Obdelava OP zaposlenih v knjižnicah ob prijavi na izobraževanja

Datum

25.04.2025

Številka

07120-1/2025/187

Kategorije

Delovna razmerja, EMŠO in davčna, Knjižničarstvo, Pravne podlage

Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaše zaprosilo za mnenje glede enolične identifikacije zaposlenih v knjižnicah ob prijavi na različna izobraževanja, ki jih izvajate.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22; ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba o varstvu podatkov) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, 51/07 – ZUstS-A; ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

IP kot nadzorni organ na področju varstva osebnih podatkov v okviru neobvezujočega mnenja ne more presojati skladnosti konkretne rešitve, ki ste jo opisali v vašem zaprosilu za mnenje, s predpisi s področja varstva osebnih podatkov.

ZVOP-2 v drugem odstavku 6. člena določa, da je obdelava osebnih podatkov v javnem sektorju in v zasebnem sektorju zaradi izvajanja zakonske obveznosti, javnega interesa ali izvajanja javne oblasti v primerih iz točk c) in e) prvega odstavka ter drugega in tretjega odstavka 6. člena Splošne uredbe zakonita le, če obdelavo osebnih podatkov, vrste osebnih podatkov, ki naj se obdelujejo, kategorije posameznikov, na katere se ti osebni podatki nanašajo, namen njihove obdelave in rok hrambe osebnih podatkov ali rok za redni pregled potrebe po hrambi določa zakon.

Eventualno pravno podlago za obdelavo osebnih podatkov, ki jo opisujete v vašem zaprosilu za mnenje, bi tako lahko predstavljala omenjena določba četrtega odstavka ZVOP-2, kjer je določeno, da se ne glede na določbe drugega odstavka tega člena za izvrševanje točke e) prvega odstavka 6. člena Splošne uredbe lahko v javnemu sektorju izjemoma obdelujejo tisti osebni podatki, ki so nujno potrebni za izvrševanje zakonitih pristojnosti, nalog ali obveznosti javnega sektorja, če se s to obdelavo ne poseže v upravičen interes posameznika, na katerega se osebni podatki nanašajo.

Upravljavec mora pred uvedbo posamezne rešitve (v konkretnem primeru postopka registracije uporabnika) presoditi dopustnost in sorazmernost obdelav osebnih podatkov, ki bodo obdelovani v njenem okviru.

Upravljavec mora presoditi, ali je za registracijo uporabnika nujno potrebna obdelava vseh osebnih podatkov, ki jih zahteva, ter posamezniku ob pridobitvi njegovih osebnih podatkov (ob registraciji) zagotoviti tudi informacije o namenu in pravni podlagi za to obdelavo.

Obrazložitev

IP uvodoma poudarja, da lahko podaja neobvezujoča mnenja in pojasnila, ne sme pa izven konkretnih nadzornih ali drugih upravnih postopkov preverjati primernosti izbrane pravne podlage ali namenov oziroma obsega obdelave osebnih podatkov v konkretnem primeru. IP kot nadzorni organ na področju varstva osebnih podatkov v okviru mnenja tako ne more presojati skladnosti konkretnega ravnanja, ki ste ga opisali v vašem zaprosilu za mnenje, s predpisi s področja varstva osebnih podatkov, ampak v nadaljevanju podaja splošna pojasnila.

IP pojasnjuje, da mora vsaka obdelava osebnih podatkov potekati transparentno in skladno z določbami Splošne uredbe. Ta v prvem odstavku 6. člena določa, da je obdelava osebnih podatkov zakonita le in kolikor je za konkretni namen obdelave izpolnjen eden od naslednjih pogojev:

(a)posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov;

(b)obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe;

(c)obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca;

(d)obdelava je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe;

(e)obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu;

(f)obdelava je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok.

Ob tem je treba upoštevati, da se zadnja točka (f) ne more uporabljati za obdelavo s strani javnih organov pri opravljanju njihovih nalog.

Izbor ustrezne pravne podlage za posamezno obdelavo je obveznost upravljavca, ki mora pri tem upoštevati konkretne okoliščine in namene obdelave.

IP nadalje pojasnjuje, da Zakon o knjižničarstvu (Uradni list RS, št. 87/01, 96/02 – ZUJIK, 92/15; v nadaljevanju: ZKnj-1) v 44. členu določa naloge knjižničnega informacijskega servisa v nacionalnem bibliografskem sistemu, v 45. členu pa je določeno, da naloge knjižničnega informacijskega servisa izvaja javni zavod, lahko pa tudi druga pravna oseba na podlagi koncesije, ki jo podeli pristojno ministrstvo iz 58. člena tega zakona. Med nalogami knjižničnega informacijskega servisa v nacionalnem bibliografskem sistemu iz 44. člena je tudi organizacija strokovnega izobraževanja in svetovanja na področju dejavnosti, ki jih opravlja za nacionalni vzajemni bibliografski sistem.

