Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Iskalnik po mnenjih GDPR

+ -
Datum: 11.12.2018
Naslov: Dostop notranjega revizorja do MFERAC
Številka: 0712-3/2018/2532
Vsebina: Pridobivanje OP iz zbirk
Pravni akt: Mnenje

Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaše zaprosilo za mnenje, v katerem nas prosite za mnenje glede upravičenosti dostopa notranjega revizorja do informacijskih sistemov MFERAC. Kot navajate v vašem zaprosilu za mnenje, na podlagi Zakona o javnih financah (v nadaljevanju ZJF) opravljate delo notranje revizorke na državnem tožilstvu, in sicer za vse  proračunske uporabnike, katerih predlagatelj finančnih načrtov je Vrhovno državno tožilstvo RS (v nadaljevanju VDT), to je za enajst okrožnih tožilstev, Specializirano državno tožilstvo, Državnotožilski svet in VDT. Do sredine novembra ste imeli na državnem tožilstvu možnost vpogleda, izpisa in izvoza podatkov do informacijskih sistemov MFERAC v aplikacije DPS – Priprava, izvrševanje, analiza in nadzor državnega proračuna, GKS – Glavna knjiga s saldakonti, OSN – Sistem vodenja osnovnih sredstev in KE-SD – Kadrovska evidenca in stroški dela. Opis posameznih modulov ste priložili zaprosilu za mnenje. Na VDT so vam dostop do informacijskih sistemov MFERAC ukinili z obrazložitvijo, da nimate podlage za dostop, da je bil dostop do informacijskih sistemov nezakonit in da se vam skladno z varnostno politiko ukinja dostop do informacijskih sistemov MFERAC. Poleg tega vam je bilo razloženo, da je način dela, ko pregledate celoto podatkov in iz nje izberete določen vzorec, nepravilen, ker je »phishing« prepovedan. Zanima vas mnenje IP, ali ste kot notranja revizorka, za opravljanje svojega dela, t.j. izvajanje notranjih revizij, spremljanja popravnih učinkov po končanih revizijah, revizijske ocene tveganja in načrtovanja ter poročanja na podlagi ZJF, upravičeni do dostopa (vpogleda izpisa in izvoza podatkov) do informacijskih sistemov MFERAC.

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba o varstvu podatkov), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju: ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju: ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.

 

IP uvodoma poudarja, da pri izdaji neobvezujočih mnenj ne more presojati, ali so v konkretnem primeru podani pogoji za zakonito obdelavo osebnih podatkov s strani notranjega revizorja. To presojo lahko opravi IP le v okviru konkretnih inšpekcijskih postopkov. Presojo, ali v posameznem primeru obstojijo pogoji za zakonito obdelavo osebnih podatkov mora opraviti upravljavec sam, IP pa sme glede na razpoložljive informacije zgolj opozoriti na relevantne pravne podlage, na podlagi katerih lahko upravljavci izvedejo to presojo.

 

Pod predpostavko, da imate kot notranja revizorka na VDT dejansko pooblastilo, da izvajate notranje revidiranje tudi nad poslovanjem oziroma porabo sredstev enajstih okrožnih državnih tožilstev, SDT ter Državnotožilskega sveta, bo vaša upravičenost do posameznih podatkov, ki so del zbirk osebnih podatkov, katerih upravljavci so navedeni organi, odvisna od odgovora na vprašanje ali ter kateri osebni podatki so ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo.

 

Skladno z določbo 100. člena Zakona o javnih financah (v nadaljevanju ZJF) je predstojnik neposrednega in posrednega uporabnika odgovoren za vzpostavitev in delovanje ustreznega sistema finančnega poslovodenja in kontrol ter notranjega revidiranja. Po določbi 2. odstavka 100. člena ZJF notranje kontrole obsegajo sistem postopkov in metod, katerih cilj je zagotoviti spoštovanja načel zakonitosti, preglednosti, učinkovitosti, uspešnosti in gospodarnosti. Skladno z določbo 3. odstavka 100. člena ZJF notranje revidiranje zagotavlja neodvisno preverjanje sistemov finančnega poslovodenja (menedžmenta) in kontrol ter svetovanje poslovodstvu za izboljšanje njihove učinkovitosti. Četrti odstavek istega člena določa, da notranje revidiranje izvajajo notranji revizorji. Notranji revizor opravlja revidiranje v skladu s kodeksom poklicne etike notranjih revizorjev ter s standardi notranjega revidiranja, ki jih izda minister, pristojen za finance na podlagi prehodnega mnenja računskega sodišča. Peti odstavek 100. člena ZJF pa določa, da mora biti notranji revizor pri svojem delu samostojen in neodvisen. Predvsem mora biti samostojen pri pripravi predlogov revizijskih načrtov, izbiri revizijskih metod, poročanju, dajanju priporočil ter spremljanju njihovega izvajanja. Pri opravljanju revizij mora imeti notranji revizor prost dostop do prostorov, dokumentov in oseb, povezanih z revizijo.

 

Navedene zakonske določbe po oceni IP nalagajo predstojniku proračunskega uporabnika, da vzpostavi ter omogoči delovanje sistema notranjega revidiranja, ki ga izvajajo notranji revizorji. Tem mora biti po določbah ZJF zagotovljena samostojnost in neodvisnost pri njihovem delu, predvsem pa jim mora biti omogočen dostop so dokumentov in s tem tudi osebnih podatkov, povezanih z revizijo, to je do vseh tistih podatkov v evidencah in dokumentih (tudi elektronsko vodenih evidencah), ki so ustrezni, relevantni in omejeni na to, kar je potrebno za namene za katere se obdelujejo - za izvedbo notranje revizije. Katere podatke dejansko potrebujete za uspešno in učinkovito izvedbo notranje revizije, IP ne more presojati v okviru izdaje neobvezujočih mnenj. Gre nenazadnje za vprašanje, na katerega odgovor mora v prvi vrsti dati stroka. Vsekakor pa se v primeru, ko predstojnik zaradi onemogočanja dostopa do relevantnih podatkov notranjemu revizorju onemogoča uspešno ter strokovno izvedbo notranje revizije, zastavlja vprašanje izpolnjevanja predstojnikovih dolžnosti iz 1. odstavka 100. člena ZJF. Pri tem IP zgolj dodaja, da je nadzor nad spoštovanjem določb ZJF po določbi 102. člena ZJF izvajajo proračunski inšpektorji.

 

Lep pozdrav,

 

 

Informacijski pooblaščenec:

Mojca Prelesnik, univ. dipl. prav.,

pooblaščenka

 

 

Pripravila:                                                                                                                              

Katarina Medved,

državna nadzornica

za varstvo osebnih podatkov