Zavezanci po 1. točki prvega odstavka 23. člena ZVOP-2

Datum

11.11.2025

Številka

07120-1/2025/496

Kategorije

Občine, Varnost osebnih podatkov

pri Informacijskem pooblaščencu (IP) smo prejeli večje število zaprosil za mnenje glede razlage 23. člena Zakona o varstvu osebnih podatkov (ZVOP-2), zlasti glede pojasnil, kateri informacijski sistemi sodijo pod sisteme iz 1. točke prvega odstavka 23. člena ZVOP-2.

Od 19. 6. 2025 namreč velja Zakon o informacijski varnosti (Uradni list RS, št. 40/25; ZInfV-1), na katerega napotuje 23. člen ZVOP-2 v določenih primerih. Zato se nekateri subjekti utemeljeno sprašujejo, ali so zavezanci zlasti po 1. točki prvega odstavka 23. člena ZVOP-2 in ali so posledično dolžni izvajati določene zahteve ZInfV-1.

V izogib podaji večjega števila nezavezujočih mnenj za vsak subjekt posebej, IP v okviru svojih pristojnosti v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22, 40/25 – ZInfV-1; v nadaljevanju: ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A; v nadaljevanju ZInfP) podaja enovito neobvezujoče mnenje v zvezi z izpostavljeno problematiko.

Uvodoma moramo izpostaviti, da se IP v okviru nezavezujočih mnenj ne more in ne sme opredeljevati, ali je določeni subjekt zavezanec glede na specifične določbe ZVOP-2; o tem se IP lahko izreče le v okviru uradnega nadzornega postopka, v katerem se preverijo vse relevantne konkretne okoliščine.

Glede pogojev oziroma omejitev, ki jih določa 23. člen ZVOP-2 zato v pomoč zavezancem podajamo splošna pojasnila.

23. člen ZVOP-2 ureja obveznosti glede nekaterih ukrepov zagotavljanja varnosti osebnih podatkov na področju posebnih obdelav. Iz vprašanj, ki jih prejema IP, izhaja, da je največ nejasnosti glede določbe 1. točke prvega odstavka 23. člena ZVOP-2, ki določa specifične zahteve za posebej tvegane informacijske sisteme, kjer se obdeluje velika količina posebej občutljivih, zaupnih ali drugače varovanih podatkov, vključno s posebnimi vrstami osebnih podatkov. Za te informacijske sisteme se ZVOP-2 navezuje na ZInfV-1 ter zanje postavlja določene zahteve oziroma omejitve. 23. člen ZVOP-2 od 19. 6. 2025, določa:

(1) Za informacijske sisteme, v katerih:

1.se izvajajo obdelave osebnih podatkov, določenih v zakonih, ki urejajo področja upravnih notranjih zadev, finančne uprave, državljanstva, Slovenske obveščevalno-varnostne agencije, obrambe, zdravstvenega varstva, obveznega zdravstvenega zavarovanja, uveljavljanja pravic iz javnih sredstev ter kazenskih in prekrškovnih evidenc, ali

2.se obdelujejo osebni podatki več kot 100.000 posameznikov na podlagi zakona, razen obdelav osebnih podatkov iz 3. poglavja 2. dela tega zakona, ali

3.upravljavec ali obdelovalec kot svojo temeljno dejavnost izvaja obsežne obdelave posebnih vrst osebnih podatkov, ali

4.se obdeluje posebne vrste osebnih podatkov več kot 10.000 posameznikov,

se smiselno uporabljajo določbe o ukrepih za obvladovanje tveganj in priglasitvi incidentov iz zakona, ki ureja informacijsko varnost, ki se nanašajo na bistvene subjekte, če upravljavec glede teh obdelav ni dolžan izvajati ukrepov po zakonu, ki ureja informacijsko varnost.

(2) Kadar bi kršitev varnosti osebnih podatkov, ki se obdelujejo v informacijskih sistemih iz prejšnjega odstavka, lahko hudo škodovala varnosti ali interesom Republike Slovenije, upravljavci ali obdelovalci obdelave teh podatkov izvajajo tako, da se sistemsko onemogoča uničenje, nezakonite spremembe osebnih podatkov ali razkritje nepooblaščenim osebam ali drugim subjektom, ki za dostop do njih ali za njihovo obdelavo nimajo pravne podlage ter s tem stalno preprečuje hudo škodo varnosti in interesom Republike Slovenije.

(3) Če se po prvem odstavku tega člena obdelujejo biometrični osebni podatki, zdravstveni osebni podatki ali podatki iz kazenskih in prekrškovnih evidenc in obdelavo izvajajo državni organi, samoupravne lokalne skupnosti, javne agencije, javni zavodi, javna podjetja, izvajalci javnih služb ali nosilci javnih pooblastil, je prepovedana hramba, pri kateri fizična lokacija hrambe teh podatkov ni znana v vseh fazah hrambe in obdelave.

