Posredovanje pogodb ustanovitelju

Datum

23.03.2023

Številka

07121-1/2023/395

Kategorije

Knjižničarstvo, Občine, Pravne podlage

Informacijski pooblaščenec (v nadaljevanju: IP) je po e-pošti prejel vaše zaprosilo za mnenje. Sprašujete, ali imajo vaši ustanovitelji (občina) pravico vpogleda v vaše pogodbe z izvajalci, kljub temu, da imate v pogodbah zapisano klavzulo o zaupnosti informacij. Zanima vas, komu lahko pokažete pogodbe in kaj morajo imeti ti ljudje pri sebi?

* * *

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22, ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A, ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

Knjižnica kot upravljavec mora določiti, s katerimi podatki se lahko seznanijo njeni organi glede na njihove pristojnosti oz. konkretne naloge, ki jih opravljajo skladno z odlokom o ustanovitvi javnega zavoda. Vsaka oseba, ki se seznani z osebnimi podatki v vlogi zastopanja upravljavca, pa je dolžna podatke varovati in jih ne sme obdelovati za noben drug namen (npr. nezakonito posredovati tretjim osebam).

Obrazložitev

Pri tem IP uvodoma poudarja, da izven postopka inšpekcijskega nadzora oziroma drugega upravnega postopka konkretnih obdelav osebnih podatkov ne more presojati.

Za zakonito obdelavo osebnih podatkov mora obstajati pravna podlaga skladno s prvim odstavkom 6. člena Splošne uredbe:

(a)posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov;

(b)obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe;

(c)obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca;

(d)obdelava je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe;

(e)obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu;

(f)obdelava je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok.

Ob tem opozarjamo, da se točka (f) ne uporablja za obdelavo s strani javnih organov pri opravljanju njihovih nalog.

V nadaljevanju vam podajamo odgovor v zvezi s posredovanjem osebnih podatkov. V zvezi z drugimi vprašanji, kot je vprašanje zaupnosti dokumentacije, IP ni pristojen podati svojega mnenja.

Glede na vaše vprašanje sklepamo, da gre za naloge, ki jih ustanovitelj (občina) izvaja skladno z Odlokom o ustanovitvi javnega zavoda …(odlok). Pojasnjujemo, da je naloga direktorja skladno z ... členom odloka poročanje ustanovitelju in svetu o zadevah, ki lahko pomembno vplivajo na delovanje javnega zavoda. Svet zavoda, ki ga med drugim predstavljajo predstavniki ustanovitelja, opravlja skladno s ... členom odloka med drugim naslednje naloge: nadzira zakonitost dela in poslovanja javnega zavoda ter spremlja, analizira in ocenjuje delovanje javnega zavoda. Glede na to, da je svet zavoda organ knjižnice, kot upravljavec v tej zadevi nastopa knjižnica kot celota in gre pri dostopanju do osebnih podatkov za dostop do osebnih podatkov znotraj upravljavca. Opozorimo naj, da mora knjižnica tako pri izvajanju svojih nalog, kakor tudi pri snovanju svojih internih pravil, zagotoviti spoštovanje pravil in načel varstva osebnih podatkov (določena so v 5. členu Splošne uredbe). Kot upravljavec mora določiti, s katerimi podatki se lahko njeni organi seznanijo v okviru izvajanja svojih nalog (prav tako npr. v kakšni obliki naj prejmejo informacijo).

V tem kontekstu predvsem opozarjamo na načelo najmanjšega obsega podatkov, skladno s katerim se smejo obdelovati zgolj tisti osebni podatki, ki so nujno potrebni za dosego določenega cilja, zato vam predlagamo, da skladno s tem načelom določite, s kakšnim naborom podatkov se lahko osebe seznanijo. Osebne podatke pa je treba s primernimi tehnično-organizacijskimi ukrepi tudi ustrezno zavarovati, med drugim pred nepooblaščeno seznanitvijo z osebnimi podatki s strani tretjih oseb. Z osebnimi podatki se lahko seznanijo torej tisti, ki to potrebujejo za izvajanje svojih nalog. Tako vam predlagamo, da preverite, s katerimi informacijami in v kakšnem obsegu se sme seznaniti ustanovitelj oz. člani sveta zavoda glede na njihove pristojnosti, oz. konkretne naloge, ki jih opravljajo skladno s citiranim odlokom. Vsaka oseba, ki se seznani z osebnimi podatki v vlogi zastopanja upravljavca, pa je dolžna podatke varovati in jih ne sme obdelovati za noben drug namen (npr. nezakonito posredovati tretjim osebam).

Ostale pravice ustanoviteljev so določene v odloku in predlagamo, da morebitno posredovanje podatkov tolmačite skladno z nalogami ustanovitelja oz. pristojnih organov. Za vsako drugo posredovanje osebnih podatkov (npr. drugim organom) morate kot upravljavec zagotoviti ustrezno pravno podlago skladno z zgoraj citiranim prvim odstavkom 6. člena Splošne uredbe.

Več o zavarovanju osebnih podatkov si lahko preberete na spletni strani IP, kjer se lahko seznanite tudi z novostmi po ZVOP-2: https://www.ip-rs.si/varstvo-osebnih-podatkov/obveznosti-upravljavcev/zavarovanje-oz-varnost-osebnih-podatkov.

V upanju, da vam bodo naša napotila v pomoč, vas lepo pozdravljamo.

Mojca Prelesnik, univ. dipl. prav., informacijska pooblaščenka

Pripravila

Barbara Žurej, univ. dipl. prav., svetovalka pooblaščenca za preventivo