Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Iskalnik po mnenjih GDPR

+ -
Datum: 04.11.2019
Naslov: Zavarovanje OP
Številka: 0712-1/2019/2419
Vsebina: Pogodbena obdelava podatkov, Pravne podlage, Vrtec, Zavarovanje osebnih podatkov
Pravni akt: Mnenje

Informacijski pooblaščenec (v nadaljevanju IP) je prejel vaše zaprosilo za mnenje, in sicer navajate, da v vašem zavodu preko zunanjih izvajalcev organizirate drsanje in letovanje otrok, pri čemer omenjeno storitev plačajo starši sami. Zavod je v opisanem primeru nekakšen posrednik pri komunikaciji med izvajalcem in starši. Prav tako sodelujete pri organizaciji v smislu, da otroke pripeljete na drsanje. Nadalje navajate, da izvajalec prinese odprte pogodbe in položnice in želi, da jih posredujete staršem. Slednje pomeni, da jih šofer iz tajništva pripelje v enoto (15 enot na različnih lokacijah ), kjer vzgojiteljica razdeli pogodbe staršem, ko pripeljejo ali odpeljejo otroke. Opominjanje za neplačano storitev poteka na enak način. Sporno se vam zdi, da dokumenti z osebnim podatki potujejo naokoli.

 

IP uvodoma pojasnjuje, da na podlagi informacij, ki jih prejme s strani prosilcev,  skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju – Splošna uredba), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1 - v nadaljevanju ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 - v nadaljevanju ZInfP) izdaja neobvezujoča mnenja v zvezi z vprašanji s področja varstva osebnih podatkov. Ob tem IP poudarja, da izven postopka inšpekcijskega nadzora ali upravnega postopka konkretnih obdelav osebnih podatkov ne more presojati.

 

Obdelava osebnih podatkov je na podlagi prvega odstavka 6. člena Splošne uredbe zakonita le in kolikor je izpolnjen vsaj eden od naslednjih pogojev:

  1. posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov;
  2. obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe;
  3. obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca;
  4. obdelava je potrebna za zaščito posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe;
  5. obdelava je potrebna za opravljanje nalog v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu;
  6. obdelava je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok (ta točka se ne uporablja za obdelavo s strani javnih organov pri opravljanju njihovih nalog).

 

Izhajajoč iz navedb v posredovanem zaprosilu za mnenje, IP ne more z gotovostjo zatrditi, katera od navedenih pravnih podlag bi prišla v poštev za konkreten primer in vam tako v okviru mnenja ne more podati dokončnega odgovora, prav tako ne more presojati, ali zunanji izvajalec v konkretnem primeru nastopa kot upravljavec ali obdelovalec osebnih podatkov. Povedano drugače, ali zunanji izvajalec zbira osebne podatke po naročilu in za račun vrtca ali pa v svojem imenu in na svoj račun ter za lastne namene. Obdelovalci so namreč tiste organizacije oziroma posamezniki, ki po naročilu določenega upravljavca (npr. vas kot naročnika) in v skladu z njegovimi zahtevami za določeno nalogo oziroma namen zanj obdelujejo osebne podatke. Pri določanju, kdo je upravljavec in kdo obdelovalec osebnih podatkov je ključno, kakšna je vloga določenega subjekta pri pridobivanju podatkov, izvrševanju pravic do vpogleda, brisanja posameznikov, nabora osebnih podatkov, določanja namenov in sredstev obdelave, dejanskega dostopa do baze osebnih podatkov, ki se obdelujejo.

 

Več o ureditvi pogodbene obdelave v skladu z Uredbo lahko preberete na spletni strani IP, in sicer na tej povezavi: https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/kljucna-podrocja-uredbe/pogodbena-obdelava/.

 

Poleg navedenega vam svetujemo tudi, da se seznanite z vsebino mnenja, št. 0712-1/2019/1169 z dne 16. 5. 2019, ki se nanaša na pogodbeno obdelavo in se nahaja na tej povezavi: https://www.ip-rs.si/vop/?tx_jzgdprdecisions_pi1%5BshowUid%5D=551.

