- Napreden AI iskalnik za hitro iskanje primerov
- Dostop do celotne evropske in slovenske sodne prakse
- Samodejno označevanje ključnih relevantnih odstavkov
Podobni dokumenti
Ogledaj podobne dokumente za vaš primer.Prijavi se in poglej več podobnih dokumentov
Pridobivanje osebnih podatkov oseb, starejših nad 69 let s strani občin
Z nami najdeš vse. Preizkusi zdaj!
Samo zamislim si kaj bi rada da piše v sodbi, to vpišem v iskalnik, in dobim kar sem iskala. Hvala!
Tara K., odvetnica
Pridobivanje osebnih podatkov oseb, starejših nad 69 let s strani občin
Datum
07.02.2025
Številka
07121-1/2025/121
Kategorije
Društva, Občine, Pogodbena obdelava podatkov
Pri Informacijskem pooblaščencu (IP) smo 29.1.2025 prejeli vaše zaprosilo za mnenje glede pridobivanja osebnih podatkov oseb, starejših nad 69 let s strani občin. Zanima vas, kako lahko društva upokojencev pridobijo te osebne podatke od občin za namen izvajanja javnega prostovoljnega socialnovarstvenega programa.
Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22, ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba), ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A, ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.
1. Občina društvu ne sme posredovati osebnih podatkov posameznikov (zgolj) za izvajanje aktivnosti ali projektov društva, ampak šele, ko gre za projekt oziroma aktivnost, ki jo v okviru izvajanja svojih nalog na primer "pospeševanja službe socialnega skrbstva, za predšolsko varstvo, osnovno varstvo otroka in družine, za socialno ogrožene, invalide in ostarele" pri društvu "naroči" občina in skladno s tem ustrezno formalno prenese izvajanje svoje izvirne pristojnosti na društvo. V tem primeru morata občina in društvo svoj odnos tudi ustrezno (pogodbeno) urediti kot to določa 28. člen Splošne uredbe.
2. IP poudarja, da v okviru neobvezujočega mnenja ne more presojati, ali je zahteva društva za posredovanje osebnih podatkov v konkretnem primeru utemeljena. Konkretno presojo pa lahko oziroma mora opraviti izključno upravljavec osebnih podatkov, v konkretnem primeru torej občina, ki nosi tudi odgovornost za tovrstno opravljeno presojo.
3. Prav tako IP izpostavlja, da ni pristojen organ za primer, kadar občina ne želi skleniti pogodbe, saj ne gre za materijo varstva osebnih podatkov. Če sklenjene pogodbe med občino in društvom ni, pravna podlaga za obdelovanje osebnih podatkov ne obstaja. Za obdelavo v svojem imenu in za svoje lastne aktivnosti mora društvo zagotoviti ustrezno pravno podlago po 6. oz. 9. členu Splošne uredbe.
Obrazložitev
IP uvodoma pojasnjuje, da izven postopka inšpekcijskega nadzora oziroma drugega upravnega postopka nima zakonskih pooblastil za presojo zakonitosti konkretnih obdelav osebnih podatkov in morebitnih kršitev pravic posameznikov, na katere se podatki nanašajo. Prav tako IP izpostavlja, da ni pristojen organ za primer, kadar občina ne želi skleniti pogodbe, saj v tem primeru ne gre za materijo varstva osebnih podatkov. V nadaljevanju vam zato podajamo zgolj splošna pojasnila in pravna izhodišča.
V zvezi z vašim vprašanjem pojasnjujemo, da posredovanje osebnih podatkov upokojenih občanov s strani občine društvu predstavlja obdelavo osebnih podatkov, ki pa mora imeti ustrezno pravno podlago, da je le-ta obdelava zakonita in skladna s predpisi varstva osebnih podatkov. Osebni podatki se lahko obdelujejo le takrat in v obsegu, kadar je to v skladu s pravnimi podlagami za obdelavo osebnih podatkov iz prvega odstavka 6. in 9. člena Splošne uredbe (6. člen ZVOP-2). IP svetuje, da se društvo v primeru dvoma glede obstoja pravne podlage obrne neposredno na občino.
Kot že pojasnjeno, je v skladu z drugim odstavkom 6. člena ZVOP-2 obdelava osebnih podatkov v javnem sektorju (kamor sodijo tudi občine) zaradi izvajanja zakonske obveznosti, javnega interesa ali izvajanja javne oblasti v primerih iz točk c) in e) prvega odstavka ter drugega in tretjega odstavka 6. člena Splošne uredbe zakonita le, če obdelavo osebnih podatkov, vrste osebnih podatkov, ki naj se obdelujejo, kategorije posameznikov, na katere se ti osebni podatki nanašajo, namen njihove obdelave in rok hrambe osebnih podatkov ali rok za redni pregled potrebe po hrambi določa zakon.
Področni zakon v smislu točke (c) prvega odstavka 6. člena Splošne uredbe, v konkretnem primeru, predstavlja Zakon o lokalni samoupravi (v nadaljevanju ZLS). Ta v 21. členu določa, da občina samostojno opravlja lokalne zadeve javnega pomena (»izvirne naloge«), ki jih določi s splošnim aktom občine ali so določene z zakonom. V skladu z drugim odstavkom istega člena tako občina za zadovoljevanje potreb svojih prebivalcev opravlja določene naloge, med drugim tudi pospešuje službe socialnega skrbstva, za predšolsko varstvo, osnovno varstvo otroka in družine, za socialno ogrožene, invalide in ostarele. ZLS nadalje v 21.a členu določa, da občina pridobiva podatke, ki jih potrebuje za opravljanje nalog iz svoje pristojnosti, jih obdeluje ter opravlja statistično, evidenčno in analitično funkcijo za svoje potrebe. Na podlagi izrecne določbe šestega odstavka 21.a člena lahko občina zaradi izvajanja nalog iz svoje pristojnosti v skladu z nameni in pod pogoji določenimi v zakonu posreduje pridobljene podatke fizičnim in pravnim osebam.
