Izdelava kataloga praznih stanovanj

Datum

18.12.2024

Številka

07120-1/2024/448

Kategorije

Občine, Ocene učinkov v zvezi z varstvom podatkov, Pravne podlage

Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaše zaprosilo za mnenje glede priprave kataloga praznih stanovanj s strani občine.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22; ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba o varstvu podatkov) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, 51/07 – ZUstS-A; ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

IP ne nudi storitve pregleda ali vnaprejšnje odobritve različnih obrazcev, storitev, aplikacij, ocen ali drugih rešitev, ki jih uvajajo posamezni upravljavci, z vidika njihove skladnosti z veljavnimi predpisi.

Občina lahko pridobiva in obdeluje tiste osebne podatke, ki jih potrebuje za izvedbo svojih zakonsko določenih nalog.

V konkretnem primeru je zelo verjetno predvidena izdelava oziroma nastanek nove zbirke osebnih podatkov (kataloga), za kar je treba zagotoviti ustrezno pravno podlago. Iz pojasnil občine, ki ste jih priložili vašemu zaprosilu za mnenje, po mnenju IP ni razbrati te pravne podlage, niti IP ni znana druga pravna podlaga, dokončno pa IP lahko to presoja le v konkretnem nadzornem ali drugem upravnem postopku.

ZVOP-2 v drugem odstavku 6. člena določa, da je obdelava osebnih podatkov v javnem sektorju in v zasebnem sektorju zaradi izvajanja zakonske obveznosti, javnega interesa ali izvajanja javne oblasti v primerih iz točk c) in e) prvega odstavka ter drugega in tretjega odstavka 6. člena Splošne uredbe zakonita le, če obdelavo osebnih podatkov, vrste osebnih podatkov, ki naj se obdelujejo, kategorije posameznikov, na katere se ti osebni podatki nanašajo, namen njihove obdelave in rok hrambe osebnih podatkov ali rok za redni pregled potrebe po hrambi določa zakon.

Zahteva za posredovanje osebnih podatkov mora vsebovati tudi pravno podlago za posredovanje podatkov in navedbo namena obdelave oziroma razloge, ki izkazujejo potrebnost in primernost podatkov za dosego namena pridobitve.

Preveriti je treba, ali za upravljavca velja zahteva po izvedbi ocene učinka v zvezi z varstvom osebnih podatkov, v vsakem primeru pa je izdelava takšne ocene priporočljiva.

Obrazložitev

IP uvodoma poudarja, da lahko podaja neobvezujoča mnenja in pojasnila, ne sme pa izven konkretnih nadzornih ali drugih upravnih postopkov preverjati primernosti izbrane pravne podlage ali namenov oziroma obsega obdelave osebnih podatkov v konkretnem primeru. IP tako ne nudi storitve pregleda ali vnaprejšnje odobritve različnih obrazcev, storitev, aplikacij, ocen ali drugih rešitev, ki jih uvajajo posamezni upravljavci, z vidika njihove skladnosti z veljavnimi predpisi. IP kot nadzorni organ na področju varstva osebnih podatkov v okviru neobvezujočega mnenja tako ne more presojati skladnosti rešitve, ki ste jo opisali v vašem zaprosilu za mnenje, s predpisi s področja varstva osebnih podatkov.

IP uvodoma splošno pojasnjuje, da je treba za vsako obdelavo osebnih podatkov najprej zagotoviti ustrezno pravno podlago. V skladu s členom 6(1) Splošne uredbe je obdelava osebnih podatkov zakonita le in kolikor je izpolnjen vsaj eden od naslednjih pogojev:

(a)posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov;

(b)obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe;

(c)obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca;

(d)obdelava je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe;

(e)obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu;

(f)obdelava je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok.«.

Zakon o lokalni samoupravi (Uradni list. RS, št. 94/07 – UPB, 76/08, 79/09, 51/10, 40/12 – ZUJF,14/15 - ZUUJFO, 11/18 - ZSPDSLS-1, 30/18, 61/20 – ZIUZEOP-A, 80/20 – ZIUOOPE; v nadaljevanju: ZLS) opredeljuje pooblastila občine glede obdelave osebnih podatkov v 21.a členu v povezavi z 21. členom tega zakona. Občina v skladu z 21. členom ZLS samostojno opravlja lokalne zadeve javnega pomena (izvirne naloge), ki jih določi s splošnim aktom občine ali so določene z zakonom. V skladu z drugim odstavkom istega člena občina za zadovoljevanje potreb svojih prebivalcev opravlja določene naloge, med drugim načrtuje prostorski razvoj, v skladu z zakonom opravlja naloge na področju posegov v prostor in graditve objektov ter zagotavlja javno službo gospodarjenja s stavbnimi zemljišči. Poleg tega tudi ustvarja pogoje za gradnjo stanovanj in skrbi za povečanje najemnega socialnega sklada stanovanj.