 

Glede vašega pomisleka, da se vam zdi sporno, da dokumenti z osebnimi podatki potujejo okoli, IP dodaja, da področje varnosti obdelave osebnih podatkov urejata tako Splošna uredba kot Zakon o varstvu osebnih podatkov (Uradni list RS, št. 94/07 – uradno prečiščeno besedilo; v nadaljevanju ZVOP-1), ki v tem primeru uporablja izraz zavarovanje. Zavarovanje v skladu s še veljavnim prvim odstavkom 24. člena ZVOP-1 obsega organizacijske, tehnične in logično-tehnične postopke in ukrepe, s katerimi se varujejo osebni podatki, preprečuje slučajno ali namerno nepooblaščeno uničevanje podatkov, njihova sprememba ali izguba ter nepooblaščena obdelava tako, da se med drugim preprečuje nepooblaščen dostop do osebnih podatkov pri njihovem prenosu, vključno s prenosom po telekomunikacijskih sredstvih in omrežjih (3. točka prvega odstavka 24. člena ZVOP-1). Pri čemer so v skladu s še veljavnim prvim odstavkom 25. člena  ZVOP-1 upravljavci osebnih podatkov in pogodbeni obdelovalci dolžni zagotoviti zavarovanje osebnih podatkov na prej navedeni način. Poleg določb ZVOP-1 je potrebno upoštevati še člen 32 Splošne uredbe, da upravljavec in obdelovalec, ob upoštevanju narave, obsega, okoliščin in namenov obdelave, pa tudi tveganja za pravice in svoboščine posameznikov, z izvajanjem ustreznih tehničnih in organizacijskih ukrepov zagotavljata ustrezno raven varnosti glede na tveganje, in primeroma navaja ukrepe, s katerimi se zagotavlja varnost osebnih podatkov. Pri določanju ustrezne ravni varnosti se upoštevajo zlasti tveganja, ki jih pomeni obdelava, zlasti zaradi nenamernega ali nezakonitega uničenja, izgube, spremembe, nepooblaščenega razkritja ali dostopa do osebnih podatkov, ki so poslani, shranjeni ali kako drugače obdelani. Ob tem je potrebno upoštevati tudi načelo najmanjšega obsega podatkov (točka c prvega odstavka člena 5 Splošne uredbe). Sklano z omenjenim členom morajo biti osebni podatki ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo.

 

To pomeni, da morajo biti osebni podatki ves čas prenosa pošiljke, od oddaje do vročitve naslovniku, ustrezno zavarovani, pri čemer so postopki in ukrepi zavarovanja odvisni od tveganja, ki ga predstavlja prenos in narave osebnih podatkov, ki se prenašajo. Osebni podatki, ki se prenašajo s poštnimi pošiljkami oz. preko kurirja, morajo biti zavarovani na način, da se prepreči nepooblaščena seznanitev z osebnimi podatki, ki se prenašajo. Navedeno pomeni, da so npr. pogodbe o storitvi oz. opomini za neplačano storitev, posredovani v zaprtih ovojnicah, zlepljene na način, s katerim se zagotovi, da se le-te ob sortiranju, rokovanju in prenosu ne trgajo ali odpirajo.

 

Iz zapisanega torej izhaja, da morajo biti osebni podatki ves čas prenosa ustrezno zavarovani s postopki in ukrepi, ki nepooblaščenim osebam preprečujejo dostop do osebnih podatkov, pri čemer so postopki in ukrepi zavarovanja odvisni od tveganja, ki ga predstavlja prenos, in vrste osebnih podatkov, ki se prenašajo. IP ponovno poudarja, da slednja obveznost velja tako za upravljavce, kot tudi obdelovalce osebnih podatkov.

 

V upanju, da ste dobili odgovor na vaše vprašanja, vas lepo pozdravljamo.

 

 

Mojca Prelesnik, univ. dipl. prav.,

informacijska pooblaščenka