IP ob tem pojasnjuje, da ZVOP-2 v drugem odstavku 6. člena določa, da je obdelava osebnih podatkov v javnem sektorju in v zasebnem sektorju zaradi izvajanja zakonske obveznosti, javnega interesa ali izvajanja javne oblasti v primerih iz točk c) in e) prvega odstavka ter drugega in tretjega odstavka 6. člena Splošne uredbe zakonita le, če obdelavo osebnih podatkov, vrste osebnih podatkov, ki naj se obdelujejo, kategorije posameznikov, na katere se ti osebni podatki nanašajo, namen njihove obdelave in rok hrambe osebnih podatkov ali rok za redni pregled potrebe po hrambi določa zakon (in torej ne hierarhično nižji pravni akt). Če je mogoče, se v zakonu določijo tudi uporabniki osebnih podatkov, posamezna dejanja obdelave in postopki obdelave ter drugi ukrepi za zagotovitev zakonite, poštene in pregledne obdelave. Nadalje ZVOP-2 v tretjem odstavku 6. člena določa, da se v javnem sektorju lahko v skladu s prvim odstavkom tega člena obdelujejo osebni podatki posameznika, ki je dal privolitev za obdelavo svojih osebnih podatkov za enega ali več določenih namenov, če tako možnost določa zakon, sicer pa na podlagi privolitve, če ne gre za izvrševanje zakonskih pristojnosti, nalog ali oblastnih obveznosti javnega sektorja. V četrtem odstavku istega člena pa je določeno, da se ne glede na določbe drugega odstavka tega člena za izvrševanje točke e) prvega odstavka 6. člena Splošne uredbe lahko v javnemu sektorju izjemoma obdelujejo tisti osebni podatki, ki so nujno potrebni za izvrševanje zakonitih pristojnosti, nalog ali obveznosti javnega sektorja, če se s to obdelavo ne poseže v upravičen interes posameznika, na katerega se osebni podatki nanašajo.

IP ugotavlja, da ZKnj-1 za namen prijave oseb, zaposlenih v knjižnicah, na strokovna izobraževanja, ne izpolnjuje zahtev drugega odstavka 6. člena ZVOP-2. Prav tako ZKnj-1 ne predvideva možnosti privolitve teh oseb za obdelavo njihovih osebnih podatkov v ta namen. Eventualno pravno podlago za obdelavo osebnih podatkov, ki jo opisujete v vašem zaprosilu za mnenje, bi tako lahko predstavljala omenjena določba četrtega odstavka ZVOP-2, kjer je določeno, da se ne glede na določbe drugega odstavka tega člena za izvrševanje točke e) prvega odstavka 6. člena Splošne uredbe lahko v javnemu sektorju izjemoma obdelujejo tisti osebni podatki, ki so nujno potrebni za izvrševanje zakonitih pristojnosti, nalog ali obveznosti javnega sektorja, če se s to obdelavo ne poseže v upravičen interes posameznika, na katerega se osebni podatki nanašajo. V tem primeru je seveda treba opraviti to tehtanje in ugotoviti stopnjo posega v upravičen interes posameznika, na katerega se osebni podatki nanašajo (v konkretnem primeru osebo, ki se prijavlja na izobraževanje). Ob tem IP posebej opozarja na načelo najmanjšega obsega podatkov, ki določa, da morajo biti pod pogojem, da obstaja pravna podlaga, osebni podatki, ki se obdelujejo, ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo. Navedeno načelo pomeni, da je potrebno obdelovati samo toliko osebnih podatkov, kolikor je nujno potrebno za dosego zakonitega namena obdelave (v konkretnem primeru prijavo na izobraževanje).

V skladu s 6. členom Zakona o centralnem registru prebivalstva (Uradni list RS, št. 72/06 – ZCRP-UPB1; v nadaljevanju: ZCRP) je EMŠO identifikacija za enoznačno opredelitev posameznika, ki je namenjena vodenju in vzdrževanju zbirk podatkov o prebivalstvu, povezovanju podatkov v teh zbirkah ter racionalizaciji dela državnih organov in drugih uporabnikov, ki imajo zakonsko podlago za uporabo EMŠO, pa tudi uresničevanju pravic in obveznosti posameznika. Uporaba EMŠO je določena v prvem odstavku 9. člena ZCRP, ki določa, da jo morajo uporabljati upravljavci zbirk podatkov, ki jih vodijo o posamezniku na podlagi zakona na področjih statistike, notranjih zadev, zdravstvenega varstva in zdravstvenega zavarovanja, davkov in carine, obrambe, geodetske službe, urejanja prostora in ekološke zaščite, zaposlovanja in spremljanja delovne sile, pokojninskega in invalidskega zavarovanja, pravosodja, šolstva, socialnega varstva in drugi uporabniki, določeni z zakonom oziroma upravljavci zbirk podatkov, določeni z zakonom, ki v teh zbirkah podatkov uporabljajo EMŠO.

