Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Iskalnik po mnenjih GDPR

+ -
Datum: 25.10.2019
Naslov: Dostop sveta do dokumentacije v postopku izbire direktorja
Številka: 0712-1/2019/2199
Vsebina: Pravne podlage, Zavarovanje osebnih podatkov
Pravni akt: Mnenje

Obrnili ste se na Informacijskega pooblaščenca RS (v nadaljevanju IP) s svojim zaprosilom za mnenje. Pojasnjujete, da ste članica sveta javnega zavoda Socialnovarstveni zavod Hrastovec. Pred sejo, na kateri ste glasovali o izbiri novega direktorja zavoda, člani sveta niste prejeli gradiva - programov kandidatov. Navajate, da bi morali skladno z vašim poslovnikom vso pripadajočo dokumentacijo dobiti po elektronski pošti vsaj teden dni pred sejo, izjemoma pa 3 dni prej. Razlog za ne-posredovanje dokumentacije v konkretnem primeru naj bi bil varstvo osebnih podatkov. Ne razumete, zakaj niste bili upravičeni prejeti programa dela kandidatov, saj v njih ni bilo (razen imena) niti enega drugega osebnega podatka.

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba o varstvu podatkov), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašimi vprašanji.

 

IP uvodoma pojasnjuje, da je svet zavoda del upravljavca osebnih podatkov (Socialnovarstveni zavod Hrastovec je upravljavec). Za posredovanje osebnih podatkov znotraj upravljavca se ne zahteva obstoj samostojne pravne podlage v smislu člena 6(1) Splošne uredbe. Pogoje za posredovanje osebnih podatkov znotraj upravljavca se presoja v okviru določb varnosti osebnih podatkov, ki jih predpisujeta 25. in 14. člen ZVOP-1 in člen 32 Splošne uredbe; podrobnejše pogoje glede zavarovanja osebnih podatkov pa določajo tudi interna pravila upravljavca. Iz navedenih določb zlasti izhaja, da mora upravljavec upoštevaje tveganja za pravice in svoboščine posameznikov, določiti ustrezne ukrepe za varno obdelavo osebnih podatkov.

 

Iz Statuta Socialnovarstvenega zavoda Hrastovec izhaja, da svet imenuje direktorja zavoda. Glede na navedeno IP meni, da ni ovir z vidika varstva osebnih podatkov, da se svet zavoda ne bi smel seznaniti z osebnimi podatki kandidatov (vključno s programom dela in življenjepisom), saj navsezadnje na podlagi teh dokumentov odloča o njihovem imenovanju.

 

Kot izhaja iz vašega mnenja je bil v konkretnem primeru problematičen zlasti način posredovanja informacij (da dokumentov niste prejeli pred sejo po elektronski pošti). V omenjenem 32. členu Splošna uredba v osnovi predpisuje izbiro ustreznih ukrepov glede na tveganje, ki ga prinaša obdelava. Dodatno obveznost v zvezi z varnostjo posredovanja osebnih podatkov po elektronski poti predpisuje ZVOP-1, ki v drugem odstavku 14. člena določa, da se pri prenosu občutljivih osebnih podatkov preko telekomunikacijskih omrežij šteje, da so podatki ustrezno zavarovani, če se posredujejo z uporabo kriptografskih metod in elektronskega podpisa tako, da je zagotovljena njihova nečitljivost oziroma neprepoznavnost med prenosom. Občutljivi osebni podatki oz. po Splošni uredbi posebne vrste osebni podatki so tudi tisti, ki se nanašajo na politično, versko in filozofsko prepričanje posameznika.

 

IP se izven konkretnega inšpekcijskega postopka (kjer upošteva vse okoliščine primera) ne more opredeliti do narave podatkov, ki jih vsebuje program dela kandidatov za direktorja javnega zavoda oziroma njihovi življenjepisi, kot tudi ne more komentirati ustreznosti internih ukrepov za varnost osebnih podatkov, ki jih prevzema upravljavec glede na tveganje. Slednje lahko ugotavlja le v konkretnem inšpekcijskem postopku in še to le z vidika nezadostnega zavarovanja zbirk osebnih podatkov (torej ne z vidika morebitnega pretiranega zavarovanja zbirk). IP ob tem še dodaja, da v praksi dopušča, da se šteje za ustrezno zavarovanje tudi, če se občutljivi osebni podatki posredujejo po elektronski pošti, če je pošta kriptirana z uporabo prosto dostopne programske opreme, dokument pa je zavarovan z geslom, ki se naslovniku sporoči po drugem mediju (npr. osebno).

 

Lep pozdrav,

 

 

Mojca Prelesnik, univ. dipl. prav.

informacijska pooblaščenka

 

 

Pripravil:

Anže Novak, univ. dipl. prav.                                       

Svetovalec Pooblaščenca za preventivo