Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Iskalnik po mnenjih GDPR

+ -
Datum: 17.12.2018
Naslov: Pridobivanje OP s strani komunalnih podjetji
Številka: 0712-3/2018/2591
Vsebina: Občine, Pridobivanje OP iz zbirk
Pravni akt: Mnenje

Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaše zaprosilo za mnenje glede pridobivanja osebnih podatkov s strani javnih komunalnih podjetij. IP sprašujete, ali sme javno komunalno podjetje pridobivati podatke, ki jih potrebuje za opravljanje javnih nalog na podlagi odloka, neposredno iz Centralnega registra prebivalstva (v nadaljevanju CRP). Sedaj v praksi javna podjetja namreč podatke pridobivajo preko občin, pri čemer menite, da bi moralo MNZ javnemu komunalnemu podjetju omogočiti neposredni dostop do podatkov v CRP.

 

Prav tako vas zanima, ali je komunalno podjetje, upravičeno do dostopa do lokalne evidence občine -  »internega« PISO portala za občine, in sicer do podatkov, ki jih občina uporablja za svoje naloge (med drugim so dostopi omogočeni tudi UE, Policiji ipd.). Pri tem izpostavljate primer, ko občina komunalnemu podjetju omogoča dostop do internega dela PISO (tudi do podatkov, ki vsebujejo podatke iz CRP), in sicer na način, da več zaposlenih komunalnega podjetja  vstopa v to lokalno evidenco občine. Pri tem praviloma občina ne sklepa nobene pogodbe (osebe so samo v evidenci izdanih »dostopov« do evidence). V določenih primerih so pa bile sklenjene  pogodbo o obdelavi osebnih podatkov iz 28. člena Splošne uredbe.

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba o varstvu podatkov), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju: ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju: ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.

 

IP uvodoma pojasnjuje, da lahko posamezne primere obdelave podatkov konkretno presoja le v okviru inšpekcijskega postopka.

 

Za zakonito obdelavo osebnih podatkov je treba imeti ustrezno pravno podlago. Splošna uredba o varstvu podatkov določa pravne podlage v prvem odstavku 6. člena, ki določa, da je obdelava zakonita le in kolikor je izpolnjen vsaj eden od naslednjih pogojev:

(a) posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov;

(b) obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe;

(c) obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca;

(d) obdelava je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe;

(e) obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu;

(f) obdelava je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok.«.

Ob tem je treba upoštevati, da se zadnja točka (f) ne more uporabljati za obdelavo s strani javnih organov pri opravljanju njihovih nalog.

 

Pravne podlage za obdelavo osebnih podatkov v javnem sektorju, kamor spadajo tudi občine, so nadalje določene v še vedno veljavnem 9. členu ZVOP-1, ki v prvem odstavku določa, da se osebni podatki v javnem sektorju lahko obdelujejo, če obdelavo osebnih podatkov in osebne podatke, ki se obdelujejo, določa zakon. Z zakonom se lahko določi tudi, da se določeni osebni podatki obdelujejo le na podlagi osebne privolitve posameznika.

 

Zakon o lokalni samoupravi (v nadaljevanju: ZLS) opredeljuje pooblastila občine glede obdelave osebnih podatkov v 21.a členu v povezavi z 21. členom tega zakona. Občina v skladu z 21. členom samostojno opravlja lokalne zadeve javnega pomena (izvirne naloge), ki jih določi s splošnim aktom občine ali so določene z zakonom. V skladu z 21.a členom ZLS občina pridobiva podatke, ki jih potrebuje za opravljanje nalog iz svoje pristojnosti, jih obdeluje ter opravlja statistično, evidenčno in analitično funkcijo za svoje potrebe. Občina pridobiva in obdeluje o posameznikih naslednje osebne podatke: EMŠO, osebno ime, naslov stalnega ali začasnega prebivališča, datum in kraj rojstva oziroma datum smrti, podatke o osebnih vozilih, podatke o nepremičninah ter druge osebne podatke v skladu z zakonom. Na podlagi zahteve, ki vsebuje navedbo pravne podlage obdelovanja osebnih podatkov, lahko občina osebne podatke pridobi tudi od upravljavca centralnega registra prebivalstva, matičnega registra, zemljiškega katastra ali drugega upravljavca, če tako določa zakon. Upravljavec zbirke podatkov mora občini omogočiti dostop tudi do drugih podatkov iz zbirke, če je to določeno z zakonom in če te podatke občina potrebuje za izvajanje svojih z zakonom določenih pristojnosti. Navedene določbe predstavljajo izrecno zakonsko podlago za pridobivanje osebnih podatkov s strani posamezne občine, ki jih potrebuje za izvajanje katere od zakonsko podeljenih nalog.

