Upravno poslovanje

Datum

17.03.2023

Številka

07120-1/2023/138

Kategorije

Rok hrambe OP

Pri Informacijskem pooblaščencu (IP) smo dne 3. 3. 2023 prejeli vaš dopis, v katerem nam postavljate vprašanja v zvezi z upravnim poslovanjem na področju VOP in IJZ.

V zvezi s področjem varstva osebnih podatkov vas zanima:

(a)kakšno je naše mnenje glede varnosti vročanja dokumentov z osebnimi podatki na navadne elektronske naslove, kot to dopušča 86.a. člen Zakona o splošnem upravnem postopku (v nadaljevanju ZUP).

(b)kakšno je naše mnenje glede hrambe revizijskih sledi v povezavi z načeli sorazmernosti ter dokazovanja celovitosti/avtentičnosti gradiva.

V zvezi s področjem dostopa do informacij javnega značaja vas zanima, ali je elektronsko prekrivanje dokumentov, v kontekstu anonimizacije dokumentov v postopku po ZDIJZ, ustrezno in dovolj zanesljivo, ali je priporočljivo raje izvesti »ročno« anonimizacijo na natisnjene dokumente, ki naj bi bilo zelo zamudno.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22, ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba), 76. člena Zakona o varstvu osebnih podatkov na področju obravnavanja kaznivih dejanj (Uradni list RS, št. 177/20, ZVOPOKD) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A, ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.

1.Pristojnost vodenja upravnih postopkov, kamor spada tudi izbira zakonite vročitve je zgolj na organu, ki upravni postopek vodi. Uradna oseba, pooblaščena za opravljanje procesnih dejanj v postopku, mora odrediti tak način vročitve, ki je v konkretni in posamični zadevi najbolj primeren, upoštevaje tudi elemente vsebine dokumenta, ki se vroča. Vsekakor pa IP ne more na splošno enoznačno zatrjevati, za vse vrste dokumentov, ki se vročajo in morebiti vsebujejo osebne podatke, da bi bilo potrebno vročanje vseh takih dokumentov zgolj na en ali drug način.

2.IP kot nadzorni organ ne more namesto upravljavca presojati, kakšen rok hrambe revizijskih sledi vašega gradiva bi bil najbolj primeren za to, da bo izpolnjeval zahteve po celovitosti in avtentičnosti gradiva ter ob enem bil sorazmeren. To bi IP namreč lahko presojal zgolj v okviru izvedenega inšpekcijskega nadzora.

3.IP bi se kot pritožbeni organ na področju dostopa do informacij javnega značaja lahko do vprašanja o načinu izvedbe delnega dostopa in s tem anonimizacije osebnih podatkov opredelil zgolj v okviru pritožbenega postopka in ne v okviru tega mnenja, saj bi s tem lahko prejudiciral svojo odločitev.

O b r a z l o ž i t e v:

V zvezi z vašima vprašanjema glede varstva osebnih podatkov pri upravnem poslovanju IP najprej pojasnjuje, da na tem področju opravlja naloge nadzornega organa, kjer izven postopka inšpekcijskega nadzora ali drugega upravnega postopka ne more in ne sme podajati konkretnih stališč v zvezi s posameznimi vprašanji s področja varstva osebnih podatkov, kot podobno velja tudi za druge inšpekcijske organe. IP tako ne more podajati konkretnih ocen o tem, ali je elektronski način vročanja dokumentov v navadne elektronske predale primeren način vročanja, niti to, kakšen mora biti rok hrambe revizijskih sledi vašega gradiva, da bo izpolnjeval zahteve po celovitosti in avtentičnosti gradiva ter ob enem bil sorazmeren. Le to bi namreč IP lahko storil zgolj v okviru izvedenega inšpekcijskega nadzora.

Glede roka hrambe gradiva zgolj poudarjamo, da namen hrambe revizijskih sledi izhaja iz 22. člena ZVOP-2, ki določa, da je namen dnevnika obdelave (v katerem se hrani revizijska sled) izkazovanje zakonitosti obdelave ter izvajanje notranjega nadzora, izvajanje nadzorov ali drugih zakonsko določenih preverjanj s strani nadzornega organa ali drugih pristojnih organov, zagotavljanje celovitosti in varnosti osebnih podatkov ter za odpravljanje napak v delovanju informacijskega sistema ali obdelavi podatkov. Peti odstavek tega člena dodatno določa, da se vsebina dnevnika obdelave hrani dve leti od zaključka koledarskega leta, v katerem so bila zabeležena dejanja obdelave, če drug zakon ne določa drugače. Kadar je z oceno učinka ali analizo upoštevnih tveganj ugotovljeno tveganje, ki ga je mogoče učinkovito upravljati s podaljšanjem roka hrambe, se sme dnevnik obdelave hraniti največ pet let od zaključka koledarskega leta, v katerem so bila zabeležena dejanja obdelave. Kadar so za seznanitev s podatki iz dnevnika določene omejitve iz 18. člena tega zakona, se vsebina dnevnika obdelave hrani dve leti po prenehanju omejitev, če drug zakon ne določa drugače. Ob tem IP posebej poudarja, da je treba ločiti med hrambo revizijski sledi in pa hrambo samih osebnih podatkov v zbirki, na obdelavo katerih se te revizijske sledi nanašajo. Roki hrambe samih osebnih podatkov v zbirki so predpisani z zakonodajo glede na pravno podlago in namene njihove obdelave. V praksi to včasih lahko pomeni tudi, da je rok hrambe samih osebnih podatkov v zbirki lahko že potekel in torej ni več potrebe oziroma podlage za njihovo hrambo, medtem ko lahko rok hrambe revizijskih sledi obdelav teh osebnih podatkov še teče in mora upravljavec še vedno zagotavljati njihovo hrambo. IP pri tem še opozarja, da mora upravljavec v vsakem primeru z vso skrbnostjo paziti, da glede na razpoložljive vire, tveganja, obseg in naravo podatkov skrbi za ustrezno zavarovanje osebnih podatkov, kar vključuje tudi zagotavljanje sledljivosti pri obdelavi osebnih podatkov in tudi občasno preverjanje, ali se osebni podatki obdelujejo zakonito.