IP posebej poudarja, da hkratno zbiranje dveh enoličnih identifikatorjev posameznika (EMŠO in davčna številka) ni potrebno, če se podatke zbira le za namen identifikacije posameznika. Tako izhaja tudi iz odločbe Ustavnega sodišča RS (U-I-229/03, z dne 9. 2. 2006), ki je (tudi) iz tega razloga delno razveljavilo Zakon o nepremičninskem posredovanju. Ustavno sodišče je navedlo, da »popolno identifikacijo posameznika omogoča tako podatek o EMŠO kot tudi podatek o davčni številki. To pa pomeni, da je določitev kar dveh podatkov, ki omogočata popolno identifikacijo posameznika, odveč, saj zadostuje zgolj eden.« IP zato predlaga, da se ponovno preveri namen zbiranja obeh navedenih osebnih podatkov v okviru evidence obveznikov. V kolikor se torej oba navedena osebna podatka zbirata le za namen identifikacije posameznika (v konkretnem primeru je temu tako), to ni potrebno. Na vaši ustanovi kot upravljavcu je torej odgovornost za odločitev o tem, katerega od identifikacijskih znakov zbirati in o obstoju pravne podlage za to. Ob tem gre premisliti, ali bi lahko prišel v poštev tudi kak drug identifikacijski znak.

IP nadalje pojasnjuje, da mora upravljavec pred uvedbo posamezne rešitve (v konkretnem primeru postopka registracije uporabnika) presoditi dopustnost in sorazmernost obdelav osebnih podatkov, ki bodo obdelovani v njenem okviru. Vsaka obdelava osebnih podatkov mora potekati transparentno in skladno z določbami Splošne uredbe. Upravljavec je tako dolžan posameznika seznaniti z rešitvijo, načinom njenega delovanja, namenom njene namestitve, nameni, za katere bodo pridobljeni podatki uporabljeni, ter o ostalih pomembnih vidikih obdelave osebnih podatkov, ki so določeni v 13. členu Splošne uredbe. Skladno z navedenim členom je dolžan upravljavec v primeru, kadar so bili osebni podatki pridobljeni od posameznika, na katerega se ti nanašajo, le-temu takrat, ko pridobi osebne podatke, zagotoviti naslednje informacije:

(a)identiteto in kontaktne podatke upravljavca in njegovega predstavnika, kadar ta obstaja;

(b)kontaktne podatke pooblaščene osebe za varstvo podatkov, kadar ta obstaja;

(c)namene, za katere se osebni podatki obdelujejo, kakor tudi pravno podlago za njihovo obdelavo;

(d)kadar obdelava temelji na točki (f) člena 6(1), zakonite interese, za uveljavljanje katerih si prizadeva upravljavec ali tretja oseba;

(e)uporabnike ali kategorije uporabnikov osebnih podatkov, kadar obstajajo;

(f)kadar je ustrezno, informacije o tem, da namerava upravljavec prenesti osebne podatke uporabniku v tretji državi ali mednarodni organizaciji, ter o obstoju ali neobstoju sklepa Komisije o ustreznosti ali v primeru prenosov iz člena 46 ali 47 ali drugega pododstavka člena 49(1) sklic na ustrezne ali primerne zaščitne ukrepe in sredstva za pridobitev njihove kopije ali kje so na voljo;

(g)tudi nekatere druge informacije, opredeljene v drugem odstavku istega člena.

Dodatno drugi odstavek 13. člena Splošne uredbe zahteva med drugim tudi zagotovitev informacij o roku hrambe, obstoju pravic posameznika in možnosti pritožbe nadzornemu organu.

IP na podlagi navedenega pojasnjuje, da je upravljavec odgovoren za izbiro rešitve in zakonitost ter sorazmernost obdelav osebnih podatkov, ki se izvajajo v okviru njenega delovanja. V skladu s tem morate tako v konkretnem primeru kot upravljavec spletnega portala presoditi, ali je za registracijo uporabnika nujno potrebna navedba vseh osebnih podatkov, ki jih zahtevate ob registraciji. Splošno gre sicer vse podatke obdelovati le takrat, ko je to resnično potrebno (ne na zalogo) in po vsebini primerno glede na namene, za katere se zbirajo oziroma nadalje obdelujejo.

IP sklepno ponavlja, da v okviru mnenja ne more dokončno presojati konkretnega ravnanja posameznega upravljavca. Presoja glede zakonitosti obdelave oziroma obstoja pravne podlage za obdelavo posameznih osebnih podatkov in odgovornost zanjo je vedno na upravljavcu osebnih podatkov.

Lepo vas pozdravljamo.

Pripravil

Matej Sironič, Svetovalec pooblaščenca I

dr. Jelena Virant Burnik, Informacijska pooblaščenka