Razkritje osebnih podatkov v inšpekcijskem postopku

Datum

14.07.2023

Številka

07120-1/2023/324

Kategorije

Upravni postopki, Upravne enote

Pri Informacijskem pooblaščencu (IP) smo dne 31. 5. 2023 prejeli vaše zaprosilo za mnenje glede razkritja osebnih podatkov v teku inšpekcijskega postopka. Zanima vas, ali lahko inšpekcijski organ več prijaviteljev hkrati obvesti o ukrepih, izvedenih v inšpekcijskem postopku, in sicer na način, da jim pošlje skupno elektronsko sporočilo, v katerem razkrije identiteto prijaviteljev, če prijavitelj poda pisno izjavo, da takšno razkritje dovoljuje ter da želi biti obveščen o postopku.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22, ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba), 76. člena Zakona o varstvu osebnih podatkov na področju obravnavanja kaznivih dejanj (Uradni list RS, št. 177/20, ZVOPOKD) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A, ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

1.1. IP meni, da lahko ustrezno pravno podlago za razkritje osebnih podatkov prijavitelja drugemu prijavitelju, ne pa tudi zavezancu, zoper katerega se vodi inšpekcijski postopek, predstavlja tudi privolitev, ki izpolnjuje pogoje iz 11. točke 4. člena Splošne uredbe.

2.2. Spoštovanje temeljnih načel varstva osebnih podatkov praviloma zahteva, da se skupna obvestila vlagateljem pobud za začetek inšpekcijskega postopka, ki se med sabo ne poznajo, po elektronski pošti pošiljajo na način, da se elektronske naslove zapiše v skrito kopijo, s čimer se zagotovi varnost osebnih podatkov prejemnikov sporočila ob hkratnem spoštovanju načela najmanjšega obsega podatkov.

Obrazložitev

IP uvodoma pojasnjuje, da izven postopka inšpekcijskega nadzora oziroma drugega upravnega postopka nima zakonskih pooblastil za presojo zakonitosti konkretnih obdelav osebnih podatkov in morebitnih kršitev pravic posameznikov, na katere se podatki nanašajo. V nadaljevanju vam zato podajamo zgolj splošna pojasnila in pravna izhodišča v zvezi z vašim dopisom.

Podatki prijavitelja, pritožnika, pobudnika ali drugega vlagatelja, ki je določen ali določljiv posameznik, se štejejo kot osebni podatki, zaradi česar mora inšpekcijski organ pri ravnanju s takšno vlogo ravnati ne le v skladu z določbami Zakona o inšpekcijskem nadzoru (Uradni list RS, št. 43/07 – uradno prečiščeno besedilo in 40/14, v nadaljevanju: ZIN) in Zakona o splošnem upravnem postopku (Uradni list RS, št. 24/06 s spremembami in dopolnitvami, v nadaljevanju: ZUP), temveč mora upoštevati tudi zakonodajo s področja varstva osebnih podatkov. Obdelava osebnih podatkov mora predvsem temeljiti na zakoniti pravni podlagi, ki so določene v 6. členu Splošne uredbe, spoštovati mora temeljna načela varstva osebnih podatkov ob hkratnem zagotavljanju ustrezne ravni varnosti podatkov.

Če se osebni podatki obdelujejo za namene vodenja upravnih postopkov, se kot pravna podlaga za obdelavo osebnih podatkov vlagatelja in drugih posameznikov, katerih osebni podatki se obdelujejo v okviru upravnega postopka, lahko štejeta c) ali e) točka prvega odstavka 6. člena Splošne uredbe, saj gre za obdelavo, ki je bodisi potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca ali pa za obdelavo, ki je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu. Obdelava osebnih podatkov, ki se pridobivajo in obdelujejo v okviru vodenja upravnega postopka, se šteje za zakonito, če se osebni podatki obdelujejo za namene vodenja upravnega postopka oziroma opravljanje procesnih dejanj na način, kot ga predpisuje zakon, ki določa pravila vodenja upravnega postopka, pri čemer mora organ, ki vodi postopek, in udeleženci postopka, pri obdelavi osebnih podatkov upoštevati tudi vsa načela v zvezi z obdelavo osebnih podatkov, ki so določena Splošni uredbi.

