Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Iskalnik po mnenjih GDPR

+ -
Datum: 14.06.2019
Naslov: Obdelava OP stanovalcev
Številka: 0712-1/2019/1464
Vsebina: Pridobivanje OP iz zbirk, Rok hrambe OP, Stanovanjsko in nepremičninsko pravo, Zavarovanje osebnih podatkov
Pravni akt: Mnenje

Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaše zaprosilo za mnenje glede hrambe osebnih podatkov stanovalcev ter dostopom tretjih oseb do teh podatkov.

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba o varstvu podatkov), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju: ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju: ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.

 

IP uvodoma poudarja, da konkretnega in dokončnega odgovora o zakonitosti obdelave osebnih podatkov v okviru mnenja v nobenem primeru ne more podati, saj lahko posamezne primere obdelave podatkov konkretno presoja zgolj v okviru inšpekcijskega ali drugega upravnega postopka.

 

IP pojasnjuje, da je za zakonito obdelavo osebnih podatkov treba imeti ustrezno pravno podlago. Splošna uredba o varstvu podatkov določa pravne podlage v prvem odstavku 6. člena, kjer določa, da je obdelava zakonita le in kolikor je izpolnjen vsaj eden od naslednjih pogojev:

(a) posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov;

(b) obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe;

(c) obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca;

(d) obdelava je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe;

(e) obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu;

(f) obdelava je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok.«.

Ob tem je treba upoštevati, da se zadnja točka (f) ne more uporabljati za obdelavo s strani javnih organov pri opravljanju njihovih nalog.

 

Za vsako obdelavo osebnih podatkov mora torej obstajati pravna podlaga. Splošno velja, da lahko upravnik osebne podatke posreduje le, če razpolaga z ustrezno pravno podlago. V primeru obdelave osebnih podatkov s strani upravnikov je treba upoštevati tudi določbe Stanovanjskega zakona (SZ-1; Uradni list RS, št. 69/03, 18/04 –ZVKSES, 47/06 –ZEN, 45/08 –ZVEtL, 57/08, 62/10 –ZUPJS, 56/11–odl. US, 87/11, 40/12 –ZUJF, 14/17 – odl. US, 27/17), Stvarnopravnega zakonika (SPZ; Uradni list RS, št. 87/02, 91/13) ter Pravilnika o upravljanju večstanovanjskih stavb (Uradni list RS, št. 60/09, 87/11, 85/13). Ta v tretjem odstavku 50. člena  določa, da je upravnik na podlagi tega zakona pooblaščen za obdelavo osebnih podatkov, ki jih je dolžan zbirati, voditi in posredovati pristojnim organom v skladu s tem zakonom. Nadalje SZ-1 v 53. členu določa, da se razmerja med etažnimi lastniki in upravnikom uredijo s pogodbo o opravljanju upravniških storitev, ki lahko, poleg pooblastil iz 50. člena tega zakona, določi za upravnika še druge pravice in obveznosti. Upravnik lahko posreduje osebne podatke etažnih lastnikov le takrat, kadar je to potrebno za namen izpolnjevanja pogodbe o upravljanju večstanovanjske stavbe, ki so jo etažni lastniki sklenili z upravnikom oziroma za izvrševanje pooblastil, ki jih ima upravnik po 50. členu SZ-1.

Upravnik je skladno z določbami SZ-1 pooblaščenec etažnih lastnikov, ki jih zastopa v poslih, ki se nanašajo na upravljanje večstanovanjske stavbe, in skrbi, da se izvršujejo pravice in obveznosti iz sklenjenih poslov s tretjimi osebami. Pri sklepanju pravnih poslov s tretjimi osebami nastopa upravnik v imenu in za račun etažnih lastnikov (68. člen SZ-1), razen če SZ-1 ali pogodba o upravljanju upravniških storitev ne določata drugače. Upravnik je v skladu z 68. členom SZ-1 ob podpisu pogodbe dolžan izročiti dobavitelju storitev seznam etažnih lastnikov, ki vsebuje ime in priimek etažnega lastnika, naslov, številko stanovanja in druge podatke, ki so potrebni za opravljanje storitve dobavitelja, ter delilnik stroškov med etažnimi lastniki.

