Dostop do PISO pregledovalnika

Datum

14.02.2023

Številka

07120-1/2023/59

Kategorije

Občine, Pravne podlage, Pridobivanje OP iz zbirk, Varnost osebnih podatkov

Informacijski pooblaščenec (v nadaljevanju IP) je po e-pošti prejel vaše zaprosilo za mnenje. Navajate, da je občinska svetnica, ki je hkrati tudi predsednica krajevne skupnosti, na občinsko upravo naslovila prošnjo za dodelitev internega dostopa do PISO pregledovalnika, ki omogoča vpogled v osebne podatke lastnikov nepremičnin (osebno ime, naslov bivališča, EMŠO), vpogled v CRP in različne lokalne vsebine (kot npr. pobude za spremembo namenske rabe, odločbe o komunalnem prispevku, razne vloge, itd.) Administrator PISO pregledovalnika na občini lahko interni dostop delno omeji, in sicer v delu vpogleda v CRP in lastništva nepremičnin, ne more pa omejiti vpogleda v ostale navedene vsebine.

Občinska svetnica zatrjuje, da potrebuje dostop za namen opravljanja svojega dela oz. nalog občinske svetnice. Sprašujete, ali je takšna dodelitev internega dostopa do PISO pregledovalnika dopustna in če da, pod kakšnimi pogoji.

***

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22, ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A, ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

Občina kot upravljavec mora določiti (npr. z občinskim aktom), s katerimi podatki se lahko seznanijo njeni organi glede na njihove pristojnosti oz. konkretne naloge, ki jih opravljajo skladno z Zakonom o lokalni samoupravi oz. statutom občine. Vsaka oseba, ki se seznani z osebnimi podatki v vlogi zastopanja upravljavca, pa je dolžna podatke varovati in jih ne sme obdelovati za noben drug namen (npr. nezakonito posredovati tretjim osebam).

Obrazložitev

Pri tem IP uvodoma poudarja, da izven postopka inšpekcijskega nadzora oziroma drugega upravnega postopka konkretnih obdelav osebnih podatkov ne more presojati.

Za zakonito obdelavo osebnih podatkov mora obstajati pravna podlaga skladno s prvim odstavkom 6. člena Splošne uredbe:

(a)posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov;

(b)obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe;

(c)obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca;

(d)obdelava je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe;

(e)obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu;

(f)obdelava je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok.

Ob tem opozarjamo, da se točka (f) ne uporablja za obdelavo s strani javnih organov pri opravljanju njihovih nalog.

Pojasnjujemo, da je občinski svet po 28. členu Zakona o lokalni samoupravi (Uradni list RS, št. 94/07 – uradno prečiščeno besedilo, 76/08, 79/09, 51/10, 40/12 – ZUJF, 14/15 – ZUUJFO, 11/18 – ZSPDSLS-1, 30/18, 61/20 – ZIUZEOP-A in 80/20 – ZIUOOPE; ZLS) organ občine, občina pa je samostojna oseba javnega prava (7. člen ZLS). Glede na to, da je občinski svet organ občine, kot upravljavec v tej zadevi nastopa občina kot celota in gre pri dostopanju do osebnih podatkov za dostop do osebnih podatkov znotraj upravljavca. Opozorimo naj, da mora občina tako pri izvajanju svojih nalog, kakor tudi pri snovanju svojih internih pravil, zagotoviti spoštovanje pravil in načel varstva osebnih podatkov (določena so v 5. členu Splošne uredbe). Občina kot upravljavec mora določiti (npr. z občinskim aktom), s katerimi podatki se lahko njeni organi seznanijo v okviru izvajanja svojih nalog (prav tako npr. v kakšni obliki naj prejmejo informacijo). Podobno velja tudi za posameznico, ki je predsednica krajevne skupnosti. Skladno z ZLS se lahko naloge ožjih delov občine (kamor spada tudi krajevna skupnost) določijo s statutom oz. odlokom občine.

V tem kontekstu predvsem opozarjamo na načelo najmanjšega obsega podatkov, skladno s katerim se smejo obdelovati zgolj tisti osebni podatki, ki so nujno potrebni za dosego določenega cilja, zato vam predlagamo, da skladno s tem načelom določite, s kakšnim naborom podatkov se lahko osebe seznanijo. Osebne podatke pa je treba s primernimi tehnično-organizacijskimi ukrepi tudi ustrezno zavarovati, med drugim pred nepooblaščeno seznanitvijo z osebnimi podatki s strani tretjih oseb. Z osebnimi podatki se lahko seznanijo torej tisti, ki to potrebujejo za izvajanje svojih nalog. Tako vam predlagamo, da preverite, s katerimi informacijami in v kakšnem obsegu (vprašanje dodelitve ustreznih uporabniških pravic) se smejo seznaniti občinski svetniki oz. predsednica krajevne skupnosti glede na njihove pristojnosti, oz. konkretne naloge, ki jih opravljajo skladno z ZLS oz. notranjimi akti občine. Vsaka oseba, ki se seznani z osebnimi podatki v vlogi zastopanja upravljavca, pa je dolžna podatke varovati in jih ne sme obdelovati za noben drug namen (npr. nezakonito posredovati tretjim osebam). Več o zavarovanju osebnih podatkov si lahko preberete na spletni strani IP, kjer se lahko seznanite tudi z novostmi, ki jih prinaša ZVOP-2: https://www.ip-rs.si/varstvo-osebnih-podatkov/obveznosti-upravljavcev/zavarovanje-oz-varnost-osebnih-podatkov.

Upamo, da smo vam s podanimi napotili uspeli pomagati.

Mojca Prelesnik, univ. dipl. prav., informacijska pooblaščenka

Pripravila

Barbara Žurej, univ. dipl. prav., svetovalka pooblaščenca za preventivo