Varovanje vira prijave

Datum

21.02.2023

Številka

07120-1/2023/71

Kategorije

Inšpekcijski postopki, Pravne podlage, Upravni postopki, Posredovanje osebnih podatkov

Inšpekcijski svet je na svoji seji, ki je bila 15. 12. 2022 sprejel sklep, da Informacijski pooblaščenec za Inšpekcijski svet pripravi splošne usmeritve oziroma neobvezujoče mnenje v zvezi z odstopanjem prijav organom, za katere se 16. člen ZIN ne uporablja.

Informacijski pooblaščenec (v nadaljevanju IP) vam v zvezi z navedenim sklepom Inšpekcijskega sveta, ki ga je IP štel kot zaprosilo za mnenje, na podlagi informacij, s katerimi razpolaga, v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22, ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba), 76. člena Zakona o varstvu osebnih podatkov na področju obravnavanja kaznivih dejanj (Uradni list RS, št. 177/20, ZVOPOKD) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A, ZInfP) posreduje svoje neobvezujoče mnenje v zvezi z varovanjem vira prijave pri odstopanju prijav organom, za katere se 16. člen ZIN ne uporablja.

1.Podatki prijavitelja, pritožnika, pobudnika ali drugega vlagatelja, ki je določen ali določljiv posameznik, se štejejo kot osebni podatki, zaradi česar mora inšpekcijski organ pri ravnanju s takšno vlogo oziroma obdelavo osebnih podatkov vlagatelja ravnati skladno z določbami Splošne uredbe o varstvu podatkov, kar pomeni, da mora zagotoviti zlasti varnost osebnih podatkov ter poskrbeti, da se bodo osebni podatki vlagatelja obdelovali zakonito in skladno z načeli varstva osebnih podatkov.

2.ODSTOPANJE VLOGE DRUGIM INŠPEKCIJSKIM ORGANOM: Inšpekcijski organ oziroma inšpektor je skladno z določili 24. člena Zakona o inšpekcijskem nadzoru (ZIN) dolžan obravnavati vse prijave, pritožbe, pobude sporočila in druge vloge iz svoje pristojnosti, vključno z anonimnimi, zaradi česar se pri pregledu vloge nujno seznani z njeno vsebino. V kolikor inšpekcijski organ pri takšni obravnavi vloge ugotovi, da obravnava vloge ne sodi v njegovo pristojnost, pa ni nobenega dvoma o tem, kateri drugi inšpekcijski organ je za obravnavo pristojen, ter iz same vloge ne izhajajo posebni razlogi, zaradi katerih bi bilo lahko razkritje osebnih podatkov vlagatelja drugemu inšpekcijskemu organu v nasprotju z načeli varstva osebnih podatkov, vlogo skladno s 65. členom Zakona o splošnem upravnem postopku (ZUP) v neanonimizirani obliki odstopi drugemu inšpekcijskemu organu, in o tem obvesti vlagatelja. Kot primer posebnih razlogov, zaradi katerih bi bilo lahko razkritje osebnih podatkov vlagatelja drugemu inšpekcijskemu organu v nasprotju z načeli varstva osebnih podatkov, se šteje npr. prijava po Zakonu o zaščiti prijaviteljev ali pa prijava oziroma druga vloga, iz katere je dovolj jasno razvidno, da vlagatelj zahteva oziroma ne želi, da se njegova vloga posreduje drugim osebam.

