Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Iskalnik po mnenjih GDPR

+ -
Datum: 24.04.2019
Naslov: Odgovorna oseba za dostop do PISO
Številka: 0712-1/2019/956
Vsebina: Občine
Pravni akt: Mnenje

obrnili ste se na Informacijskega pooblaščenca RS (v nadaljevanju IP) s svojim zaprosilom za mnenje glede vpisovanja odgovorne osebe v obrazec ZAHTEVEK ZA PRIDOBITEV NOVEGA UPORABNIŠKEGA IMENA IN GESLA ZA INTERNI DOSTOP DO PROSTORSKEGA INFORMACIJSKEGA SISTEMA (PISO-MIREN-KOSTANJEVICA) – po vsebini gre za zahtevek za dodelitev dostopnih pravic do posameznih vsebin v PISO glede na pravno podlago za obdelavo osebnih podatkov vsakega uporabnika. Glede na vaše vprašanje in telefonski razgovor, vas zanima, kdo je nosilec odgovornosti za obdelavo osebnih podatkov v primeru medobčinske uprave, ki deluje na področju vaše občine.

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba o varstvu podatkov), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašimi vprašanji.

 

Dokončno odločitev in presojo zakonitosti obdelav osebnih podatkov lahko IP izvede zgolj v okviru inšpekcijskega postopka, zato v nadaljevanju podajamo splošna pojasnila, končna presoja organizacije dela in s tem povezanega načina obdelav osebnih podatkov pa je odgovornost upravljavca. IP na podlagi vaših navedb ocenjuje, da je najverjetneje upravljavec zbirk, ki so dostopne preko sistema PISO-MIREN-KOSTANJEVICA (v nadaljevanju PISO), Občina Miren-Kostanjevica. PISO (prostorski informacijski sistem občin), kolikor je znano IP ni uradna zbirka osebnih podatkov, katere obstoj in vsebino bi urejal kakršenkoli zakon, ampak gre za informacijski sistem, v katerem je lahko zbranih in povezanih več zbirk osebnih podatkov. Ključen predpogoj je torej, da na ravni upravljavca takšnega sistema v posamezni občini obstaja ustrezna pravna podlaga za obdelovanje (vseh) zbranih osebnih podatkov v PISO (internem in javnem delu). Ko se na podlagi obrazca dodeli dostopne pravice subjektu, ki do sistema dostopa za namen izvajanja svojih zakonitih pristojnosti prek odgovorne osebe, je treba zagotoviti tudi pogoje sledljivosti vpogledov v skladu s tretjim odstavkom 22. člena ZVOP-1.

 

IP pojasnjuje, da Medobčinska uprava občin Šempeter - Vrtojba, Renče - Vogrsko, Miren - Kostanjevica, Vipava in Ajdovščina lahko odvisno od konkretnega primera in obstoja ustrezne pravne podlage nastopa kot samostojen upravljavec oziroma uporabnik osebnih podatkov v smislu 22. člena ZVOP-1 glede dostopa do podatkov preko sistema PISO. IP v mnenju ne more presojati, v kateri vlogi nastopa medobčinska uprava v vašem primeru, niti ne more v mnenju dokončno presojati o obstoju pravne podlage za posamezno obdelavo. V primeru inšpekcijskega nadzora se na ta subjekt odvisno od konkretnega primera in okoliščin lahko vežejo tudi vse pravice, obveznosti in odgovornosti, ki izhajajo po predpisih s področja varstva osebnih podatkov za upravljavce, obdelovalce ali uporabnike.

 

IP ob tem poudarja, da določitev odgovorne osebe za dostop do informacijskega sistema PISO v konkretnem primeru, nujno ne pomeni, da bo ta konkretna oseba (npr. zaposleni v medobčinski upravi) nosila tudi vse odgovornosti, ki veljajo po pravilih varstva osebnih podatkov za upravljavca ali uporabnika. Določitev »odgovorne osebe« je morda potrebna zaradi tehničnega omogočanja dostopa v sistem in ni nujno vezana na vse pravne zahteve s področja varstva osebnih podatkov. V običajni praksi se pravice dostopa do sistema pri drugem upravljavcu določi določenemu zaposlenemu v administraciji, ki mora pri uporabniku podatkov voditi tudi dokumentacijo v zvezi z individualnimi vpogledi. Da se zadosti zahtevi za zagotavljanje sledljivosti iz tretjega odstavka 22. člena ZVOP-1 mora po stališču IP namreč uporabnik (npr. medobčinska uprava) voditi tudi evidenco, kdo je vpogled v sistem zahteval (npr. kateri inšpektor) in za kateri namen (npr. v zvezi s katero konkretno zadevo). Po drugi strani, pa mora upravljavec (npr. občina v primeru omogočanja dostopa do sistema PISO) v prvi vrsti zagotoviti, da za dostop obstaja pravna podlaga in nadalje tudi sledljivost oziroma beležiti, kateri osebni podatki so bili posredovani, komu, kdaj in na kakšni podlagi.

 

Upamo, da smo vam s svojimi pojasnili uspeli pomagati.