V kolikor bi torej občina izvedbo posameznih nalog iz lastne pristojnosti prenesla na drug subjekt, bi lahko v zvezi s tem temu subjektu posredovala tudi tiste osebne podatke, ki so za izvajanje te konkretne naloge nujno potrebni (upoštevaje načelo najmanjšega obsega podatkov). Prenos izvedbe posameznih izvirnih nalog občine na drug subjekt in s tem povezano posredovanje osebnih podatkov, ki jih občina zakonito obdeluje ter so potrebni in primerni za izvedbo teh nalog pa mora biti v takem primeru ustrezno formaliziran (in skladen tudi z drugimi vidiki poslovanja občine, v zvezi s katerimi IP ni pristojen npr. pravila javnega razpisa, enakost obravnave itd.).
V tem kontekstu obdelave osebnih podatkov bi občina lahko nastopala kot upravljavec osebnih podatkov, saj kot javni organ določa namene in sredstva obdelave, društvo pa bi lahko predstavljalo obdelovalca osebnih podatkov, saj v imenu oziroma po naročilu upravljavca, osebne podatke obdeluje. Kadar obdelavo osebnih podatkov v imenu upravljavca izvaja obdelovalec, mora za to obstajati pisna pogodba ali drug ustrezen akt. IP poudarja, da so upravljavci odgovorni za skladnost s Splošno uredbo in imenujejo le tiste obdelovalce, ki lahko zagotavljajo »zadostna jamstva«, da se zadosti zahtevam Splošne uredbe in da se ustrezno varujejo tudi pravice posameznikov. Upravljavec je tako v vsakem primeru dolžan poskrbeti za izvajanje vseh ukrepov varstva osebnih podatkov s strani oseb, ki v njegovem imenu obdelujejo osebne podatke ter zanj tudi primarno odgovarja (tudi po posredovanju pogodbenemu obdelovalcu).
V kolikor bi torej občina prenesla del opravljanja svojih izvirnih nalog (npr. pospeševanje služb socialnega skrbstva za ostarele) na društvo in v zvezi s tem društvu posredovala osebne podatke, ki jih za to konkretno nalogo društvo nujno potrebuje, bi najverjetneje torej šlo za pogodbeno obdelavo osebnih podatkov, v zvezi s katero se morajo upoštevati določbe 28. člena Splošne uredbe.
Upoštevaje zgoraj navedeno še opozarjamo, da občina društvu ne sme posredovati osebnih podatkov posameznikov (zgolj) za izvajanje aktivnosti ali projektov društva, ampak šele, ko gre za projekt oziroma aktivnost, ki jo v okviru izvajanja svojih nalog na primer "pospeševanja službe socialnega skrbstva, za predšolsko varstvo, osnovno varstvo otroka in družine, za socialno ogrožene, invalide in ostarele" (šesta alineja drugega odstavka 21. člena ZLS) pri društvu "naroči" občina in skladno s tem ustrezno formalno prenese izvajanje svoje izvirne pristojnosti na društvo. Kot že pojasnjeno pa morata v tem primeru morata občina in društvo svoj odnos tudi ustrezno (pogodbeno) urediti kot to določa 28. člen Splošne uredbe. Dodatno pa še poudarjamo, da v kolikor društvo obdeluje osebne podatke v svojem imenu in za svoje lastne aktivnosti, mora za tako obdelavo zagotoviti ustrezno pravno podlago po 6. oz. 9. členu Splošne uredbe.
IP sklepno ponovno poudarja, da v okviru neobvezujočega mnenja ne more presojati, ali je zahteva društva za posredovanje osebnih podatkov v konkretnem primeru utemeljena. Konkretno presojo lahko oziroma mora opraviti izključno upravljavec osebnih podatkov, v konkretnem primeru torej občina, ki nosi tudi odgovornost za tovrstno opravljeno presojo. IP se namreč ne more in ne sme postaviti v vlogo odločevalca (razsojevalca) v posameznih primerih in odločiti o upravičenosti posredovanja podatkov ali celo odrediti/prepovedati določenemu zavezancu posredovanje določenih podatkov.
Več o varstvu osebnih podatkov s strani društev in glede pogodbene obdelave osebnih podatkov, si lahko preberete tudi v naših naslednjih smernicah:
·Smernice IP o društvih in varstvu osebnih podatkov: https://www.ip-rs.si/publikacije/priročniki-in-smernice/smernice-po-splošni-uredbi-o-varstvu-podatkov-gdpr/društva-in-varstvo-osebnih-podatkov
·Smernice IP o pogodbeni obdelavi: https://www.ip-rs.si/publikacije/priročniki-in-smernice/smernice-po-splošni-uredbi-o-varstvu-podatkov-gdpr/smernice-o-pogodbeni-obdelavi
Lepo vas pozdravljamo.
dr. Jelena Virant Burnik, informacijska pooblaščenka