Uporaba oblačne storitve za gostovanje ERP sistema

Datum

17.09.2025

Številka

07120-1/2025/410

Kategorije

Prenos osebnih podatkov v tretje države ali mednarodne organizacije, Varnost osebnih podatkov

pri Informacijskem pooblaščencu (IP) smo prejeli vaše zaprosilo za mnenje. Kot ste pojasnili nas prosite za mnenje glede uporabe določene oblačne storitve za gostovanje ERP sistema. Kot ste pojasnili ste v javnem podjetju v okviru projekta ERP sklenili pogodbo o najemu oblačne storitve. Za potrebe skladnosti ste pridobili pravno mnenje odvetniške družbe, ki meni, da je uporaba oblaka po 23. členu ZVOP-2 nedopustna, zato nas prosite za uradno mnenje, ali lahko javno podjetje za svoje poslovanje uporablja določeno rešitev v oblaku in pod katerimi pogoji bi bila uporaba takšne storitve skladna z veljavno zakonodajo (zlasti z vidika varstva osebnih podatkov ter morebitnih drugih omejitev, ki veljajo za javna podjetja). Pojasnili ste, da v ERP obdelujete naslednje podatke: podatki zaposlenih (ime, priimek, naslov bivališča, davčna št., EMŠO, bolniški listi, plače, itd.); finančni podatki (vhodni/izhodni računi, beleženje porabe proračunskih sredstev, itd.); podatki o uporabnikih javnih storitev (ime, priimek, naslov, davčna št., itd.).

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22, 40/25 – ZInfV-1; v nadaljevanju: ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A; v nadaljevanju ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

Uvodoma moramo izpostaviti, da se IP v okviru nezavezujočih mnenj ne more in ne sme opredeljevati, ali je uporaba konkretne informacijske rešitve skladna z zakonodajo o varstvu osebnih podatkov; zakonitost in skladnost obdelav osebnih podatkov v okviru konkretne informacijske rešitve lahko IP preveri le v okviru uradnega inšpekcijskega postopka. Glede pogojev oziroma omejitev, ki jih določa 23. člen ZVOP-2 pa podajamo pojasnilo v nadaljevanju.

23. člen ZVOP-2 ureja varnost osebnih podatkov na področju posebnih obdelav. Gre za specifične zahteve za posebej tvegane informacijske sisteme, kjer se obdeluje velika količina posebej občutljivih, zaupnih ali drugače varovanih podatkov, vključno s posebnimi vrstami osebnih podatkov. Za te informacijske sisteme se ZVOP-2 navezuje na Zakon o informacijski varnosti (ZInfv-1) ter za določene sisteme postavlja omejitve v povezavi z lokacijo hrambe podatkov. 23. člen ZVOP-2 določa:

(1) Za informacijske sisteme, v katerih:

1.se izvajajo obdelave osebnih podatkov, določenih v zakonih, ki urejajo področja upravnih notranjih zadev, finančne uprave, državljanstva, Slovenske obveščevalno-varnostne agencije, obrambe, zdravstvenega varstva, obveznega zdravstvenega zavarovanja, uveljavljanja pravic iz javnih sredstev ter kazenskih in prekrškovnih evidenc, ali

2.se obdelujejo osebni podatki več kot 100.000 posameznikov na podlagi zakona, razen obdelav osebnih podatkov iz 3. poglavja 2. dela tega zakona, ali

3.upravljavec ali obdelovalec kot svojo temeljno dejavnost izvaja obsežne obdelave posebnih vrst osebnih podatkov, ali

4.se obdeluje posebne vrste osebnih podatkov več kot 10.000 posameznikov,

se smiselno uporabljajo določbe o varnostnih zahtevah in priglasitvi incidentov iz zakona, ki ureja informacijsko varnost, ki se nanašajo na izvajalce bistvenih storitev, če upravljavec glede teh obdelav ni dolžan izvajati ukrepov po zakonu, ki ureja informacijsko varnost.

(2) Kadar bi kršitev varnosti osebnih podatkov, ki se obdelujejo v informacijskih sistemih iz prejšnjega odstavka, lahko hudo škodovala varnosti ali interesom Republike Slovenije, upravljavci ali obdelovalci obdelave teh podatkov izvajajo tako, da se sistemsko onemogoča uničenje, nezakonite spremembe osebnih podatkov ali razkritje nepooblaščenim osebam ali drugim subjektom, ki za dostop do njih ali za njihovo obdelavo nimajo pravne podlage ter s tem stalno preprečuje hudo škodo varnosti in interesom Republike Slovenije.

(3) Če se po prvem odstavku tega člena obdelujejo biometrični osebni podatki, zdravstveni osebni podatki ali podatki iz kazenskih in prekrškovnih evidenc in obdelavo izvajajo državni organi, samoupravne lokalne skupnosti, javne agencije, javni zavodi, javna podjetja, izvajalci javnih služb ali nosilci javnih pooblastil, je prepovedana hramba, pri kateri fizična lokacija hrambe teh podatkov ni znana v vseh fazah hrambe in obdelave.

(4) Zbirk osebnih podatkov iz 1. točke prvega odstavka tega člena ni dovoljeno hraniti izven ozemlja Republike Slovenije.