(4) Zbirk osebnih podatkov iz 1. točke prvega odstavka tega člena ni dovoljeno hraniti izven ozemlja Republike Slovenije.

V pomoč pri razumevanju prvega odstavka 23. člena pojasnjujemo, da je v obrazložitvi Vlade RS ob sprejemanju ZVOP-2 navedeno, da: »Za določene zbirke, ki so zaradi svoje velikosti, podatkov, ki se v njej obdelujejo ali drugih lastnosti, posebej občutljive, se določa poseben sistem varovanja. Lastnosti, zaradi katerih zbirka velja za posebej občutljivo, so navedene v prvem odstavku predlaganega 23. člena. Prva točka določa, da so občutljive zbirke tiste, ki so določene v zakonu s področja centralnega registra prebivalstva, prijave prebivališča, finančne uprave, državljanstva, Slovenske obveščevalno-varnostne agencije, obrambe, zbirke podatkov s področja zdravstvenega varstva, področja obveznega zdravstvenega zavarovanja, uveljavljanju pravic iz javnih sredstev ter kazenskih in prekrškovnih evidenc. Prav tako so občutljive obdelave osebnih podatkov v zbirkah, ki vsebujejo osebne podatke več kot 100.000 posameznikov, posebne osebne podatke več kot 10.000 posameznikov ali več kot 200.000 [1] posameznikov, kadar se obdelujejo podatki v javnem sektorju. Namen predloga je določiti posebno varovanje zbirk osebnih podatkov, ki vsebujejo podatke o velikem številu posameznikov. Prav velikost zbirk je lastnost, ki jih naredi posebej problematične v primeru (neželenega) razkritja. Upravljavci, ki bi želeli vzpostaviti ali voditi tako obsežne zbirke, bodo morali izvesti nekaj dodatnih ukrepov za zagotovitev varnosti podatkov. Za navedene zbirke je treba izvajati ukrepe, da se onemogoča razkritje nepooblaščenim osebam in stalno preprečuje škodo varnosti, interesom Republike Slovenije ali človekovim pravicam in svoboščinam posameznikov, na katere se podatki nanašajo. To velja tudi za zbirke v zasebnem sektorju (drugi odstavek). Kadar so podatki takšni, da bi njihovo razkritje lahko pomenilo škodo varnosti, interesom Republike Slovenije (definicija s področja tajnih podatkov) jih je treba še dodatno varovati.«

Drugi del 1. točke prvega odstavka 23. člena ZVOP-2 določa, da se smiselno uporabljajo določbe o ukrepih za obvladovanje tveganj in priglasitvi incidentov iz zakona, ki ureja informacijsko varnost, ki se nanašajo na bistvene subjekte, če upravljavec glede teh obdelav ni dolžan izvajati ukrepov po zakonu, ki ureja informacijsko varnost.

Prav tako pa za vse zbirke iz 1. točke prvega odstavka 23. člena ZVOP-2 velja prepoved hrambe teh zbirk osebnih podatkov izven ozemlja Republike Slovenije ne glede na to ali gre za bistvene subjekte ali ne.

Da mora zavezanec izpolnjevati zahteve po 1. točki prvega odstavka 23. člena ZVOP-2 sta torej dva pogoja:

·mora iti za informacijski sistem, v katerem se izvajajo obdelave osebnih podatkov, določenih v zakonih iz 1. točke prvega odstavka 23. člena ZVOP-2 in

·da upravljavec glede teh obdelav ni dolžan izvajati ukrepov že po zakonu, ki ureja informacijsko varnost.

IP navedeno razume tako, da je zakonodajalec zaradi lastnosti določenih zbirk oziroma informacijskih sistemov tudi za subjekte, ki sicer niso dolžni izvajati ukrepov po zakonu, ki ureja informacijsko varnost, določil, da morajo izvajati nekatere ukrepe za varnost podatkov, in sicer smiselno določbe o ukrepih za obvladovanje tveganj in priglasitvi incidentov iz zakona, ki ureja informacijsko varnost, ki oziroma kot se nanašajo na bistvene subjekte. Hkrati je zgolj za nekatere določil dodatno obveznost z zahtevo po lokaciji hrambe zbirk osebnih podatkov.

Kolikor gre za zavezanca, ki sodi med bistvene subjekte po ZInfV-1, načeloma ni videti težav, saj morajo že glede na status bistvenega subjekta izvajati vse zahteve ZInfV-1, ki veljajo zanje in s tem tudi zahteve 23. člena ZVOP-2 (npr. najbolj očitno veliki državni registri).

