- Napreden AI iskalnik za hitro iskanje primerov
- Dostop do celotne evropske in slovenske sodne prakse
- Samodejno označevanje ključnih relevantnih odstavkov
Podobni dokumenti
Ogledaj podobne dokumente za vaš primer.Prijavi se in poglej več podobnih dokumentov
Izplačilo socialnih transferjev
Z nami najdeš vse. Preizkusi zdaj!
Samo zamislim si kaj bi rada da piše v sodbi, to vpišem v iskalnik, in dobim kar sem iskala. Hvala!
Tara K., odvetnica
Izplačilo socialnih transferjev
Datum
23.07.2025
Številka
07120-1/2025/329
Kategorije
Postopki na centrih za socialno delo, Pravne podlage, Profiliranje in avtomatizirano odločanje, Umetna indeligenca
pri Informacijskem pooblaščencu (IP) smo prejeli vaše zaprosilo za mnenje glede uvedbe orodja/programa za avtomatični izračun zneskov socialnih transferjev iz vaših evidenc. Pojasnjujete, da se na CSD v zadnjem času srečujete z izjemno povečanim obsegom izplačil socialnih transferjev v funkcionalni obliki, kar pomeni, da upravičenci sredstev ne dobijo v celoti na bančni račun, temveč CSD z delom sredstev poravna določene položnice ali izda naročilnico za trgovino. Ker celotni proces poteka ročno, gre za administrativno zelo obremenjujoč postopek in je verjetnost napak velika. Celotni proces želite avtomatizirati z uporabo programa, ki bi na podlagi vnosa podatkov iz vaših evidenc te zneske avtomatično izračunal in jih nakazal končnim prejemnikom socialnih transferjev, trgovinam in/ali drugim podjetjem, na koncu pa tudi ustrezno zavedel v računovodskem programu. Zanima vas, ali imate za takšno obdelavo pravno podlago v Zakonu o socialno varstvenih prejemkih ter Zakonu o uveljavljanju pravic iz javnih sredstev.
Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22, ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba), ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A, ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.
Za presojo zakonitosti predvidene obdelave osebnih podatkov je potrebno razlikovati, ali gre za avtomatizirano obdelavo osebnih podatkov, za avtomatizirano odločanje po 22. členu Splošne uredbe ali za uvajanje sistemov umetne inteligence, kot je podrobneje pojasnjeno v nadaljevanju mnenja. V kolikor programska rešitev predstavlja zgolj tehnično rešitev za avtomatizirano obdelavo osebnih podatkov mora upravljavec, kot sicer za vsako obdelavo osebnih podatkov (ne glede na naravo oziroma vrsto posamezne obdelave), zagotoviti ustrezno pravno podlago iz prvega odstavka 6. člena in drugega odstavka 9. člena Splošne uredbe ter skladnost s temeljnimi načeli varstva osebnih podatkov iz 5. člena Splošne uredbe. Na kakšen način mora ali sme upravljavec osebne podatke obdelovati – ročno ali z avtomatiziranimi sredstvi – Splošna uredba ne določa, saj je tehnološko nevtralna.
Obrazložitev
IP uvodoma pojasnjuje, da izven postopka inšpekcijskega nadzora oziroma drugega upravnega postopka nima zakonskih pooblastil za presojo zakonitosti konkretnih obdelav osebnih podatkov. Obenem IP tudi niso znane podrobnosti konkretne programske rešitve, ki jo opisujete v zaprosilu za mnenje in opozarja, da je za presojo zakonitosti predvidene obdelave potrebno razlikovati, ali gre za avtomatizirano obdelavo osebnih podatkov, za avtomatizirano odločanje po 22. členu Splošne uredbe ali za uvajanje sistemov umetne inteligence. Avtomatizirana obdelava pomeni uporabo informacijskih sistemov za obdelavo osebnih podatkov brez (ali z minimalnim) človeškim posredovanjem in sama po sebi ne pomeni avtomatiziranega odločanja. Avtomatizirano odločanje, kot ga določa 22. člen Splošne uredbe, pomeni situacijo, v kateri se odločitev, ki ima pravne učinke ali podobne pomembne posledice za posameznika (npr. odobritev ali zavrnitev socialne pomoči), sprejme izključno na podlagi avtomatizirane obdelave, torej brez vsakršnega pomembnega človeškega posredovanja; v takih primerih mora upravljavec spoštovati posebna pravila, kot podrobneje opisano v nadaljevanju. Uporaba umetne inteligence (UI) pa pomeni vključitev naprednih računalniških sistemov (npr. algoritmov strojnega učenja), ki analizirajo podatke, prepoznavajo vzorce in generirajo priporočila ali napovedi.