3.ODSTOPANJE VLOGE ORGANOM, ZA KATERE ZIN NE VELJA: Če inšpekcijski organ pri pregledu oziroma obravnavi vloge po 24. členu Zakona o inšpekcijskem nadzoru ugotovi, da obravnava vloge sodi v pristojnost organa, za katerega se ne uporablja 16. člen ZIN, ki zapoveduje varovanje vira prijave, lahko inšpekcijski organ vlogo, ki vsebuje osebne podatke vlagatelja oziroma je iz nje mogoče ugotoviti njegovo identiteto, takšnemu organu odstopi le na podlagi podanega izrecnega soglasja vlagatelja. Inšpekcijski organ zato v takšnem primeru vlagatelja pisno seznani s svojo nepristojnostjo in s tem, kateri drugi organ je pristojen za obravnavo njegove vloge, ter ga opozori, da za ta organ ne velja dolžnost varovanja vira prijave. Vlagatelja hkrati še seznani, da bi bilo iz teh razlogov posredovanje vloge z njegovimi osebnimi podatki pristojnemu organu v nasprotju z načeli varstva osebnih podatkov ter ga pozove, da svojo vlogo bodisi sam posreduje pristojnemu organu ali pa da posreduje izrecno pisno soglasje za razkritje njegove identitete pristojnemu organu. Inšpekcijski organ lahko z vidika predpisov s področja varstva osebnih podatkov, ne glede na prej navedeno, v primeru, ko presodi, da je obravnava vloge s strani drugega organa v javnem interesu, organu, za katerega se ne uporablja 16. člen ZIN, odstopi prejeto vlogo v obravnavo na način, da mu pošlje povzetek vloge, iz katerega ni mogoče ugotoviti identitete vlagatelja.

O b r a z l o ž i t e v:

IP uvodoma pojasnjuje, da izven nadzornega ali drugega upravnega postopka ne more presojati konkretnih obdelav osebnih podatkov in podajati konkretnih stališč v zvezi s posameznimi vprašanji s področja varstva osebnih podatkov, pač pa lahko izven teh postopkov podaja le nezavezujoča mnenja in pojasnila, ki so podana izključno z vidika varstva osebnih podatkov. IP skladno s tem v nadaljevanju posreduje zgolj splošna pojasnila ter pravna izhodišča in pogoje za zakonito obdelavo osebnih podatkov, saj v mnenju ne more presojati ustreznosti konkretnih ravnanj in dajati konkretnih navodil posameznim upravljavcem ter ne sme in ne more prevzeti odgovornosti posameznih subjektov za njihovo poslovanje.

Podatki prijavitelja, pritožnika, pobudnika ali drugega vlagatelja, ki je določen ali določljiv posameznik, se štejejo kot osebni podatki, zaradi česar mora inšpekcijski organ pri ravnanju s takšno vlogo oziroma obdelavo osebnih podatkov vlagatelja ravnati skladno z določbami Splošne uredbe o varstvu podatkov, kar pomeni, da mora zagotoviti zlasti varnost osebnih podatkov ter poskrbeti, da se bodo osebni podatki vlagatelja obdelovali zakonito in skladno z načeli varstva osebnih podatkov. Ob tem je treba poudariti, da se v primerih, kadar se osebni podatki obdelujejo za namene vodenja upravnih postopkov, kot pravna podlaga za obdelavo osebnih podatkov vlagatelja in drugih posameznikov, katerih osebni podatki se obdelujejo v okviru upravnega postopka, lahko štejeta c) ali e) točka prvega odstavka 6. člena Splošne uredbe, saj gre za obdelavo, ki je bodisi potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca ali pa za obdelavo, ki je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu. Obdelava osebnih podatkov, ki se pridobivajo in obdelujejo v okviru vodenja upravnega postopka, se tako šteje za zakonito, če se osebni podatki obdelujejo za namene vodenja upravnega postopka oziroma opravljanje procesnih dejanj na način, kot ga predpisuje zakon, ki določa pravila vodenja upravnega postopka, pri čemer morajo organ, ki vodi postopek, in udeleženci postopka, pri obdelavi osebnih podatkov upoštevati tudi vsa načela v zvezi z obdelavo osebnih podatkov, ki so določena Splošni uredbi.