 

Pot, po kateri javna podjetja pridobivajo osebne podatke, kot tudi pravna podlaga po kateri smejo javna podjetja pridobivati podatke, ki jih potrebujejo za opravljanje javne službe, je opredeljena v 6. odstavku 21.a člena ZLS, ki določa, da občina lahko, zaradi izvajanja nalog iz svoje pristojnosti v skladu z nameni in pod pogoji določenimi v zakonu, posreduje pridobljene podatke fizičnim in pravnim osebam. ZLS ne vsebuje podlage za neposredno pridobivanje podatkov iz posameznih uradnih evidenc, ki jih vodijo državni organi, s strani javnih podjetij. Iz 6. odstavka 21.a člena ZLS tako izhaja odgovor na vaše prvo vprašanje. Glede na to, da ZLS javnim podjetjem ne daje pravice za pridobivanje osebnih podatkov iz uradnih evidenc državnih organov neposredno, pač pa ravno nasprotno, določa, da te podatke javna podjetja lahko dobijo od občine, javna podjetja te podatke lahko pridobijo le preko občine. Pri tem IP še dodaja, da tudi določba 60. člena Odloka o oskrbi z vodo na območju Občine Slovenska Bistrica, ki jo izpostavljate v dopolnitvi vašega zaprosila za mnenje, javnemu podjetju ne daje pravice do neposrednega pridobivanja osebnih podatkov iz uradnih evidenc od državnih organov, saj gre za občinski odlok, ki ima kot tak naravo podzakonskega predpisa, pri čemer je skladno z določbo 38. člena Ustave RS potrebno, da  zbiranje, obdelovanje, namen uporabe, nadzor, in varstvo tajnosti osebnih podatkov določa zakon, kar pa občinski odlok ni.

 

IP na tem mestu še opozarja na določbo 22. člena ZVOP-1, ki bi eventualno lahko predstavljala podlago za neposredno pridobivanje podatkov iz CRP s strani javnih podjetij. Navedena določba določa, da mora upravljavec centralnega registra prebivalstva ali evidenc stalno in začasno prijavljenih prebivalcev na način, ki je določen za izdajo potrdila, posredovati upravičencu, ki izkaže pravni interes za uveljavljanje pravic pred osebami javnega sektorja, osebno ime in naslov stalnega ali začasnega prebivališča posameznika, zoper katerega uveljavlja svoje pravice. Javna podjetja, ki torej izkažejo pravni interes za uveljavljanje pravic pred osebami javnega sektorja, lahko neposredno od MNZ pridobivajo podatke iz CRP, vendar po pravkar citirani zakonski določbi izključno podatke o imenu, priimku ter naslovu prebivališča.

 

V zvezi z vašim drugim vprašanjem IP pojasnjuje, da v primerih, kadar obstaja pravna podlaga za pridobivanje osebnih podatkov iz zbirk osebnih podatkov določenega upravljavca (konkretno občine), je način samega posredovanja podatkov mogoč tako na podlagi posameznih pisnih poizvedb, ali pa se omogoči pridobivanje podatkov v okviru neposrednih elektronskih dostopov do zbirk podatkov. Ne v prvem, ne v drugem primeru pa ne gre za obdelave v smislu 28. člena Splošne uredbe, zato sklenitev dogovorov z vsebino iz 28. člena Splošne uredbe med občino in javnim podjetjem ni potrebna. Ne glede na navedeno, pa IP opozarja, da mora upravljavec osebnih podatkov pri omogočanju tovrstnih neposrednih dostopov ustrezno poskrbeti za izpolnjevanje dolžnosti iz 32. člena Splošne uredbe in zagotoviti stalno zaupnost, celovitost, dostopnost ter odpornost sistemov za obdelavo in pri tem zagotoviti vse organizacijske, tehnične in logično-tehnične postopke in ukrepe, s katerimi se varujejo osebni podatki, preprečuje slučajno ali namerno nepooblaščeno uničevanje podatkov, njihova sprememba ali izguba ter nepooblaščena obdelava (24. člena ZVOP-1 v povezavi s 1. odstavkom 25. člena ZVOP-1). Posebej IP pri tem izpostavlja zahtevo iz 2. odstavka 24. člena ZVOP-1, po kateri mora v primeru obdelave osebnih podatkov, ki so dostopni preko telekomunikacijskega sredstva ali omrežja, strojna, sistemska in aplikativno programska oprema zagotavljati, da je obdelava osebnih podatkov v zbirkah osebnih podatkov v mejah pooblastil uporabnika osebnih podatkov, kar pomeni, da je potrebno pri opredeljevanju dostopnih pravic ter urejanju nivojskih dostopov posameznim uporabnikom iz javnega podjetja onemogočiti dostop do vseh tistih osebnih podatkov, ki so del evidence, do katerih javno podjetje ni upravičeno dostopati. Prav tako je pri uporabi tovrstnih dostopov potrebno zagotavljati tako zunanjo, kot tudi notranjo sledljivost obdelav osebnih podatkov, ki bo omogočala poznejše ugotavljanje, kdaj so bili posamezni osebni podatki vneseni v zbirko osebnih podatkov, uporabljeni ali drugače obdelani in kdo je to storil, in sicer za obdobje, ko je mogoče zakonsko varstvo pravice posameznika zaradi nedopustnega posredovanja ali obdelave osebnih podatkov. Nenazadnje pa bo občina smela neposredni dostop do lastnih evidenc omogočiti zgolj tistim osebam, ki bodo ustrezno poučene o dolžnostih, ki zagotavljajo spoštovanje vseh pogojev iz člena 32(1)(b), kot je npr. dolžnosti v zvezi z varovanjem gesel, obdelavi osebnih podatkov izključno za določene namene, ipd..

 

V upanju, da vam bo naš odgovor v pomoč, vas lepo pozdravljamo,

 

 

 

Informacijski pooblaščenec:

Mojca Prelesnik, univ. dipl. prav.,

pooblaščenka