Izdelava ocene učinka

Datum

23.05.2023

Številka

07120-1/2023/290

Kategorije

Ocene učinkov v zvezi z varstvom podatkov, Pridobivanje OP iz zbirk

Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaše zaprosilo za mnenje glede izdelave ocene učinka na varstvo podatkov.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22; v nadaljevanju: ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, 51/07 – ZUstS-A; ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

IP svetuje, da v pripravo oceno učinka vključite predstavnike vseh vključenih upravljavcev (in morebitnih obdelovalcev), saj je za njeno izdelavo potrebno poznavanje vključenih sistemov, same tehnične rešitve in tudi tveganj, ki se ob tem pojavljajo.

IP vsekakor priporoča, da se v primerih povezovanja sklene ustrezen sporazum med upravljavcema oziroma upravljavci, v katerem se jasno opredelijo vsa vprašanja s področja varstva podatkov.

Obrazložitev

IP uvodoma poudarja, da v okviru neobvezujočega mnenja ne more podajati celovite ocene predvidenih dejanj obdelave osebnih podatkov v konkretnem primeru. Dokončno presojo zakonitosti obdelave osebnih podatkov lahko IP poda le v konkretnem nadzornem ali drugem upravnem postopku.

IP pojasnjuje, da ZVOP-2 v prvem odstavku 87. člena določa, da kadar se posebne vrste osebnih podatkov, osebni podatki v zvezi s kazenskimi obsodbami in prekrški, podatki o dohodkih v skladu z zakonom, ki ureja dohodnino, podatki o premoženju posameznika v skladu z zakonom, ki ureja uveljavljanje pravic iz javnih sredstev, podatki o nepremičninah v lasti posameznika v skladu z drugimi zakoni, podatki oziroma informacije o kreditni sposobnosti v skladu z zakonom, ki ureja centralni kreditni register, ter uradne evidence v skladu z zakonom, ki ureja naloge in pooblastila policije, in zakonom, ki ureja preprečevanje pranja denarja in financiranja terorizma, obdelujejo v uradnih evidencah ali javnih knjigah, se jih lahko povezuje med seboj ali z drugimi zbirkami samo, če taka povezovanja izrecno določa zakon. V skladu z drugim odstavkom 87. člena mora upravljavec oziroma obdelovalec pred začetkom povezovanja zbirk iz prejšnjega odstavka izdelati oceno učinka po 35. členu Splošne uredbe in se posvetovati z nadzornim organom po 36. členu Splošne uredbe.

IP splošno pojasnjuje, da je izdelava ocene učinka naloga upravljavca oziroma vseh vključenih upravljavcev (in morebitnih obdelovalcev). IP vam tako svetuje, da natančno proučite delovanje predvidene tehnične rešitve, preko katere se bo izvajalo nameravano povezovanje zbirk osebnih podatkov, ter natančno opredelite posamezne podatkovne tokove za predvidene oblike obdelav osebnih podatkov v okviru informacijskih sistemov vključenih upravljavcev, ki jih navajate v vašem zaprosilu za mnenje. Ob tem IP dodaja, da aplikacijski gradnik Pladenj, katerega upravljavec je MJU RS, služi kot centralna točka za izvajanje elektronskih poizvedb na podatkovne vire in tako predstavlja neke vrste tehnični posrednik med poizvedovalnim sistemom oziroma odjemalcem na eni strani ter podatkovnimi viri na drugi strani.

IP tako svetuje, da v pripravo oceno učinka vključite predstavnike vseh vključenih upravljavcev (in morebitnih obdelovalcev), saj je za njeno izdelavo potrebno poznavanje vključenih sistemov, same tehnične rešitve in tudi tveganj, ki se ob tem pojavljajo. IP ob tem poudarja, da je ocena učinkov primarno namenjena upravljanju s tveganji in njihovi minimizaciji. Ob tem prinaša tudi druge pozitivne učinke, predvsem pa je namenjena pravočasni identifikaciji tveganj in sprejemu ustreznih ukrepov za njihovo obvladovanje tveganj, s čimer lahko upravljavci (in obdelovalci) preprečite, da bi prišlo do kršitve zakonodaje.

IP ob tem splošno dodaja, da je treba v vseh primerih povezovanja zbirk ob izdelavi ustrezne tehnične rešitve jasno opredeliti vloge vključenih upravljavcev in preveriti tudi morebiten obstoj njihovega skupnega upravljavstva glede na specifike konkretne vzpostavljene rešitve za povezovanje. Ob morebitnem obstoju skupnega upravljavstva je ključna dolžnost skupnih upravljavcev sklenitev ustreznega medsebojnega dogovora skladno z določbami 26. člena Splošne uredbe. Več informacij o skupnih upravljavcih je dostopnih na spletni strani IP:

https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/ključna-področja-uredbe/skupni-upravljavci

IP se v okviru neobvezujočega mnenja ne more vnaprej opredeljevati glede ustreznosti izvedbe predvidenega povezovanja, vsekakor pa priporoča, da se sklene ustrezen sporazum med upravljavcema oziroma upravljavci, v katerem se jasno opredelijo vsa vprašanja s področja varstva podatkov, še posebno pozornost pa se nameni varstvu osebnih podatkov med samim prenosom med upravljavci in ustreznemu zagotavljanju sledljivosti obdelav osebnih podatkov. Ob tem IP dodaja, da se vloga pooblaščene osebe za varstvo podatkov (ang. DPO) v teh postopkih v ničemer ne razlikuje od njene vloge v drugih postopkih v zvezi z obdelavo osebnih podatkov in jo je primarno treba razumeti kot neodvisnega notranjega svetovalca in »revizorja« glede obdelav osebnih podatkov. V tem okviru DPO tudi poda mnenje na izdelano oceno učinka, vsekakor pa njena izdelava ni naloga DPO.

IP sklepno pojasnjuje, da je več informacij o oceni učinka dostopnih na spletni strani IP:

https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/ključna-področja-uredbe/ocena-učinka-v-zvezi-z-varstvom-podatkov/

Lepo vas pozdravljamo,

Pripravil

Matej Sironič, Svetovalec pooblaščenca za varstvo osebnih podatkov

Mojca Prelesnik, univ. dipl. prav., Informacijska pooblaščenka