V zvezi z vprašanji vročanja v upravnih postopkih pa poudarjamo, da IP ni pristojen za komentiranje načina njihovega vodenja in v tem kontekstu upravnega poslovanja organov javne uprave. Skladno s sklepom Ustavnega sodišča RS, št. U-I-92/12-13 z dne 10. 10. 2013, IP tudi tako ne bi smel izvajati inšpekcijskega nadzora nad izvajanjem določb, ki urejajo varstvo osebnih podatkov, tako, da pri izvrševanju svojih zakonsko določenih pooblastil poseže v posamične upravne postopke, ki jih vodijo za to pristojni državni organi ter v njih ne sme preverjati, ali se v konkretnih upravnih postopkih ustavno-skladno in zakonito spoštuje varstvo osebnih podatkov. Pristojnost vodenja upravnih postopkov, kamor spada tudi izbira zakonite vročitve je zgolj na organu, ki upravni postopek vodi. Uradna oseba, pooblaščena za opravljanje procesnih dejanj v postopku, mora odrediti tak način vročitve, ki je v konkretni in posamični zadevi najbolj primeren, upoštevaje tudi elemente vsebine dokumenta, ki se vroča. Vsekakor pa IP ne more na splošno enoznačno zatrjevati, za vse vrste dokumentov, ki se vročajo in morebiti vsebujejo osebne podatke, da bi bilo potrebno vročanje vseh takih dokumentov zgolj na en ali drug način. Uradna oseba, ki vodi upravni postopek in v sklopu tega odreja način vročitve mora seveda pri tem upoštevati tudi elemente, kakšen dokument se vroča, če in katere osebne podatke vsebuje ter kakšno je razmerje med varstvom osebnih podatkov posameznika na eni strani ter učinkovitostjo in fleksibilnostjo vodenja postopka na drugi. V zvezi s tem vam predlagamo, da se z vprašanji glede upravnega poslovanja organov javne uprave obrnete na za to pristojno resorno ministrstvo (Ministrstvo za javno upravo). Konkretneje področje vročanja v okviru upravnega postopka pokriva Sektor za splošni upravni postopek in upravno poslovanje.

V zvezi z vašim zaprosilom za mnenje, ali smatramo elektronski način anonimizacije dokumentov, v kontekstu omogočanja delnega dostopa po 7. členu Zakona o dostopu do informacij javnega značaja (Uradni list RS, št. 51/06 – uradno prečiščeno besedilo, 117/06 – ZDavP-2, 23/14, 50/14, 19/15 – odl. US, 102/15, 7/18 in 141/22; v nadaljevanju ZDIJZ), kot primernejši način ročni obliki anonimizacije dokumentov po ZDIJZ (omogočanje delnega dostopa na natisnjenem dokumentu) pa IP poudarja, da je skladno s 1. alinejo prvega odstavka 2. člena Zakona o Informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A); v nadaljevanju ZInfP) v zadevah s področja dostopa do informacij javnega značaja pristojen le za odločanje o pritožbi zoper odločbo, s katero je organ zahtevo prosilca zavrnil ali zavrgel in v tem delu ne sme prejudicirati odločitve. Odgovora na vprašanje, ali je elektronska izvedba delnega dostopa primeren način izvrševanja 7. člena ZDIJZ, vam IP ne more niti ne sme podati, saj bi se do tega vprašanja lahko opredelil zgolj v primeru, če bi prosilec zoper vašo postopanje po ZDIJZ (v tem delu zavrnilno odločbo), vložil pritožbo.

V zvezi s tem pa poudarjamo, da iz 32. člena ZDIJZ izhaja, da je naloga Ministrstva za javno upravo med drugim tudi seznanjanje javnosti o načinu in pogojih dostopa do informacij javnega značaja, tako da se s svojim vprašanji v zvezi z uporabo določil ZDIJZ (npr. kako najprimernejše izvesti anonimizacijo dokumenta v okviru postopka po ZDIJZ) lahko obrnete tudi na navedeno ministrstvo.

Lepo vas pozdravljamo,

Pripravil:

Grega Rudolf, asistent svetovalca pri IP

Mojca Prelesnik, univ. dipl. prav., informacijska pooblaščenka