Ustreznost rešitve

Datum

25.07.2023

Številka

07121-1/2023/362

Kategorije

Pridobivanje OP iz zbirk, Varnost osebnih podatkov

Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaše zaprosilo za mnenje glede ustreznosti določene tehnične rešitve z vidika varstva osebnih podatkov.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22; ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, 51/07 – ZUstS-A; ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

IP ne nudi storitve pregleda ali vnaprejšnje odobritve različnih obrazcev, storitev, aplikacij ali drugih rešitev, ki jih uvajajo posamezni upravljavci, z vidika njihove skladnosti z veljavnimi predpisi.

V skladu z načelom najmanjšega obsega podatkov je potrebno obdelovati samo toliko osebnih podatkov, kolikor je nujno potrebno za dosego zakonitega namena obdelave (v konkretnem primeru izvajanje nadzora izplačil pomoči). Navedeno pomeni, da pristojni organ lahko pridobi oziroma mu je treba posredovati le tiste podatke, ki jih potrebuje za izvajanje nadzora izplačil pomoči upravičencem. Ob tem je treba poskrbeti, da se ob tem ne razkrijejo osebni podatki drugih posameznikov, do katerih pristojni organ ni upravičen.

Obrazložitev

IP uvodoma poudarja, da lahko podaja neobvezujoča mnenja in pojasnila, ne sme pa izven konkretnih inšpekcijskih postopkov preverjati primernosti izbrane pravne podlage ali namenov oziroma obsega obdelave osebnih podatkov v konkretnem primeru. IP tako ne nudi storitve pregleda ali vnaprejšnje odobritve različnih obrazcev, storitev, aplikacij ali drugih rešitev, ki jih uvajajo posamezni upravljavci, z vidika njihove skladnosti z veljavnimi predpisi. IP kot nadzorni organ na področju varstva osebnih podatkov v okviru mnenja tako ne more presojati skladnosti rešitve, ki ste jo na kratko opisali v vašem zaprosilu za mnenje, s predpisi s področja varstva osebnih podatkov.

IP pojasnjuje, da mora upravljavec pred uvedbo posamezne rešitve presoditi dopustnost in sorazmernost obdelav osebnih podatkov, ki bodo obdelovani v njenem okviru. Vsaka obdelava osebnih podatkov mora potekati transparentno in skladno z določbami Splošne uredbe. Ta v prvem odstavku 6. člena določa, da je obdelava osebnih podatkov zakonita le in kolikor je za konkretni namen obdelave izpolnjen eden od naslednjih pogojev:

(a)posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov;

(b)obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe;

(c)obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca;

(d)obdelava je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe;

(e)obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu;

(f)obdelava je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok.

Zakon o pomoči gospodarstvu za omilitev posledic energetske krize (Uradni list RS, št. 163/22, 15/23; v nadaljevanju: ZGPOPEK) v prvem odstavku 16. člena določa, da ima pristojni organ ima za namene izvajanja nadzora v skladu s tem členom pravico neposredno od upravičenca pridobivati dokazila, pojasnila in druge listine z namenom ugotovitve dejanske upravičenosti do pomoči v skladu s tem zakonom. V drugem odstavku istega člena določa, da pristojni organ za namen izvajanja nadzora v skladu s tem členom predpiše vrsto in obliko podatkov ter način elektronske izmenjave podatkov s subjekti, ki so dolžni omenjene podatke zagotoviti pristojnemu organu, da pridobi in preveri podatke o dobavljenih količinah in cenah energentov na enoto za posameznega upravičenca v skladu s tretjim in četrtim odstavkom tega člena. V tretjem odstavku je določeno, da morajo elektrooperaterji in dobavitelji za električno energijo, kot jih opredeljuje Zakon o oskrbi z električno energijo, operater prenosnega sistema ter operaterji distribucijskih sistemov in dobavitelji za zemeljski plin, kot jih opredeljuje Zakon o oskrbi s plini, pristojnemu organu posredovati podatke iz prejšnjega odstavka. Operaterji posredujejo podatke o dobavljenih količinah električne energije in zemeljskega plina ter dobaviteljih, dobavitelji pa podatke o cenah na enoto električne energije in zemeljskega plina za posameznega upravičenca.

Nadalje je v četrtem odstavku 16. člena ZGPOPEK določeno, da ima obveznost iz prejšnjega odstavka tudi vsak posredni dobavitelj, ki upravičencem dobavlja in zaračunava del energentov in razpolaga s podatki za upravičenca o cenah v eurih na MWh in količinah v MWh. Za upravičenca, ki uveljavlja pomoč za gospodarstvo in za katerega posredni dobavitelj ne zagotavlja podatkov o cenah v eurih na MWh in količinah v MWh, pristojni organ za namen izvajanja nadzora v skladu s tem členom pridobi podatke skladno s prvim odstavkom tega člena.