Preverili smo mnenje, ki ste ga pridobili od odvetniške družbe in ugotavljamo, da v mnenju ne piše, da »je uporaba oblaka po 23. členu ZVOP-2 nedopustna«, temveč opozarja, da bi se v primeru, da bi se pri naročniku v oblačni rešitvi obdelovali tudi osebni podatki v obsegu, na način oziroma v okoliščinah, kot je navedeno v prvem, tretjem ali četrtem odstavku 23. člena ZVOP-2, potem bi za iznos teh osebnih podatkov izven Republike Slovenije oziroma za hrambo teh podatkov veljale omejitve, s katerimi oblačna rešitev po mnenju odvetniške družbe skoraj zagotovo ne bi bila skladna (kar bi bilo treba preveriti v okviru dejanskega stanja).

IP poudarja, da je dolžnost upravljavca, da pred uporabo tovrstne rešitve preveri predvsem, kakšen nabor osebnih podatkov se bo obdeloval v njej in ali gre za okoliščine, ki sodijo pod omejitve, kot jih določa 23. člen ZVOP-2 – predvsem morate torej preveriti, ali gre za zbirke osebnih podatkov, kot so opredeljeni v prvem odstavku 23. člena ZVOP. Glede na vašo dejavnost (javno podjetje na področju zagotavljanja čistega in varnega okolja ter storitev) in obseg podatkov, ki naj bi se – kot ste navedli – obdelovali v ERP sistemu, na prvi pogled ni videti, da bi šlo za tovrstne zbirke osebnih podatkov oziroma za takšen informacijski sistem, vendar pa kot smo uvodoma pojasnili, se IP do tega v nezavezujočem mnenju ne sme dokončno opredeljevati.

V pomoč pri razumevanju prvega odstavka 23. člena pojasnjujemo, da  je v obrazložitvi Vlade RS ob sprejemanju ZVOP-2 navedeno, da: » Za določene zbirke, ki so zaradi svoje velikosti, podatkov, ki se v njej obdelujejo ali drugih lastnosti, posebej občutljive, se določa poseben sistem varovanja. Lastnosti, zaradi katerih zbirka velja za posebej občutljivo, so navedene v prvem odstavku predlaganega 23. člena. Prva točka določa, da so občutljive zbirke tiste, ki so določene v zakonu s področja centralnega registra prebivalstva, prijave prebivališča, finančne uprave, državljanstva, Slovenske obveščevalno-varnostne agencije, obrambe, zbirke podatkov s področja zdravstvenega varstva, področja obveznega zdravstvenega zavarovanja, uveljavljanju pravic iz javnih sredstev ter kazenskih in prekrškovnih evidenc. Prav tako so občutljive obdelave osebnih podatkov v zbirkah, ki vsebujejo osebne podatke več kot 100.000 posameznikov, posebne osebne podatke več kot 10.000 posameznikov ali več kot 200.000 posameznikov, kadar se obdelujejo podatki v javnem sektorju. Namen predloga je določiti posebno varovanje zbirk osebnih podatkov, ki vsebujejo podatke o velikem številu posameznikov. Prav velikost zbirk je lastnost, ki jih naredi posebej problematične v primeru (neželenega) razkritja. Upravljavci, ki bi želeli vzpostaviti ali voditi tako obsežne zbirke, bodo morali izvesti nekaj dodatnih ukrepov za zagotovitev varnosti podatkov. Za navedene zbirke je treba izvajati ukrepe, da se onemogoča razkritje nepooblaščenim osebam in stalno preprečuje škodo varnosti, interesom Republike Slovenije ali človekovim pravicam in svoboščinam posameznikov, na katere se podatki nanašajo. To velja tudi za zbirke v zasebnem sektorju (drugi odstavek). Kadar so podatki takšni, da bi njihovo razkritje lahko pomenilo škodo varnosti, interesom Republike Slovenije (definicija s področja tajnih podatkov) jih je treba še dodatno varovati.«

Omejitve iz tretjega in četrtega odstavka 23. člena ZVOP-2 tako primarno naslavljajo skrb, da bi se pomembne (in pretežno, ne pa nujno) velike in posebej občutljive državne zbirke (kot npr. centralni kreditni register pri Banki Slovenije (SISBON), Centralna kadrovska evidenca Ministrstva za javno upravo, informacijski sistem MFERAC Ministrstva za finančne upravo, Centralni register podatkov o pacientih in npr. registri oz. evidence na področju upravnih notranjih zadev: osebnih izkaznic, potnih listov, vozniških dovoljenj, registracije motornih in priklopnih vozil ipd.) hranili brez znane fizične lokacije hrambe ali izven Republike Slovenije, kar je lahko izziv pri uporabi oblačnih rešitev. Pri tem opozarjamo na razliko med tretjim in četrtim odstavkom 23. člen ZVOP-2 – pri podatkih po tretjem odstavku mora biti fizična lokacija hrambe teh podatkov znana v vseh fazah hrambe in obdelave, medtem ko pri podatkih po četrtem odstavku zbirk osebnih podatkov iz 1. točke prvega odstavka tega člena ni dovoljeno hraniti izven ozemlja Republike Slovenije.

Zaključno torej priporočamo, da natančno preverite nabor osebnih podatkov, ki se bodo obdelovali, da v primeru podatkov po tretjem odstavku od ponudnika zahtevate natančne informacije o fizičnih lokacijah hrambe v vseh fazah hrambe in obdelave ter da – v primeru, da bi šlo za zbirke podatkov po 1. točke prvega odstavka 23. člena upoštevate omejitev glede prepovedi hrambe izven ozemlja Republike Slovenije.

Lepo vas pozdravljamo,

dr. Jelena Virant Burnik,

Informacijska pooblaščenka

Pripravil:

mag. Andrej Tomšič,

namestnik informacijske pooblaščenke