Od primera do primera je treba presojati, ali ima upravnik katero izmed zgoraj navedenih pravnih podlag in katere osebne podatke potrebuje za opravljanje posameznih nalog oziroma izvrševanje svojih pooblastil, ki pa so v omenjenih predpisih precej natančno določena. Če ima torej upravnik s konkretnim podjetjem v imenu in za račun etažnih lastnikov sklenjeno pogodbo za opravljanje računovodskih storitev, je glede na določbe SZ-1 dobavitelju storitev ob podpisu pogodbe dolžan izročiti tiste podatke etažnih lastnikov ali najemnikov, ki so potrebni za izvajanje storitev in za nadzor nad izvajanjem storitev po pogodbi.

Naloga upravljavca osebnih podatkov je, da osebe, ki v okviru opravljanja svojih del in nalog dostopajo do zbirk osebnih podatkov, seznani z varstvom osebnih podatkov. Člen 32(4) Splošne uredbe o varstvu podatkov določa, da upravljavec zagotovi, da katera koli fizična oseba, ki ukrepa pod njegovim vodstvom in ki ima dostop do osebnih podatkov, le-teh ne sme obdelati brez njegovih navodil, razen če to od nje zahteva pravo Unije ali pravo države članice. Vsebina zavarovanja podatkov je predpisana s 24. členom ZVOP-1, ki določa, da zavarovanje osebnih podatkov obsega organizacijske, tehnične in logično-tehnične postopke in ukrepe, s katerimi se varujejo osebni podatki, preprečuj slučajno ali namerno nepooblaščeno uničenje podatkov, njihova sprememba ali izguba ter nepooblaščena obdelava teh podatkov tako, da se:

  1. varujejo prostori, oprema in sistemsko programska oprema, vključno z vhodno-izhodnimi enotami;
  2. varuje aplikativna programska oprema, s katero se obdelujejo osebni podatki;
  3. preprečuje nepooblaščen dostop do osebnih podatkov pri njihovem prenosu, vključno s prenosom po telekomunikacijskih sredstvih in omrežjih;
  4. zagotavlja učinkovit način blokiranja, uničenja, izbrisa ali anonimiziranja osebnih podatkov;
  5. omogoča poznejše ugotavljanje, kdaj so bili posamezni osebni podatki vneseni v zbirko osebnih podatkov, uporabljeni ali drugače obdelani in kdo je to storil, in sicer za obdobje, ko je mogoče zakonsko varstvo pravice posameznika zaradi nedopustnega posredovanja ali obdelave osebnih podatkov.

 

Skladno s četrtim odstavkom 24. člena ZVOP-1 pa so funkcionarji, zaposleni in drugi posamezniki, ki opravljajo dela ali naloge pri osebah, ki obdelujejo osebne podatke, dolžni varovati tajnost osebnih podatkov, s katerimi se seznanijo pri opravljanju njihovih funkcij, del in nalog, tudi po prenehanju funkcije, zaposlitve ali opravljanja del in nalog.

Ker obdelava osebnih podatkov na področju upravljanja večstanovanjskih stavb ni celovito urejena v katerem izmed področnih zakonov, je IP pripravil Smernice za upravnike večstanovanjskih stavb, ki so objavljene na spletni strani IP:

https://www.ip-rs.si/fileadmin/user_upload/Pdf/smernice/Smernice_za_upravnike_vecstanovanjskih_stavb.pdf

 

 

S spoštovanjem.

 

 

Pripravil:

Matej Sironič,                                                  

Svetovalec pooblaščenca

za varstvo osebnih podatkov

 

 

Mojca Prelesnik, univ. dipl. prav.,

Informacijska pooblaščenka