Temeljna načela v zvezi z obdelavo osebnih podatkov so določena v 5. členu Splošne uredbe, ki v prvem odstavku določa, da morajo biti osebni podatki:

(a) obdelani zakonito, pošteno in na pregleden način v zvezi s posameznikom, na katerega se nanašajo osebni podatki („zakonitost, pravičnost in preglednost“);

(b) zbrani za določene, izrecne in zakonite namene ter se ne smejo nadalje obdelovati na način, ki ni združljiv s temi nameni; nadaljnja obdelava v namene arhiviranja v javnem interesu, v znanstveno- ali zgodovinskoraziskovalne namene ali statistične namene v skladu s členom 89(1) ne velja za nezdružljivo s prvotnimi nameni („omejitev namena“);

(c) ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo („najmanjši obseg podatkov“);

(d) točni in, kadar je to potrebno, posodobljeni; sprejeti je treba vse razumne ukrepe za zagotovitev, da se netočni osebni podatki brez odlašanja izbrišejo ali popravijo ob upoštevanju namenov, za katere se obdelujejo („točnost“);

(e) hrani v obliki, ki dopušča identifikacijo posameznikov, na katere se nanašajo osebni podatki, le toliko časa, kolikor je potrebno za namene, za katere se osebni podatki obdelujejo; osebni podatki se lahko shranjujejo za daljše obdobje, če bodo obdelani zgolj za namene arhiviranja v javnem interesu, za znanstveno- ali zgodovinskoraziskovalne namene ali statistične namene v skladu s členom 89(1), pri čemer je treba izvajati ustrezne tehnične in organizacijske ukrepe iz te uredbe, da se zaščitijo pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki („omejitev shranjevanja“);

(f) obdelujejo se na način, ki zagotavlja ustrezno varnost osebnih podatkov, vključno z zaščito pred nedovoljeno ali nezakonito obdelavo ter pred nenamerno izgubo, uničenjem ali poškodbo z ustreznimi tehničnimi ali organizacijskimi ukrepi („celovitost in zaupnost“).

Upravljavec je odgovoren za skladnost z odstavkom 1 in mora biti to skladnost tudi zmožen dokazati („odgovornost“).

Po določbi drugega odstavka 3. člena Zakona o inšpekcijskem nadzoru (v nadaljevanju: ZIN) se glede vseh postopkovnih vprašanj, ki niso urejena s tem zakonom ali s posebnim zakonom iz prejšnjega odstavka, uporablja Zakon o splošnem upravnem postopku (v nadaljevanju: ZUP).

IP meni, da morajo inšpekcijski organi pri obravnavi prijave, pritožbe, sporočila ali druge vloge, ki jo prejmejo, ter pri odstopanju takšnih vlog drugim organom, izhajati iz specifike inšpekcijskega nadzora, torej morajo upoštevati, da gre pri inšpekcijskem nadzoru za nadzor nad izvajanjem oziroma spoštovanjem zakonov in drugih predpisov, zaradi česar inšpekcijski nadzor ni enak drugim upravnim postopkom. Ob tem je treba še posebej upoštevati, da vlagatelj prijave, pritožbe, pobude, sporočila ali druge vloge, po določbah 24. člena ZIN nima položaja stranke v postopku inšpekcijskega nadzora ter da se njegova vloga šteje le kot pobuda za izvedbo postopka inšpekcijskega nadzora, ki se zato vedno začne po uradni dolžnosti. Zaradi tega je lahko prijava tudi anonimna, zaradi zagotavljanja varovanja vira prijave pa je priporočljivo, da se prijave vodijo ločeno in niso sestavni del inšpekcijskega spisa.