Pravila vodenja upravnega (inšpekcijskega) postopka so vsebovana v ZUP in ZIN. Slednji v 16. členu

postavlja zahtevo varovanja tajnosti vira prijave in drugih informacij, na podlagi katerih se izvaja inšpekcijski nadzor, ki v splošnem prepoveduje razkrivanje identitete vira prijave (vlagatelja pobude, prijave ali druge vloge). Vendar kot je IP že izpostavil v mnenju št. 07120-1/2023/229 z dne 19. 4. 2023, dolžnost varovanja vira ni absolutna.

Odstopanje od dolžnosti varovanja vira prijave je dopustno v primerih, ko za posredovanje določenih osebnih podatkov oziroma dokumentov z osebnimi podatki obstaja ustrezna pravna podlaga v posameznih materialnih ali postopkovnih predpisih, tj., kadar drug zakon, bodisi zaradi varovanja pravic drugih bodisi zaradi izpolnitve zakonske obveznosti, zaradi opravljanja naloge v javnem interesu ali zaradi izvajanja javne oblasti, dodeljene upravljavcu, inšpekcijskemu organu nalaga ali dovoljuje posredovanje določenih osebnih podatkov pristojnim organom za druge, točno določene namene. Kot pravna podlaga, ki dopušča takšno uporabo ali razkritje osebnih podatkov s posredovanjem, se z vidika zgoraj citiranih določb 6. člena Splošne uredbe lahko šteje (c) ali (e) točka prvega odstavka 6. člena Splošne uredbe, in sicer pod pogojem, da gre za obdelavo, ki je potrebna in primerna za izpolnitev zakonske obveznosti, ki velja za upravljavca ali pa gre za obdelavo, ki je potrebna in primerna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu, ter da ob tem takšno uporabo, posredovanje oziroma obdelavo osebnih podatkov določa zakon.

Prav tako IP meni, da lahko ustrezno pravno podlago za razkritje osebnih podatkov prijavitelja drugemu prijavitelju, ne pa tudi zavezancu, zoper katerega se vodi inšpekcijski postopek, predstavlja privolitev, ki izpolnjuje pogoje iz 11. točke 4. člena Splošne uredbe – posameznik mora na prostovoljen, izrecen, informiran in nedvoumen način izraziti voljo, da se ga razkrije kot vir prijave inšpekcijskega postopka, inšpekcijski organ pa mora biti izpolnjevanje teh pogojev tudi sposoben dokazati. Vendar IP obenem poudarja, da so v primeru skupnega obveščanja več vlagateljev s pošiljanjem elektronskega sporočila na več naslovov elektronske pošte razkriti podatki več posameznikov, zato mora biti podana privolitev vseh, ne zgolj enega izmed njih.

Inšpekcijski organ mora pred posredovanjem podatkov posameznika, na katerega se podatki nanašajo (vlagatelja pobude za začetek inšpekcijskega postopka) obvestiti o okoliščinah obdelave podatkov v skladu s 13. členom Splošne uredbe. Poleg tega mora inšpekcijski organ zagotoviti tudi spoštovanje vseh ostalih določb Splošne uredbe in ZVOP-2, vključno z uresničevanjem temeljnih načel varstva osebnih podatkov in zagotavljanem varnosti osebnih podatkov.

Spoštovanje temeljnih načel varstva osebnih podatkov praviloma zahteva, da se skupna obvestila vlagateljem pobud za začetek inšpekcijskega postopka, ki se med sabo ne poznajo, po elektronski pošti pošiljajo na način, da se elektronske naslove zapiše v skrito kopijo, s čimer se zagotovi varnost osebnih podatkov prejemnikov sporočila ob hkratnem spoštovanju načela najmanjšega obsega podatkov.

V upanju, da ste dobili odgovor na vaša vprašanja, vas lepo pozdravljamo.

Pripravila

dr. Pika Šarf, Svetovalka IP za mednarodne odnose

Mojca Prelesnik, univ. dipl. prav., informacijska pooblaščenka