Povezovanje zbirk IP

Datum

20.03.2023

Številka

07120-1/2023/149

Kategorije

Ocene učinkov v zvezi z varstvom podatkov, Posredovanje osebnih podatkov, Pridobivanje OP iz zbirk

Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaše zaprosilo za mnenje glede povezovanja davčnih evidenc in evidence registriranih vozil.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22; v nadaljevanju: ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, 51/07 – ZUstS-A; ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

Povezave uradnih evidenc in javnih knjig, ki ne sodijo v okvir iz prvega odstavka 87. člena ZVOP-2, so dopustne pod pogojem, da za takšno obdelavo obstaja katera od pravnih podlag iz prvega odstavka 6. člena Splošne uredbe (oziroma iz drugega odstavka 9. člena Splošne uredbe, če gre za povezovanje posebnih vrst osebnih podatkov) ter če je zagotovljena ustrezna varnost osebnih podatkov, vključno z zagotavljanjem dnevnika obdelave iz 22. člena ZVOP-2. Ob tem je treba upoštevati tudi zahteve Splošne uredbe in ZVOP-2 glede izdelave ocene učinka na varstvo podatkov.

IP v okviru neobvezujočega mnenja ne more podati dokončnega odgovora o tem, ali gre v primeru, opisanem v vašem zaprosilu, za povezovanje zbirk osebnih podatkov v smislu ZVOP-2 ali pa za pridobivanje osebnih podatkov prek telekomunikacijskih sredstev oziroma omrežij.

IP vsekakor priporoča, da se v primerih povezovanja sklene ustrezen sporazum med upravljavcema oziroma upravljavci, v katerem se jasno opredelijo vsa vprašanja s področja varstva podatkov.

Obrazložitev

IP uvodoma poudarja, da v okviru neobvezujočega mnenja ne more podajati celovite ocene predvidenih dejanj obdelave osebnih podatkov v konkretnem primeru. Dokončno presojo zakonitosti obdelave osebnih podatkov lahko IP poda le v konkretnem nadzornem ali drugem upravnem postopku. Odgovornost za zakonito in pošteno obdelavo osebnih podatkov je na upravljavcu osebnih podatkov.

IP pojasnjuje, da ZVOP-2 v prvem odstavku 87. člena določa, da kadar se posebne vrste osebnih podatkov, osebni podatki v zvezi s kazenskimi obsodbami in prekrški, podatki o dohodkih v skladu z zakonom, ki ureja dohodnino, podatki o premoženju posameznika v skladu z zakonom, ki ureja uveljavljanje pravic iz javnih sredstev, podatki o nepremičninah v lasti posameznika v skladu z drugimi zakoni, podatki oziroma informacije o kreditni sposobnosti v skladu z zakonom, ki ureja centralni kreditni register, ter uradne evidence v skladu z zakonom, ki ureja naloge in pooblastila policije, in zakonom, ki ureja preprečevanje pranja denarja in financiranja terorizma, obdelujejo v uradnih evidencah ali javnih knjigah, se jih lahko povezuje med seboj ali z drugimi zbirkami samo, če taka povezovanja izrecno določa zakon. V skladu z drugim odstavkom 87. člena mora upravljavec oziroma obdelovalec pred začetkom povezovanja zbirk iz prejšnjega odstavka izdelati oceno učinka po 35. členu Splošne uredbe in se posvetovati z nadzornim organom po 36. členu Splošne uredbe.

Ob tem IP opozarja, da v skladu z 12. točko drugega odstavka 5. člena ZVOP-2 povezovanje zbirk osebnih podatkov pomeni avtomatsko in elektronsko povezovanje zbirk, ki jih upravljajo upravljavci za različne namene ali po različnih pravnih podlagah, in sicer tako, da se določeni osebni podatki samodejno prenesejo ali vključijo v drugo povezano zbirko ali več povezanih zbirk, tudi če se izvaja le enosmeren pretok osebnih podatkov; zbirke so povezane, če se določeni osebni podatki iz ene zbirke neposredno vključijo v drugo zbirko in se tako druga zbirka poveča ali posodobi ali pa se osebni podatki v njej zaradi točnosti spremenijo. Povezovanje se torej izvede tako, da se določeni podatki samodejno (povezljivost v ožjem smislu) ali na zahtevo (povezljivost v širšem smislu) prenesejo ali vključijo v drugo povezano zbirko ali več povezanih zbirk. IP šteje, da sta zbirki osebnih podatkov povezani, če se določeni podatki iz ene zbirke neposredno vključijo v drugo zbirko, s čimer se druga zbirka spremeni (poveča, ažurira ipd.), pri tem pa gre lahko zgolj za enosmeren tok podatkov. Povezanost zbirk osebnih podatkov torej predpostavlja vključitev podatkov v drugo zbirko na način, da se določeni podatki iz ene ali več zbirk zaradi povezanosti zbirk prenesejo ali vključijo v drugo povezano zbirko.

