov ne sme posredovati tretjim osebam ter da lahko osebne podatke uporablja le za opravljanje procesnih dejanj v okviru vodenega postopka in za varovaje in uveljavljanje svojih pravic pred pristojnimi organi.

 

 

4. Osebni podatki pri dostopu do informacij javnega značaja

 

Vprašanje:

Inšpektor na zapisnik izreče opozorilo pravni in odgovorni osebi. V zahtevi za dostop do informacij javnega značaja želi prosilec pridobiti zadevni zapisnik. Vsa imena in priimke v zapisniku (razen uradnih oseb) se anonimizira. Zanima vas, ali bi bilo potrebno anonimizirati tudi podatek o izrečenem opozorilu, ker bil potencialno lahko na podlagi ostalih zapisov v zapisniku (npr. opisu okoliščin prekrška) mogoče ugotoviti, kdo je odgovorna oseba? Prav tako vas zanima, ali bi moral organ pred izdajo odločbe o dostopu do informacij javnega značaja npr. ugotavljati število zaposlenih pri zavezancu in druge podatke in potem presojati, ali je odgovorna oseba lahko določljiva ali ne? V kolikor dostop do informacij zahteva npr. zaposleni pri zavezancu, je odgovorna oseba lahko določljiva tudi pri večjem številu zaposlenih. Kaj v takem primeru?

Podobno analogijo lahko vzamete tudi pri odločbah o prekršku. Prosilec želi pravnomočne odločbe o prekršku. Že z razkritjem, da takšna odločba obstaja, lahko zaradi zahteve ZP-1 po določitvi neposrednega storilca, razkrijete osebne podatke. Zanima vas, kako ravnati v takšnih primerih?

 

Odgovor IP:

V zvezi z vašimi vprašanji, ki se nanašajo na dostop do inšpekcijskih in prekrškovnih odločb ter do dokumentov iz postopkov javnega naročanja, po Zakonu o dostopu do informacij javnega značaja (dalje ZDIJZ), pojasnjujemo, da je IP na tem področju drugostopenjski, pritožbeni organ. Posledično organom prve stopnje ne sme posredovati navodil oz. izdajati mnenj, kako naj odločajo v konkretnih primerih. V skladu z 32. členom ZDIJZ je za to pristojno Ministrstvo za javno upravo.

 

Ker lahko na tem področju svetujemo le neformalno, v okviru prakse in na podlagi primerov, ki jih je IP že presojal, pojasnjujemo, da mora uradna oseba, ki odloča v postopku po ZDIJZ, v vsakem konkretnem primeru, glede na vsebino posameznega zahtevanega dokumenta, presojati tudi izjemo varstva osebnih podatkov. Ob tem mora uradna oseba, za vsak posamezen primer, oceniti tudi, ali je mogoč delni dostop (7. člen ZDIJZ) na način, da se varovani osebni podatki prekrijejo. Če delni dostop na način, da varovani osebni podatki niso ogroženi, ni mogoč, se dostop do zahtevanega dokumenta zavrne v celoti. Ker je IP nekaj podobnih primerov v praksi že obravnaval, vam predlagamo, da se z njimi seznanite na naši spletni strani:

 

https://www.ip-rs.si/ijz/prosilec-obcina-kostanjevica-na-krki-2681/?tx_jzdecisions_pi1%5Bsearch%5D=1&tx_jzdecisions_pi1%5Bsword%5D=prekr%C5%A1kovna%20odlo%C4%8Dba

 

https://www.ip-rs.si/ijz/prosilka-inspektorat-rs-za-okolje-in-prostor-1829/?tx_jzdecisions_pi1%5Bsearch%5D=1&tx_jzdecisions_pi1%5Bsword%5D=in%C5%A1pekcijska%20odlo%C4%8Dba

 

https://www.ip-rs.si/ijz/prosilec-inspektorat-rs-za-okolje-in-prostor-3648/?tx_jzdecisions_pi1%5Bsearch%5D=1&tx_jzdecisions_pi1%5Bsword%5D=in%C5%A1pekcijska%20odlo%C4%8Dba

 

 

5. Osebni podatki v postopkih javnega naročanja

 

Vprašanje:

V postopkih javnih naročil morajo sodelujoči na javnem razpisu za dokazovanje izpolnjevanja pogojev posredovati tudi osebne podatke o zaposlenih (npr. izobrazba, št. pogodbe in datum zaposlitve ipd.) Rok hrambe dokumentacije javnih naročil je 5 let od pravnomočnosti odločitve ali vsaj 2 leti po preteku pogodbe (tretji odstavek 105. člen Zakona o javnem naročanju). Zanima vas, ali bi morali podatke ponudnikov, ki ste jih prejeli v sklopu ponudb (neizbrani ponudniki/izbrani ponudniki) anonimizirati in potem anonimizirano hraniti dokumentacijo ter v kolikor je potrebno tako dokumentacijo anonimizirati, kdaj je to potrebno storiti?

 

Odgovor IP:

IP meni, da dokumentacije z osebnih podatkov, ki je bila pridobljena za namene vodenja upravnega ali drugega pravnega postopka, po pravnomočni odločitvi ni niti potrebno, oz. je ni niti dopustno anonimizirati. Takšna dokumentacija je namreč sestavni del spisa zadeve, zato zanjo velja, da jo je v primeru, ko zakon izrecno ne določa drugače, treba v izvirni obliki hraniti toliko časa, kot to določajo področni predpisi, ki urejajo pravila vodenja konkretnega postopka in hranjenja dokumentacije.

 

 

V upanju, da vam bodo naši odgovori v pomoč, vas lepo pozdravljamo.

 

 

Pripravil:

Jože Bogataj,

namestnik informacijske pooblaščenke

 

Mojca Prelesnik, univ. dipl. prav.,

informacijska pooblaščenka

…………….