Elektronski vpogled v upravni spis

Datum

21.03.2025

Številka

07120-1/2025/119

Kategorije

Ocene učinkov v zvezi z varstvom podatkov, Pravne podlage, Upravni postopki, Varnost osebnih podatkov, Vgrajeno in privzeto varstvo podatkov

Informacijski pooblaščenec (v nadaljevanju: IP) je po elektronski pošti prejel dopis, v katerem opisujete predlog vzpostavitve nove funkcionalnosti znotraj informacijskega sistema eUprava, ki bo strankam upravnih postopkov omogočala elektronski dostop do dokumentov iz upravnih spisov na daljavo kot način informatiziranega uveljavljanja pravice do vpogleda v spis po 82. členu ZUP. Zanima vas, ali obstoječa določba 82. člena ZUP dosega elemente ustreznosti glede na pogoje 6. člena ZVOP-2.

***

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22, ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A, ZInfP) posredujemo naše nezavezujoče mnenje v zvezi z vašim vprašanjem.

1. Pri pripravi in uvedbi nove funkcionalnosti znotraj eUprave za namen elektronskega vpogleda v upravni spis IP priporoča izdelavo ocene učinka v zvezi z varstvom osebnih podatkov (t.i. DPIA), saj ta olajša prepoznavanje in obvladovanje tveganj za pravice posameznikov.

2. Osrednji izziv zastavljene rešitve bo zagotoviti sistem, ki bo omogočal informatiziran dostop do dokumentov upravnih zadev le stvarno legitimiranim posameznikom, upoštevaje tudi predpisane omejitve področnih predpisov (tu ZIN, ZVOP-2 ipd.), pri tem pa vzpostaviti zanesljiv mehanizem njihove identifikacije in avtentikacije.

3. Upravljavec mora z vidika varne in celovite obdelave osebnih podatkov zagotoviti ustrezne tehnične in organizacijske ukrepe, ki so sorazmerni naravi in obsegu obdelave ter prepoznanim tveganjem. Pri tem velja načelo vgrajenega in privzetega varstva podatkov, kar pomeni, da je treba že v fazi načrtovanja in razvoja rešitev vgraditi mehanizme za učinkovito varstvo osebnih podatkov.

4. Odgovornost za zakonito in varno obdelavo osebnih podatkov je vedno na strani upravljavca, ki mora biti sposoben dokazati, da so sprejeti ukrepi ustrezni.

Obrazložitev

IP uvodoma poudarja, da lahko podaja neobvezujoča mnenja in pojasnila, ne sme pa izven konkretnih nadzornih ali drugih upravnih postopkov presojati ali vnaprej potrjevati ustreznosti posameznih rešitev, aplikacij ali storitev, ki jih uvajajo posamezni upravljavci. Končna odgovornost za zakonito obdelavo osebnih podatkov, presojo ustreznosti izbrane pravne podlage in izvajanje ustreznih tehničnih ter organizacijskih ukrepov za varnost obdelave osebnih podatkov je vedno na strani upravljavca.

IP najprej pozdravlja vaša prizadevanja, da se pred uvedbo nove funkcionalnosti elektronskega vpogleda v dokumente upravnih postopkov pripravi ocena učinka v zvezi z varstvom osebnih podatkov (t.i. DPIA). Izvedba takšne presoje je vsekakor koristna (če ne celo nujna), saj boste z njeno pomočjo lažje in celoviteje ocenili, ovrednotili in naslovili tveganja, ki jih uvedba takšnega sistema prinaša na pravice posameznikov glede varstva osebnih podatkov. IP je glede izvedbe ocene učinkov izdelal smernice o ocenah učinkov na varstvo podatkov, ki so dostopne na spletni strani (https://www.ip-rs.si/prirocniki_smernice/Smernice_o_ocenah_ucinka.pdf), s katerimi si vsekakor lahko pomagate.

Glede vprašanja ustreznosti trenutno veljavne določbe 82. člena ZUP s pogoji drugega odstavka 6. člena ZVOP-2, pojasnjujemo, da iz slednje določbe izhaja, da mora zakon, ki ureja obdelavo osebnih podatkov v javnem sektorju zaradi izvajanja zakonske obveznosti, javnega interesa ali izvajanja javne oblasti (to sta točki (c) in (e) prvega ter drugega in tretjega odstavka 6. člena Splošne uredbe) določati vsaj:

obdelavo osebnih podatkov,

vrste osebnih podatkov, ki se obdelujejo,

kategorije posameznikov, na katere se ti osebni podatki nanašajo,

namen obdelave in

rok hrambe osebnih podatkov ali rok za redni pregled potrebe po hrambi.