IP nadalje pojasnjuje, da ZVOP-2 v okviru 87. člena ureja le t.i. posebej občutljive zbirke osebnih podatkov, ki pomenijo večje tveganje oziroma večji poseg v zasebnost posameznika, medtem ko povezave uradnih evidenc in javnih knjig, ki ne vsebujejo zgoraj navedenih vrst osebnih podatkov, posebej ne ureja, kar pomeni, da so povezave takih uradnih evidenc in javnih knjig dopustne pod pogojem, da za takšno obdelavo obstaja katera od pravnih podlag iz prvega odstavka 6. člena Splošne uredbe (oziroma iz drugega odstavka 9. člena Splošne uredbe, če gre za povezovanje posebnih vrst osebnih podatkov) ter če je zagotovljena ustrezna varnost osebnih podatkov, vključno z zagotavljanjem dnevnika obdelave iz 22. člena ZVOP-2. IP glede pravne podlage za povezovanje uradnih evidenc in javnih knjig, ki ne spadajo v okvir 87. člena ZVOP-2, podaja stališče, da mora biti v takih primerih načeloma zagotovljena pravna podlaga v smislu točke (c) 6. člena Splošne uredbe. Zakon mora torej določiti možnost upravljavca zbirke osebnih podatkov za pridobivanje osebnih podatkov iz druge uradne evidence, javne knjige ali druge zbirke osebnih podatkov, s katero se želi v konkretnem primeru povezati, ter določiti tudi vrste osebnih podatkov, ki se lahko pridobivajo. Ob tem je treba upoštevati tudi zahteve Splošne uredbe in ZVOP-2 glede izdelave ocene učinka na varstvo podatkov. Glede na te zahteve bo namreč tudi v številnih primerih povezovanja uradnih evidenc in javnih knjig, ki sicer ne spadajo v okvir prvega odstavka 87. člena ZVOP-2, treba izdelati predhodno oceno učinka na varstvo podatkov. Več informacij o oceni učinka je dostopnih na spletni strani IP:

https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/ključna-področja-uredbe/ocena-učinka-v-zvezi-z-varstvom-podatkov/

Ob tem je treba preveriti tudi, ali gre morda za obliko obdelave iz Seznama dejanj obdelav osebnih podatkov, za katere velja zahteva po izvedbi ocene učinka v zvezi z varstvom osebnih podatkov po 4. odstavku 35. člena Splošne uredbe o varstvu podatkov in ko je torej predhodna izvedba ocene učinka v zvezi z varstvom osebnih podatkov obvezna. IP je pripravil tak seznam in ga objavil na spletni strani:

https://www.ip-rs.si/fileadmin/user_upload/Pdf/Ocene_ucinkov/Seznam_dejanj_obdelav_osebnih_podatkov__za_katere_velja_zahteva_po_izvedbi_ocene_ucinka_v_zvezi_z_varstvom_osebnih_podatkov.pdf

IP meni, da evidence, ki jih navajate v vašem zaprosilu za mnenje, (najverjetneje) ne sodijo v okvir zbirk iz prvega odstavka 87. člena ZVOP-2, zato za njihovo povezovanje veljajo določbe prejšnjih dveh odstavkov tega mnenja. IP ob tem ponovno poudarja, da dokončno presojo glede tega lahko poda le v konkretnem nadzornem ali drugem upravnem postopku.

IP splošno pojasnjuje tudi, da je pri pridobivanju osebnih podatkov iz že obstoječih zbirk osebnih podatkov v praksi pogosto težko ločiti zlasti med pridobivanjem oziroma posredovanjem osebnih podatkov, ki se izvede preko telekomunikacijskega sredstva ali omrežja, ter med povezavo zbirk osebnih podatkov na zahtevo (povezljivost v širšem smislu). Bistveni element takšnega razlikovanja je v tem, da se mora pooblaščena oseba upravljavca osebnih podatkov v primerih posredovanja oziroma pridobivanja podatkov po 39. členu ZVOP-2 z ustrezno identifikacijo posebej prijaviti in vstopiti v vsako zbirko posebej, medtem ko se mora v primeru povezovanja zbirk osebnih podatkov z ustrezno identifikacijo prijaviti in vstopiti le v eno zbirko, sistem pa ji za tem samodejno pridobi določene osebne podatke iz vseh povezanih zbirk podatkov. V primeru, ko so zbirke povezane na način, da upravljavec komunicira z eno zbirko osebnih podatkov, ta pa je v ozadju neposredno povezana z drugimi zbirkami podatkov (znotraj enega ali več upravljavcev), se to torej šteje za povezovanje zbirk podatkov, ne glede na to, da se podatki ne ažurirajo hkrati v vseh povezanih zbirkah. Tudi v takšnih primerih lahko namreč uporabnik osebnih podatkov pri delu s svojo zbirko osebnih podatkov hkrati pridobi tudi določene podatke iz (vseh) povezanih zbirk in jih neposredno vključi v svojo zbirko, ne da bi za to moral vstopati v vsako zbirko posebej. Za povezovanje v širšem smislu gre po mnenju IP tudi takrat, ko uporabnik v svojo zbirko vnese določene osebne podatke posameznika, sistem pa za tem zbirko samodejno ali na zahtevo uporabnika dopolni še z določenimi podatki iz drugih povezanih zbirk.

