Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Iskalnik po mnenjih GDPR

+ -
Datum: 17.05.2019
Naslov: OP v Cobiss
Številka: 0712-1/2019/1185
Vsebina: Knjižničarstvo, Pravne podlage
Pravni akt: Mnenje

 

Informacijski pooblaščenec (v nadaljevanju IP) je prejel vaše zaprosilo za mnenje. Zanima vas, ali se lahko v COBISS vpiše ime darovalca knjig šolski knjižnici, v kolikor je to fizična oseba (npr. učenec, starš, učitelj). Sprašujete tudi, ali se sme v inventarno opombo napisati, da jo je prinesla določena fizična oseba kot nadomestilo za izgubljeno/poškodovano knjigo.

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov, v nadaljevanju Splošna uredba), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašimi vprašanji.

 

Uvodoma poudarjamo, da IP izven postopka inšpekcijskega nadzora oziroma drugega upravnega postopka konkretnih obdelav osebnih podatkov ne more presojati. IP namreč ne sme in ne more prevzeti odgovornosti posameznih subjektov za njihovo poslovanje, podobno kot to velja za druge inšpekcijske organe. IP zato v okviru izdaje mnenja ne more presojati ustreznosti konkretnega ravnanja posameznih upravljavcev, temveč lahko zgolj opozori na relevantno pravno podlago ter pogoje, ki morajo biti izpolnjeni, da je določena obdelava podatkov zakonita. Konkretno presojo pa lahko oziroma mora opraviti izključno upravljavec osebnih podatkov.

 

Za zakonito obdelavo osebnih podatkov mora imeti upravljavec ustrezno pravno podlago. Te so določene v členu 6(1) Splošne uredbe, ki predpisuje, da je obdelava zakonita le in kolikor je izpolnjen vsaj eden od naslednjih pogojev:

(a) posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov;

(b) obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe;

(c) obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca;

(d) obdelava je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe;

(e) obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu;

(f) obdelava je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok.

 

V konkretnem primeru je zakon iz člena 6(1)(c) Splošne uredbe v zvezi s še veljavnim prvim odstavkom 9. člena ZVOP-1 med drugim Zakon o knjižničarstvu (Uradni list RS, št. 87/01, 96/02 – ZUJIK in 92/15). Ta v 15. členu ureja pojem uporabnika in člana knjižnice ter osebne podatke o članih knjižnice. Skladno s to določbo imajo knjižnice za potrebe izvajanja svoje dejavnosti, zavarovanja knjižničnega gradiva ter nudenja posebnih ugodnosti določenim kategorijam članov pravico, da v skladu s predpisi o varstvu osebnih podatkov zbirajo in obdelujejo naslednje osebne podatke svojih članov: ime in priimek, datum in kraj rojstva, naslov stalnega oziroma začasnega bivališča, kategorijo člana, podatke za obveščanje (telefonska številka oziroma naslov elektronske pošte). Z osebno privolitvijo člana lahko zbirajo tudi podatek o izobrazbeni ravni, ki ga uporabljajo za potrebe načrtovanja nabave knjižničnega gradiva ter organizacije storitev za ciljne skupine članov. Osebni podatki o članih se v zbirki iz prejšnjega odstavka vodijo še največ eno leto od poteka članstva v knjižnici. Potem se izbrišejo oziroma anonimizirajo. Če ima član v tem času še neporavnane obveznosti do knjižnice, se njegovi osebni podatki izbrišejo oziroma anonimizirajo, ko so obveznosti poravnane. COBISS (Kooperativni online bibliografski sistem in servisi) pa je spletna aplikacija, za katero skrbi javni zavod Institut informacijskih znanosti (IZUM), ki omogoča objavo bibliografij.

 

Izbira ustrezne pravne podlage za obdelavo osebnih podatkov, upoštevajoč konkretne okoliščine in namen obdelave, je obveznost upravljavca. Pri obdelavi pa so upravljavci dolžni spoštovati tudi načela v zvezi z obdelavo osebnih podatkov iz člena 5 Splošne uredbe. IP se predvsem z vidika najmanjšega obsega podatkov, skladno s katerim morajo biti osebni podatki ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo, ter načela omejitve shranjevanja sprašuje, ali je vnos podatka o imenu in priimku darovalca knjige oziroma osebe, ki prinese novo knjigo kot nadomestilo za izgubljeno/poškodovano, v COBISS, res nujno potreben za izvajanje knjižnične dejavnosti oziroma za inventarizacijo gradiva, saj bi bil morda dovolj že podatek, da gre za uporabnika ali člana knjižnice. Ob tem pa IP ponovno izpostavlja, da je presoja o tem, ali so v konkretnem primeru, za konkreten namen in konkretne podatke izpolnjeni pogoji za vnos v COBISS, upoštevaje tudi pravila knjižničarske stroke ter vodenja inventarnih knjig, naloga in odgovornost upravljavca. Zato vam dokončnega odgovora na vaše vprašanje ne moremo podati.

 

Lep pozdrav,

 

 

Mojca Prelesnik, univ. dipl. prav.,                                               

informacijska pooblaščenka

 

 

Pripravila:                                                                                                                              

Tina Ivanc, univ. dipl. prav.,
svetovalka IP za varstvo osebnih podatkov