Prijavitelj, ki poda prijavo inšpekcijskemu organu, inšpekcijskemu organu nekatere svoje osebne podatke praviloma posreduje le z namenom, da ga inšpekcijski organ obvesti o svojih ukrepih v zvezi z njegovo prijavo in zato glede na specifiko postopka inšpekcijskega nadzora in s tem povezan položaj prijavitelja ter z zakonom zagotovljeno dolžnost varovanja vira prijave iz 16. člena ZIN utemeljeno pričakuje, da inšpekcijski organ njegove identitete oz. osebnih podatkov ne bo razkril drugim osebam oziroma drugim organom. V zvezi z dolžnostjo varovanja vira prijave iz 16. člena ZIN je zato ob upoštevanju načel v zvezi z obdelavo osebnih podatkov treba opozoriti, da je inšpekcijski organ dolžan varovanje vira prijave in s tem povezanih osebnih podatkov vlagatelja zagotoviti tako pri sami obravnavi vloge, kot tudi v vseh fazah postopka inšpekcijskega nadzora, torej tudi pri odstopanju takšne vloge drugim pristojnim organom.

Pri obravnavi prijav, pritožb, pobud, sporočil in drugih podobnih vlog inšpekcijskemu organu, je glede na specifiko inšpekcijskega nadzora in s tem povezane določbe 16. in 24. člena ZIN treba upoštevati, da gre pri takšnih vlogah praviloma za pobude za uvedbo postopka inšpekcijskega nadzora, ki se vedno začne po uradni dolžnosti, zaradi česa vlagatelju v takšni vlogi ni potrebno navesti osebnih podatkov, kot jih za vlagatelja določa 66. člen ZUP in je zato vloga lahko tudi anonimna in nepodpisana. Osebni podatki, ki jih v svoji vlogi prostovoljno navede prijavitelj, tako praviloma niso namenjeni odločanju o pravicah, obveznostih ali pravnih koristih prijavitelja, pač pa predvsem prejemanju obvestil o ukrepih inšpektorja v zvezi z njegovo vlogo oziroma komunikaciji z vlagateljem. Skladno z načelom omejitve namena iz točke b) prvega odstavka 5. člena Splošne uredbe inšpekcijski organ osebnih podatkov, ki jih v svoji prijavi, pritožbi, pobudi, sporočilu in drugi podobni vlogi navede vlagatelj, ne sme obdelovati na način, ki ni združljiv z določenimi, izrecnimi in zakonitimi nameni, načelo zakonitosti, pravičnosti in preglednosti iz a) točke prvega odstavka 5. člena Splošne uredbe pa inšpekcijski organ kot upravljavca osebnih podatkov še zavezuje, da mora osebne podatke prijavitelja obdelati zakonito, pošteno in na pregleden način. Inšpekcijski organ je skladno z načelom odgovornosti zavezan k spoštovanju vseh načel iz prvega odstavka 5. člena Splošne uredbe, upoštevanje teh načel pa glede na specifiko inšpekcijskega nadzora in s tem povezan položaj prijavitelja pomeni, da mora inšpekcijski organ zagotoviti, da bodo osebni podatki prijavitelja obdelani, torej tudi uporabljeni in razkriti le za namene, za katere so bili pridobljeni, ter da bo pri tem vseskozi zagotovljena tudi zakonitost, poštenost in tajnost njegovih osebnih podatkov.