Glede pridobivanja osebnih podatkov pa IP pojasnjuje, da mora pooblaščena oseba upravljavca, ki želi osebne podatke pridobiti iz druge, že obstoječe zbirke osebnih podatkov, z ustrezno identifikacijo posebej vstopiti v to drugo zbirko ter za tem v tej zbirki z vnosom iskalnega kriterija pridobiti potrebne osebne podatke, pri čemer pa se tako pridobljeni osebni podatki v drugo zbirko ne vključijo samodejno, pač pa mora to storiti pooblaščena oseba ročno, npr. s prepisom, kopiranjem ali pa s sprožitvijo posebnega ukaza. Na drugi strani pa pri povezavi zbirk osebnih podatkov v širšem smislu pooblaščena oseba upravljavca pri delu s svojo zbirko v iskalnik enostavno vpiše iskalni kriterij (npr. EMŠO), sistem pa ji za tem iz povezanih zbirk samodejno prikliče in pridobi še ostale osebne podatke (npr. osebno ime, naslov prebivališča, ipd.), ki se jih zatem lahko vključi v zbirko, iz katere je bil opravljen priklic podatkov. Pri tem se podatki ažurirajo samo v zbirki, v katero pooblaščena oseba neposredno dostopa, ne pa tudi v drugih povezanih zbirkah. Podatki se pri tem ažurirajo samo v času poizvedbe, kasnejša sprememba podatkov v izvorni zbirki pa se ne odrazi s spremembo podatkov v povezanih zbirkah.

IP v okviru neobvezujočega mnenja ne more podati dokončnega odgovora o tem, ali gre v primeru, opisanem v vašem zaprosilu, za povezovanje zbirk osebnih podatkov v smislu ZVOP-2 ali pa za pridobivanje osebnih podatkov prek telekomunikacijskih sredstev oziroma omrežij. IP bi dokončno opredelitev glede tega lahko podal le v postopku inšpekcijskega ali drugega nadzora, kjer bi moral natančno proučiti delovanje tehnične rešitve. IP sicer glede na podana pojasnila v vašem zaprosilu za mnenje in opredelitev posameznih podatkovnih tokov za predvidene oblike obdelav osebnih podatkov v okviru informacijskih sistemov vključenih upravljavcev, meni, da je vsekakor verjetno, da gre v konkretnem primeru za povezovanje zbirk osebnih podatkov. IP ob tem splošno dodaja, da je treba v vseh primerih povezovanja zbirk ob izdelavi ustrezne tehnične rešitve jasno opredeliti vloge vključenih upravljavcev in preveriti tudi morebiten obstoj njihovega skupnega upravljavstva glede na specifike konkretne vzpostavljene rešitve za povezovanje. Ob morebitnem obstoju skupnega upravljavstva je ključna dolžnost skupnih upravljavcev je sklenitev ustreznega medsebojnega dogovora skladno z določbami člena 26 Splošne uredbe. Več informacij o skupnih upravljavcih je dostopnih na spletni strani IP:

https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/ključna-področja-uredbe/skupni-upravljavci

IP ponavlja, da je presoja glede tega, ali gre v konkretnem primeru za povezovanje zbirk osebnih podatkov, primarno v rokah upravljavca osebnih podatkov. Ob tem IP dodaja, da v kolikor na podlagi te presoje ugotovite, da bi v konkretnem primeru dejansko šlo za povezovanje osebnih podatkov, vsekakor priporoča, da se sklene ustrezen sporazum med upravljavcema oziroma upravljavci, v katerem se jasno opredelijo vsa vprašanja s področja varstva podatkov.

Lepo vas pozdravljamo,

Pripravil

Matej Sironič, Svetovalec pooblaščenca za varstvo osebnih podatkov

Mojca Prelesnik, univ. dipl. prav., Informacijska pooblaščenka