Vpogled občinskih inšpektorjev v aplikacijo PISO

Datum

02.12.2025

Številka

07120-1/2025/522

Kategorije

Inšpekcijski postopki, Občine, Varnost osebnih podatkov

Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaše zaprosilo za mnenje glede vpogleda v lastništvo parcel v aplikaciji PISO za namene nadzornih in drugih postopkov.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22, 40/25 – ZInfV-1; v nadaljevanju: ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, 51/07 – ZUstS-A; ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

IP v okviru neobvezujočega mnenja ne more presojati zakonitosti konkretnih obdelav osebnih podatkov.

IP ni prepovedal pridobivanja podatkov o lastništvu parcel v aplikaciji PISO za namene nadzornih in drugih postopkov, ampak je izpostavil problematiko delovanja same aplikacije, ki jo je treba nujno uskladiti z določbami Splošne uredbe.

Obrazložitev

IP uvodoma poudarja, da lahko podaja neobvezujoča mnenja in pojasnila, ne sme pa izven konkretnih nadzornih ali drugih upravnih postopkov preverjati primernosti izbrane pravne podlage ali namenov oziroma obsega obdelave osebnih podatkov v konkretnem primeru.

IP glede na navedbe v vašem zaprosilu za mnenje uvodoma pojasnjuje še, da IP ni prepovedal pridobivanja podatkov o lastništvu parcel v aplikaciji PISO za namene nadzornih postopkov, ampak je izpostavil problematiko delovanja same aplikacije, ki jo je treba nujno uskladiti z določbami Splošne uredbe in vsekakor presega zgolj uporabo s strani občinskih inšpektorjev.

IP splošno pojasnjuje, da mora imeti upravljavec za vsako obdelavo osebnih podatkov zakonito in ustrezno pravno podlago. Prvi odstavek 6. člena ZVOP-2 določa, da se osebni podatki lahko obdelujejo le takrat in v obsegu, kadar je to v skladu s pravnimi podlagami za obdelavo osebnih podatkov iz prvega odstavka 6. in 9. člena Splošne uredbe. Ta v prvem odstavku 6. člena določa različne pravne podlage za zakonito obdelavo osebnih podatkov. Obdelava je tako zakonita le in kolikor je za konkretni namen obdelave in konkretne osebne podatke izpolnjen eden od naslednjih pogojev:

(a)posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov;

(b)obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe;

(c)obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca;

(d)obdelava je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe;

(e)obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu;

(f)obdelava je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok.«.

IP pojasnjuje, da je bilo v predmetnem postopku ugotovljeno, da upravljavec evidence konkretnemu podjetju kot pogodbenemu obdelovalcu občin preko distribucijskega sistema Geodetske uprave RS omogoča on-line dostop do osebnih podatkov iz Katastra nepremičnin, vključno z osebnimi podatki. Na ta način pogodbenemu obdelovalcu občin omogoča avtomatizirano in paketno izvažanje osebnih podatkov ter dopušča možnost, da iz zbirke osebnih podatkov (Katastra nepremičnin) ustvari nove zbirke osebnih podatkov (glede na naslove, ki se nahajajo v območju posamezne občine).

IP je v postopku tako ugotovil, da je občinam oziroma njihovemu pogodbenemu obdelovalcu periodično, tedensko in avtomatizirano, brez posamične zahteve omogočeno tudi paketno izvažanje osebnih podatkov iz Katastra nepremičnin, ob tem pa ni jasno, za katero posamezno nalogo iz 21. člena ZLS si je posamezna občina iz Katastra nepremičnin izvozila vsak posamezni paket osebnih podatkov in kako je glede na to določila konkretni nabor oseb in konkretne vrste podatkov, ki so bili z vsakim posameznim paketom posredovani občini oziroma pogodbenemu obdelovalcu. Izvoz paketov se namreč izvaja avtomatično in periodično, ne glede na to, ali občina podatke potrebuje za konkretno nalogo v konkretnem časovnem obdobju. To pomeni, da se pred vsakokratnim omogočanjem takšnega zajema osebnih podatkov s strani občin iz Katastra nepremičnin ne presodi, ali je vsaka posamična zahteva za pridobivanje osebnih podatkov iz Katastra nepremičnin utemeljena in ustreza posamezni konkretni nalogi občine iz 21. člena ZLS. IP je zato ugotovil, da za takšno omogočanje izvoza osebnih podatkov iz Katastra nepremičnin upravljavec nima pravne podlage in ne zagotavlja ustrezne varnosti osebnih podatkov, saj za posamezna posredovanja ne more izkazati, na podlagi katere konkretne zahteve so bili posamezni osebni podatki posredovani, kot to določajo določbe 24., 25. in 32. člena Splošne uredbe.

IP povzema, da v konkretnem primeru problem torej ni v pravni podlagi (relevantne določbe ZLS še vedno predstavljajo ustrezno pravno podlago za dostop do podatkov), ampak v načinu, na katerega je bila sama aplikacija zasnovana. IP tako ni prepovedal pridobivanja podatkov o lastništvu parcel v aplikaciji PISO za namene nadzornih in drugih postopkov, ampak je izpostavil zgoraj izpostavljeno problematiko delovanja same aplikacije, ki jo je treba nujno uskladiti z določbami Splošne uredbe in tako zagotoviti zakonitost predmetnih obdelav osebnih podatkov. Naloga ustrezne zasnove oziroma uskladitve aplikacije PISO (ali morebitne druge aplikacije) ter urejanje dostopa do podatkov je v celoti na upravljavcu. IP v tem postopku nima nobene vloge, zato vam svetuje, da se s konkretnimi vprašanji obrnete na upravljavca (GURS).

Lepo vas pozdravljamo.

Pripravil:

Matej Sironič,

Svetovalec pooblaščenca I

dr. Jelena Virant Burnik,

Informacijska pooblaščenka