Verjetno pa določeni subjekti sicer niso zavezanci po ZInfV-1, so pa zavezanci po 1. točki prvega odstavka 23. člena ZVOP-2. Ti zavezanci morajo izpolniti zgolj nekatere določbe ZInfV-1, in sicer določbe o ukrepih za obvladovanje tveganj in priglasitvi incidentov.

Takšnim subjektom predlagamo, da:

1.najprej preverijo svoj status glede določb ZInfV-1 – kolikor sodijo med bistvene subjekte, potem ni dilem glede relacije do 23. člena ZVOP-2, saj morajo izpolnjevati vse zahteve, ki po ZInfV-1 veljajo za bistvene subjekte;

2.če ne sodijo med bistvene subjekte po ZinfV-1 naj preverijo, ali gre za informacijski sistem po določbah 1. točke prvega odstavka 23. člena ZVOP-2 – v tem primeru morajo izvajati nekatere zahteve, ki veljajo za bistvene subjekte (ukrepe za obvladovanje tveganj in glede priglasitve incidentov).

Glede 1. točke zgoraj in statusa zavezanca neposredno po določbah ZInfV-1 predlagamo, da se za mnenje obrnete bodisi na Urad Vlade RS za informacijsko varnost (URSIV) bodisi na resorno ministrstvo, saj za interpretacijo določb ZInfV-1 nismo pristojni.

Glede 2. točke pojasnjujemo, da je dolžnost zavezanca, da preveri, ali gre pri njem za informacijski sistem, v katerem se izvajajo obdelave osebnih podatkov, določenih v zakonih, ki urejajo področja upravnih notranjih zadev, finančne uprave, državljanstva, Slovenske obveščevalno-varnostne agencije, obrambe, zdravstvenega varstva, obveznega zdravstvenega zavarovanja, uveljavljanja pravic iz javnih sredstev ter kazenskih in prekrškovnih evidenc. Jasno je, da ta zahteva velja za upravljavce velikih državnih registrov (npr. na področju upravnih notranjih zadev: osebnih izkaznic, potnih listov, vozniških dovoljenj, parkirnih kart, registracije motornih in priklopnih vozil, o sklenjenih zakonskih ali partnerskih zvezah, matični register, register prebivalstva, prijave, odjave ali sprememba stalnega oziroma začasnega prebivališča, potrjevanje podpor volivca; na drugih področjih pa npr. informacijski sistemi Finančne uprave RS, Zavoda za zdravstveno zavarovanje, Zavoda za pokojninsko in invalidsko zavarovanje, Centrov za socialno delo).

Pri tem pojasnjujemo, da glede na Prilogo 3 - Drugi subjekti javne uprave na državni ravni ZinfV-1 med bistvene subjekte sodijo mestne (in torej ne vse) občine ter naslednji javni skladi:

·Eko sklad, Slovenski okoljski javni sklad,

·Javni sklad Republike Slovenije za podjetništvo,

·Javni sklad Republike Slovenije za regionalni razvoj in razvoj podeželja,

·Javni štipendijski, razvojni, invalidski in preživninski sklad Republike Slovenije,

·Sklad kmetijskih zemljišč in gozdov Republike Slovenije,

·Sklad Republike Slovenije za nasledstvo, javni sklad,

·Stanovanjski sklad Republike Slovenije, javni sklad.

Dileme se glede na prejeta vprašana pojavljajo predvsem glede področij, ki (na prvi pogled) niso natančno opredeljena, in sicer:

·zdravstvenega varstva in

·uveljavljanja pravic iz javnih sredstev.

Razumljivo je, da zakonodajalec z nomotehničnega vidika pri navajanju in sklicevanju na druge zakone te določa generično in ne poimensko, vendar pa pri konkretni uporabi in razumevanju zahtev ne bi smelo biti dilem, na kateri dejanski zakon se določena zahteva nanaša in tako preveriti, ali določen subjekt izvaja obdelavo osebnih podatkov oziroma informacijski sistem po tem zakonu.

Glede zakona, ki ureja področje zdravstvenega varstva – Zakon o zdravstvenem varstvu in zdravstvenem zavarovanju (Uradni list RS, št. 72/06 – uradno prečiščeno besedilo, s spremembami in dopolnitvami; ZZVZZ) naloge na področju zdravstvenega varstva uresničujejo izvajalci zdravstvene dejavnosti, Zavod za zdravstveno zavarovanje, zdravstveni zavodi in drugi zavodi ter organizacije, ki opravljajo zdravstveno dejavnost. To glede na veljavno ureditev izhaja tudi iz drugih temeljih zakonov na področju zdravstvenega varstva, npr. Zakon o pacientovih pravicah in Zakon o zbirkah podatkov na področju zdravstvenega varstva ter drugi zakoni, ki urejajo to področje.