Če je mogoče, se morajo v zakonu določiti tudi uporabnike osebnih podatkov, posamezna dejanja obdelave in postopke obdelave ter druge ukrepe za zagotovitev zakonite, poštene in pregledne obdelave.

Glede vprašanja ustreznosti trenutno veljavne določbe 82. člena ZUP v povezavi s pogoji drugega odstavka 6. člena ZVOP-2 pojasnjujemo, da čeprav 82. člen ZUP razmeroma jasno določa pravno podlago in opredeljuje njene bistvene elemente za njeno ustreznost, je v praksi ključnega pomena, kako bo elektronski vpogled v upravni spis dejansko izveden in implementiran. Pri tem je nujno ustrezno prepoznati in nasloviti vsa tveganja obdelave osebnih podatkov ter zagotoviti, da bo ta obdelava varna, zakonita in skladna z vsemi zahtevami ter načeli varstva osebnih podatkov.

Osrednji izziv pri vzpostavitvi takšne rešitve je predvsem njena izvedba. Ključno je zagotoviti, da informatiziran dostop in vpogled v dokumente upravnih zadev ne omogočata seznanitve z dokumenti ali podatki posameznikom, ki za to nimajo ustrezne pravne podlage, pri čemer je treba upoštevati omejitve, določene v področnih predpisih, kot so ZIN, ZVOP-2 ipd. Prav tako je bistveno vzpostaviti zanesljiv mehanizem identifikacije in avtentikacije upravičenih oseb ter ustrezno preveriti njihovo stvarno legitimacijo za vpogled.

Ob vsem tem IP še dodatno opozarja, da morate kot upravljavec ob vzpostavitvi nove funkcionalnosti znotraj obstoječe informacijske rešitve eUprave tam tudi zagotoviti ustrezne tehnične in organizacijske ukrepe za varnost osebnih podatkov, ki se oz. se bodo obdelovali. Pri tem poudarjamo, da je pri zagotavljanju elektronskega vpogleda v dokumente z vidika načela celovitosti in zaupnosti nujno zagotoviti, da do osebnih podatkov dostopajo izključno pooblaščeni uporabniki – posamezniki, ki so stranke v postopku oz. glede na določbe ZUP izkažejo pravni interes, kar vključuje ustrezno in varno preverjanje identitete uporabnikov (npr. prek kvalificiranih potrdil za elektronski podpis), kar sicer ureja že obstoječa dikcija prvega odstavka 82. člena ZUP. Prav tako morate kot upravljavci poskrbeti za učinkovite varnostne mehanizme za preprečevanje nepooblaščenega dostopa, razkritja, spremembe, izgube ali uničenja osebnih podatkov, kot to določa 32. člen Splošne uredbe. Navedeni ukrepi morajo biti sorazmerni tveganjem, ki jih prinaša tovrstna obdelava osebnih podatkov, pri čemer IP še posebej opozarja, da je tveganje višje zaradi elektronske narave storitve, ki omogoča oddaljen dostop do dokumentov, kar povečuje tudi možnosti zlorab, in s tem kršitev varstva osebnih podatkov. Ukrepi za zagotavljanje varnosti morajo tako biti prilagojeni naravi oziroma občutljivosti osebnih podatkov, ki so predmet posamezne obdelave. Odgovornost za izbiro ustreznih ukrepov za zagotavljanje varnosti osebnih podatkov pa je vedno na strani upravljavca, ki mora biti skladno z načelom odgovornosti izvajanje ustreznih ukrepov zmožen tudi dokazati.

IP na tem mestu ponovno opozarja na spoštovanje načela vgrajenega in privzetega varstva podatkov iz 25. člena Splošne uredbe, kar pomeni, da morate že v fazi razvoja in uvedbe storitve zagotoviti ustrezne zaščitne ukrepe, ki omejujejo obseg obdelave osebnih podatkov zgolj na podatke, nujno potrebne za zagotovitev pravice do vpogleda.

Sklepno poudarjamo, da lahko dokončno presojo zakonitosti in ustreznosti posamezne rešitve opravi le upravljavec osebnih podatkov sam, IP pa lahko dokončno presojo skladnosti rešitve opravi le v okviru konkretnega nadzornega postopka. Pri tem IP lahko podaja mnenje zgolj z vidika varstva osebnih podatkov in ne more presojati morebitnih drugih izzivov, povezanih z varovanimi podatki ali informacijami, ki so urejeni s področnimi predpisi.

V upanju, da ste dobili odgovor na postavljeno vprašanje, vas lepo pozdravljamo.

Pripravil

Grega Rudolf, mag. svetovalec pooblaščenca za mednarodne odnose

Dr. Jelena Virant Burnik, informacijska pooblaščenka