IP pojasnjuje, da se Splošna uredba uporablja za obdelavo osebnih podatkov v celoti ali delno z avtomatiziranimi sredstvi in za drugačno obdelavo kakor z avtomatiziranimi sredstvi za osebne podatke, ki so del zbirke ali so namenjeni oblikovanju dela zbirke (prvi odstavek 2. člena Splošne uredbe). V skladu z uvodno določbo št. 15 bi, z namenom preprečiti ustvarjanje resnega tveganja izogibanja predpisom, moralo biti varstvo posameznikov tehnološko nevtralno in neodvisno od uporabljenih tehnik. Varstvo posameznikov bi se moralo uporabljati za obdelavo osebnih podatkov z avtomatiziranimi sredstvi in za ročno obdelavo, če so osebni podatki del zbirke ali so namenjeni, da postanejo del zbirke. Zapisi ali nizi zapisov – kot tudi njihove naslovnice -, ki niso strukturirani v skladu s posebnimi merili, ne bi smeli spadati na področje uporabe te uredbe. Splošna uredba je torej tehnološko nevtralna, kar pomeni, da se uporablja ne glede na uporabljeno tehnologijo, če gre za obdelavo osebnih podatkov. Vsaka obdelava osebnih podatkov, ne glede na to, ali se podatki obdelujejo v okviru UI sistemov ali pa je za njihovo obdelavo uporablja kakšno drugo, manj sofisticirano orodje, mora izpolnjevati vse zahteve iz Splošne uredbe in ZVOP-2.
V kolikor gre v konkretnem primeru (zgolj) za avtomatizirano obdelavo osebnih podatkov bo ključno, da ima CSD ustrezno pravno podlago za obdelavo
osebnih podatkov posameznikov, na katere se nanašajo osebni podatki, za namen izplačila socialnih transferjev – z drugimi besedami, osebni podatki morajo biti za namen izplačila socialnih transferjev zbrani in nadalje obdelani zakonito - in da programska rešitev predstavlja zgolj tehnično rešitev za njihovo obdelavo, ki je sicer potekala ročno – da se torej ti osebni podatki v okviru programske rešitve nadalje ne obdelujejo na način, ki ni združljiv s prvotnimi nameni. Povedano drugače, da bi bila obdelava osebnih podatkov zakonita, mora upravljavec za vsako obdelavo (ne glede na naravo oziroma vrsto posamezne obdelave) osebnih podatkov zagotoviti ustrezno pravno podlago iz prvega odstavka 6. člena in drugega odstavka 9. člena Splošne uredbe ter skladnost s temeljnimi načeli varstva osebnih podatkov iz 5. člena Splošne uredbe. Na kakšen način mora ali sme upravljavec osebne podatke obdelovati – ročno ali z avtomatiziranimi sredstvi – Splošna uredba ne določa, saj je, kot pojasnjeno zgoraj, tehnološko nevtralna. Način obdelave osebnih podatkov Splošna uredba torej prepušča odločitvi upravljavca.
Kot omenjeno uvodoma, pa je potrebno obdelavo osebnih podatkov z avtomatiziranimi sredstvi razlikovati od avtomatiziranega sprejemanja posameznih odločitev, vključno z oblikovanjem profilov, ki ima pravne učinke za posameznika ali nanj znatno vpliva iz 22. člena Splošne uredbe. Avtomatizirano sprejemanje odločitev je dopustno zgolj pod pogoji, kot jih določa drugi odstavek 22. člena Splošne uredbe. Za uporabo te določbe so določeni trije kumulativni pogoji, in sicer, prvič, da mora obstajati „odločitev“, drugič, da mora ta odločitev „temelji[ti] zgolj na avtomatizirani obdelavi, vključno z oblikovanjem profilov“, in tretjič, da mora imeti „pravne učinke v zvezi z [zadevno osebo“ ali „na podoben način nanj[o] znatno“ vplivati.
Dodatno vam svetujemo, da preučite, ali orodje, ki ga nameravate uvesti v svoje procese, ustreza definiciji sistema UI, kot ga opredeljuje prva točka prvega odstavka 3. člena Uredbe (EU) 2024/1689 Evropskega parlamenta in Sveta z dne 13. junija 2024 o določitvi harmoniziranih pravil o umetni inteligenci in spremembi uredb (ES) št. 300/2008, (EU) št. 167/2013, (EU) št. 168/2013, (EU) 2018/858, (EU) 2018/1139 in (EU) 2019/2144 ter direktiv 2014/90/EU, (EU) 2016/797 in (EU) 2020/1828 (Akt o umetni inteligenci), saj bo moral v tem primeru izpolnjevati tudi zahteve Akta o umetni inteligenci.