IP upoštevaje specifiko inšpekcijskega nadzora, namena osebnih podatkov, ki jih inšpekcijskemu organu posreduje prijavitelj ter v 16. členu ZIN zapovedane dolžnosti zagotavljanja tajnosti vira prijave, ob upoštevanju načel varstva osebnih podatkov stoji na stališču, da lahko inšpekcijski organ v primeru, ko pri pregledu vloge ugotovi, da obravnava vloge ne sodi v njegovo pristojnost, pa ni nobenega dvoma o tem, kateri drugi inšpekcijski organ je za obravnavo pristojen oziroma je vlogo dolžan sprejeti, vlogo skladno s 65. členom Zakona o splošnem upravnem postopku praviloma v neanonimizirani obliki brez odlašanja odstopi drugemu inšpekcijskemu organu, katerega k varovanju vira prijave prav tako zavezuje 16. člen ZIN in o tem obvesti vlagatelja. Takšen odstop vloge z osebnimi podatki vlagatelja drugemu inšpekcijskemu organu ni v nasprotju z določenimi in zakonitimi nameni, zaradi katerih so bili pridobljeni osebni podatki vlagatelja, drug inšpekcijski organ pa je prav tako zavezan tudi k varovanju vira prijave. Kot pravna podlaga za takšno odstopanje prijave oziroma posredovanje osebnih podatkov prijavitelja se šteje peti odstavek 65. člena ZUP. IP ob tem opozarja, da tudi takšno posredovanje prijave z osebnimi podatki prijavitelja drugemu inšpekcijskemu organu ni nujno vedno dopustno. Obstaja namreč možnost, da takšen odstop vloge oziroma razkritje identitete in s tem osebnih podatkov prijavitelja izrecno omejuje ali prepoveduje drug zakon, ali pa je iz vloge dovolj jasno razvidno, da vlagatelj zahteva oziroma ne želi, da se njegova vloga posreduje drugim osebam. Kot primer zakona, ki omejuje oziroma prepoveduje razkritje identitete prijavitelja, se štejejo npr. določbe 6. člena Zakona zaščiti prijaviteljev (ZZPri), iz katerih izhaja, da ne sme nihče razkriti identitete prijavitelja brez njegovega izrecnega soglasja nikomur, razen zaupniku in organu za zunanjo prijavo, pod določenimi pogoji pa tudi državnemu tožilcu in sodišču, pri čemer tudi razkritje identitete prijavitelja navedenim subjektom ni dopustno v primeru, če bi razkritje ogrozilo življenje ali resno ogrozilo javni interes, varnost ali obrambo države.

IP meni, da je odstop oziroma posredovanje prijave z osebnimi podatki prijavitelja organu, za katerega se ne uporablja 16. člen ZIN, ki zapoveduje varovanje vira prijave, v neskladju z načeli varstva osebnih podatkov. Zaradi tega lahko inšpekcijski organ vlogo, ki vsebuje osebne podatke vlagatelja oziroma je iz nje mogoče ugotoviti njegovo identiteto, takšnemu organu odstopi le na podlagi pridobljenega izrecnega soglasja vlagatelja. Inšpekcijski organ bi moral zato po mnenju IP v takšnem primeru vlagatelja seznaniti s svojo nepristojnostjo, s tem, kateri drugi organ je pristojen za obravnavo njegove vloge ter ga opozoriti, da za ta organ ne velja dolžnost varovanja vira prijave. Vlagatelja bi bilo treba hkrati še seznaniti, da bi bilo iz teh razlogov posredovanje vloge z njegovimi osebnimi podatki pristojnemu organu v nasprotju z načeli varstva osebnih podatkov ter ga pozvati, da svojo vlogo bodisi sam posreduje pristojnemu organu ali pa da posreduje izrecno pisno soglasje za razkritje njegove identitete pristojnemu organu. Inšpekcijski organ lahko, ne glede na prej navedeno, v primeru, ko presodi, da je obravnava vloge s strani drugega organa v javnem interesu, organu, za katerega se ne uporablja 16. člen ZIN, odstopi prejeto vlogo v obravnavo na način, da mu pošlje povzetek vloge, iz katerega ni mogoče ugotoviti identitete vlagatelja. V primeru posredovanja takšnega povzetka namreč ne gre za obdelavo osebnih podatkov, zaradi česar posredovanje takšnega povzetka vloge ni v nasprotju z določbami Splošne uredbe in ZVOP-2.

Lepo vas pozdravljamo.

Pripravil:

Jože Bogataj, namestnik informacijske pooblaščenke

Mojca Prelesnik, univ. dipl. prav., informacijska pooblaščenka

---

[1]Uradni list RS, št. 43/07–UPB1 in 40/14.

[2]Uradni list RS, št. 24/06‑UPB2, s sprem.

[3]Uradni list RS, št. 16/23.