Pristojni organ (v skladu s tretjim odstavkom 4. člena ZGPOPEK je to Javna agencija RS za spodbujanje podjetništva, internacionalizacije, tujih investicij in tehnologije) je torej v skladu z določili ZGPOPEK upravičen pridobivati določene podatke. Ob tem pa IP opozarja na načelo najmanjšega obsega podatkov, ki določa, da morajo biti pod pogojem, da obstaja pravna podlaga, osebni podatki, ki se obdelujejo, ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo. Navedeno načelo pomeni, da je potrebno obdelovati samo toliko osebnih podatkov, kolikor je nujno potrebno za dosego zakonitega namena obdelave (v konkretnem primeru izvajanje nadzora izplačil pomoči). Navedeno pomeni, da pristojni organ lahko pridobi oziroma mu je treba posredovati le tiste podatke, ki jih potrebuje za izvajanje nadzora izplačil pomoči upravičencem. Ob tem je treba poskrbeti, da se ob tem ne razkrijejo osebni podatki drugih posameznikov, do katerih pristojni organ ni upravičen.

IP ob tem poudarja, da v okviru neobvezujočega mnenja ne more odločati o tem, ali so v konkretnem primeru podani pogoji za posredovanje osebnih podatkov, temveč lahko zgolj opozori na relevantno pravno podlago ter pogoje, ki morajo biti izpolnjeni, da je določeno posredovanje podatkov zakonito. Konkretno presojo pa lahko oziroma mora opraviti izključno upravljavec osebnih podatkov, ki nosi tudi odgovornost za tovrstno opravljeno presojo. IP se v mnenju ne more in ne sme postaviti v vlogo odločevalca (razsojevalca) v posameznih primerih in odločiti o upravičenosti in dovoljenem obsegu posredovanja podatkov ali celo odrediti/prepovedati določenemu zavezancu posredovanje določenih podatkov.

Ob tem IP pojasnjuje, da bi moralo biti v primeru uvedbe konkretne rešitve poskrbljeno tudi za ustrezno zavarovanje podatkov med njihovim prenosom in tudi zavarovanje samih zbirk osebnih podatkov, ki bi nastale na podlagi uporabe rešitve. Gre za organizacijske in tehnične ukrepe, ki jih določa Splošna uredba v 24., 25. in 32. členu. Dodatne informacije v zvezi z zavarovanjem osebnih podatkov so na voljo v smernicah IP, ki so dostopne na spletni strani IP:

https://www.ip-rs.si/fileadmin/user_upload/Pdf/smernice/Smernice_o_zavarovanju_OP.pdf

Usmeritve in napotila omenjenih smernic so zelo koristne tako pri razvoju in nastavitvah kot tudi pri uporabi posameznih rešitev, ki so povezane z obdelavo osebnih podatkov.

IP posebej opozarja, da pomemben in pogosto zapostavljen vidik predstavlja tudi obveščanje posameznikov o obdelavi osebnih podatkov. IP poudarja, da je upravljavec dolžan posameznika seznaniti z rešitvijo, načinom njenega delovanja, nameni, za katere bodo pridobljeni podatki uporabljeni, ter o ostalih pomembnih vidikih obdelave osebnih podatkov, ki so določeni v 13. in 14. členu Splošne uredbe. IP pred uvedbo konkretne rešitve vsekakor poziva k temeljiti in natančni izvedbi teh korakov. Navedene informacije morajo biti čim bolj jasne, pregledne in posameznikom razumljive ter lahko dostopne. IP je za pomoč upravljavcem pri obveščanju posameznikov glede obdelave osebnih podatkov pripravil posebno rubriko, ki je dostopna na spletni strani IP:

https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/ključna-področja-uredbe/obveščanje-posameznikov-o-obdelavi-osebnih-podatkov

IP sklepno ponavlja, da v okviru mnenja ne more presojati ustreznosti posameznih rešitev oziroma ravnanja posameznih zavezancev, ampak to lahko presoja le v okviru konkretnega inšpekcijskega oziroma drugega upravnega postopka, ko so znane vse konkretne okoliščine posameznega primera. Presoja glede zakonitosti obdelave oziroma obstoja pravne podlage za posamezno obdelavo je torej primarno na vsakem upravljavcu posebej. Upravljavci (v konkretnem primeru vaši člani) so torej v vsakem posameznem primeru odgovorni za zakonitost ter sorazmernost obdelav osebnih podatkov, ki jih izvajajo.

Lepo vas pozdravljamo.

Pripravil

Matej Sironič, Svetovalec pooblaščenca za varstvo osebnih podatkov

Mojca Prelesnik, univ. dipl. prav., Informacijska pooblaščenka