Pogodbena obdelava
V kolikor informacijsko rešitev nudi drugo podjetje v vlogi obdelovalca, mora biti to razmerje v skladu s tretjim odstavkom 28. člena Splošne uredbe pogodbeno urejeno. Pogodba nima predpisane oblike, ima pa predpisano vsebino. Ta mora določati obveznosti obdelovalca do upravljavca, predvsem pa vsebino in trajanje obdelave, naravo in namen obdelave, vrste osebnih podatkov, kategorije posameznikov, na katere se podatki nanašajo ter obveznosti in pravice upravljavca. Svetujemo vam, da si podrobno preberete tudi obvezne sestavine pogodbe, ki jih opisuje Splošna uredba v tretjem odstavku 28. člena. Splošna uredba sicer omogoča uporabo standardnih pogodbenih določil, ki jih določi Evropska komisija ali ki jih sprejme nadzorni organ (IP) in odobri Evropski odbor za varstvo podatkov. Besedilo standardnih pogodbenih določil je dostopno na spletni strani IP: https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/klju%C4%8Dna-podro%C4%8Dja-uredbe/pogodbena-obdelava#a5 .
Dnevniki obdelave
IP opozarja še, da ZVOP-2 v 22. členu določa obveznost vodenja dnevnika obdelave, v naslednjih primerih:
-kadar se v avtomatiziranih sistemih obdelave osebnih podatkov izvajajo obsežne obdelave posebnih vrst osebnih podatkov ali
-kadar gre za redno in sistematično spremljanje posameznikov ali
-kadar je z oceno učinka ugotovljeno tveganje, ki ga je mogoče učinkovito upravljati z vodenjem dnevnika obdelave ali
-če tako določa zakon.
Omenjeni člen določa tudi vsebino dnevnika obdelave, njegov namen uporabe in rok hrambe. Dnevniki obdelave so namenjeni zagotavljanju t.i. sledljivosti (revizijski sledi) dejanj obdelave osebnih podatkov v realnem času, ki omogočajo kasnejšo analizo v primeru ugotavljanja zakonitosti obdelave, zagotavljanje celovitosti in varnosti podatkov ter za odpravljanje napak v delovanju informacijskega sistema. Zagotavljati pa morajo (najmanj) vrsto dejanja obdelave (zbiranje, spreminjanje, vpogled, razkritje, vključno s prenosi, izbris, druga dejanja obdelave, ki jih določa zakon), datum in čas obdelave, identifikacijo osebe, ki je izvedla dejanje obdelave, ter identifikacijo uporabnikov osebnih podatkov, da je mogoče naknadno ugotoviti točno identiteto teh oseb. Vsak posamezni upravljavec pa lahko ob upoštevanju ocene učinka določi dodatne vsebine dnevnika obdelave.
Lepo vas pozdravljamo.
Pripravila
Sandra Kajtazović, univ. dipl. prav.
dr. Jelena Virant Burnik, informacijska pooblaščenka
---
[1]„obdelava“ pomeni vsako dejanje ali niz dejanj, ki se izvaja v zvezi z osebnimi podatki ali nizi osebnih podatkov z avtomatiziranimi sredstvi ali brez njih, kot je zbiranje, beleženje, urejanje, strukturiranje, shranjevanje, prilagajanje ali spreminjanje, priklic, vpogled, uporaba, razkritje s posredovanjem, razširjanje ali drugačno omogočanje dostopa, prilagajanje ali kombiniranje, omejevanje, izbris ali uničenje (drugi odstavek 4. člena Splošne uredbe).
[2]Sodba sodišča EU, z dne 7. decembra 2023, v zadevi C‑634/21, OQ v. Land Hessen ob udeležbi SCHUFA Holding AG (ECLI:EU:C:2023:957), odst. 43.
[3]Več informacij o umetni inteligenci in varstvu osebnih podatkov je na voljo na spletni strani IP na https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/klju%C4%8Dna-podro%C4%8Dja-uredbe/umetna-inteligenca-in-varstvo-osebnih-podatkov.
[4]„obdelovalec“ pomeni fizično ali pravno osebo, javni organ, agencijo ali drugo telo, ki obdeluje osebne podatke v imenu upravljavca (osmi odstavek 4. člena Splošne uredbe).