Informacijski pooblaščenec Republika Slovenija
SLO | ENG

Iskalnik po odločbah in mnenjih GDPR

+ -
Datum: 26.04.2019
Naslov: Posredovanje osebnih podatkov
Številka: 0712-1/2019/986
Vsebina: Posredovanje OP med upravljavci
Pravni akt: Mnenje

Informacijski pooblaščenec (v nadaljevanju IP) je prejel vaše zaprosilo za mnenje. Navajate, da ste na podlagi tretjega odstavka 25. člena Zakona o kritični infrastrukturi kot nosilec sektorja kritične infrastrukture  pooblaščeni za zbiranje, obdelavo, upravljanje in hranjenje podatkov o  odgovornih in kontaktnih osebah upravljavcev kritične infrastrukture. Zanima vas, ali lahko te podatke posredujete Nacionalnemu centru za krizno upravljanje (v nadaljevanju NCKU), ki na podlagi drugega odstavka navedenega člena prav tako zbira te podatke.

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov, v nadaljevanju Splošna uredba), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.

 

Uvodoma pojasnjujemo, da lahko IP posamezne primere obdelave podatkov konkretno presoja le v okviru inšpekcijskega ali drugega upravnega postopka. IP namreč ne sme in ne more prevzeti odgovornosti posameznih subjektov za njihovo poslovanje, podobno kot to velja za druge inšpekcijske organe. Zato posebej poudarjamo, da IP v mnenju ne more namesto upravljavca presojati, ali je posamezna zahteva za posredovanje podatkov utemeljena ali ne, to je izključna naloga in odgovornost upravljavca. Iz tega razloga IP na vaše vprašanje v okviru tega mnenja ne more in ne sme dokončno odgovoriti, temveč v nadaljevanju podaja zgolj splošna pojasnila.

 

Za vsako obdelavo osebnih podatkov, tudi za njihovo posredovanje, je treba imeti ustrezno in zakonito pravno podlago. Pravne podlage so določene v členu 6(1) Splošne uredbe in za javni sektor je to v skladu s še veljavnim prvim odstavkom 9. člena ZVOP-1 načeloma zakon.

 

Področni zakon v smislu prvega odstavka 9. člena ZVOP-1 je v konkretnem primeru Zakon o kritični infrastrukturi (Uradni list RS, št. 75/17, v nadaljevanju ZKI), ki v 25. členu ureja podatke o odgovornih in kontaktnih osebah in določa:

 

»(1) Da se zagotovi podpora odločanju na področju kritične infrastrukture, se zbirajo, obdelujejo, uporabljajo in hranijo ti podatki o odgovorni in kontaktni osebi nosilca sektorja kritične infrastrukture in upravljavca kritične infrastrukture:

-        ime in priimek,

-        stalno ali začasno prebivališče,

-        številka telefona,

-        naziv delovnega mesta.

(2) Podatke o odgovornih in kontaktnih osebah nosilcev sektorjev kritične infrastrukture in upravljavcev kritične infrastrukture zbira, obdeluje, uporablja in hrani NCKU.

(3) Nosilci sektorjev kritične infrastrukture zbirajo, obdelujejo, uporabljajo in hranijo podatke o odgovornih in kontaktnih osebah upravljavcev kritične infrastrukture, ki delujejo v sektorju kritične infrastrukture iz njihove pristojnosti.«

 

Iz navedene določbe izhaja, da v kolikor nastopate v vlogi nosilca sektorja kritične infrastrukture, obstaja zakonska podlaga za posredovanje podatkov o odgovornih in kontaktnih osebah nosilca vašega sektorja kritične infrastrukture oziroma podatkov o odgovornih in kontaktnih osebah upravljavcev kritične infrastrukture, ki delujejo v sektorju kritične infrastrukture iz vaše pristojnosti, NCKU, vendar le v obsegu, kot je predpisan v prvem odstavku 25. člena ZKI. Pri obdelavi posredovanih podatkov morate namreč upoštevati tako zakonske določbe kot tudi splošna načela obdelave osebnih podatkov in jih v skladu s tem ustrezno varovati.

 

IP pa ponovno izpostavlja, da je presoja o tem, ali so v konkretnem primeru, za konkreten namen in konkretne podatke izpolnjeni navedeni zakonski pogoji, naloga in odgovornost upravljavca.

 

 

Lep pozdrav,

 

 

Mojca Prelesnik, univ. dipl. prav.,                                               

informacijska pooblaščenka

 

 

Pripravila:                                                                                                                              

Tina Ivanc, univ. dipl. prav.,
svetovalka IP za varstvo osebnih podatkov