V skladu z 21.a členom ZLS občina pridobiva podatke, ki jih potrebuje za opravljanje nalog iz svoje pristojnosti, jih obdeluje ter opravlja statistično, evidenčno in analitično funkcijo za svoje potrebe. Občina pridobiva in obdeluje o posameznikih naslednje osebne podatke: EMŠO, osebno ime, naslov stalnega ali začasnega prebivališča, datum in kraj rojstva oziroma datum smrti, podatke o osebnih vozilih, podatke o nepremičninah ter druge osebne podatke v skladu z zakonom. Občina pridobiva te osebne podatke neposredno od posameznika, na katerega se podatki nanašajo. Na podlagi zahteve, ki vsebuje navedbo pravne podlage obdelovanja osebnih podatkov, lahko občina osebne podatke pridobi tudi od upravljavca centralnega registra prebivalstva, matičnega registra, zemljiškega katastra ali drugega upravljavca, če tako določa zakon. Upravljavec zbirke podatkov mora občini omogočiti dostop tudi do drugih podatkov iz zbirke, če je to določeno z zakonom in če te podatke občina potrebuje za izvajanje svojih z zakonom določenih pristojnosti.

Glede zahteve za posredovanje osebnih podatkov prvi odstavek 41. člena ZVOP-2 določa, da le-ta, če drug zakon ne določa drugače, vsebuje naslednje podatke:

1.podatke o vlagatelju zahteve (za fizično osebo: osebno ime, naslov stalnega ali začasnega prebivališča; za samostojnega podjetnika posameznika, posameznika, ki samostojno opravlja dejavnost, ter za pravno osebo: naziv oziroma firmo in naslov oziroma sedež in matično številko) ter podpis vlagatelja oziroma pooblaščene osebe;

2.pravno podlago za pridobitev zahtevanih osebnih podatkov;

3.namen obdelave osebnih podatkov oziroma razloge, ki izkazujejo potrebnost in primernost osebnih podatkov za dosego namena pridobitve;

4.predmet in številko ali drugo identifikacijo zadeve, v zvezi s katero so osebni podatki potrebni, ter navedbo organa ali drugega subjekta, ki obravnava zadevo;

5.vrste osebnih podatkov, ki naj se mu posredujejo;

6.obliko in način pridobitve zahtevanih osebnih podatkov.

IP povzema, da občina lahko pridobiva in obdeluje zgolj tiste osebne podatke, ki jih potrebuje za izvedbo svojih zakonsko določenih nalog. Iz vašega zaprosila za mnenje izhaja, da je v konkretnem primeru zelo verjetno predvidena izdelava oziroma nastanek nove zbirke osebnih podatkov (kataloga). Za to je treba zagotoviti ustrezno pravno podlago. IP pojasnjuje, da iz pojasnil občine, ki ste jih priložili vašemu zaprosilu za mnenje, po mnenju IP ni razbrati te pravne podlage, niti IP ni znana druga pravna podlaga, dokončno pa, kot rečeno, to lahko IP presoja le v konkretnem nadzornem ali drugem upravnem postopku.

IP opominja, da ZVOP-2 v drugem odstavku 6. člena določa, da je obdelava osebnih podatkov v javnem sektorju in v zasebnem sektorju zaradi izvajanja zakonske obveznosti, javnega interesa ali izvajanja javne oblasti v primerih iz točk c) in e) prvega odstavka ter drugega in tretjega odstavka 6. člena Splošne uredbe zakonita le, če obdelavo osebnih podatkov, vrste osebnih podatkov, ki naj se obdelujejo, kategorije posameznikov, na katere se ti osebni podatki nanašajo, namen njihove obdelave in rok hrambe osebnih podatkov ali rok za redni pregled potrebe po hrambi določa zakon. Če je mogoče, se v zakonu določijo tudi uporabniki osebnih podatkov, posamezna dejanja obdelave in postopki obdelave ter drugi ukrepi za zagotovitev zakonite, poštene in pregledne obdelave.

IP poudarja, da je na upravljavcu odgovornost za to, da so osebni podatki obdelani skladno z načeli iz prvega odstavka 5. člena Splošne uredbe in na temelju ustrezne pravne podlage iz prvega odstavka 6. člena Splošne uredbe. Glede na to mora dokončno presojo o ustreznosti pravne podlage ter o sorazmernosti v vašem zaprosilu za mnenje opisanega pridobivanja osebnih podatkov iz CRP opraviti sama posamezna občina. IP namreč tega ne more storiti namesto upravljavca niti ne more izven nadzornega oziroma drugega upravnega postopka presojati konkretnih obdelav osebnih podatkov.

IP dodaja tudi, da splošno vsem subjektom, ki razmišljajo o uvedbi podobnih rešitev, kot jo navajate v vašem zaprosilu za mnenje, priporoča, da v skladu s 35. členom Splošne uredbe izvedejo oceno učinka v zvezi z varstvom osebnih podatkov. Gre za vnaprejšnjo presojo, ali oziroma pod kakšnimi pogoji bi bila predlagana rešitev zakonita, sorazmerna, transparentna, varna itd. Zelo pomembno je izhajati iz težav, ki naj bi jih reševali z uvedbo rešitve, pri čemer je treba realno oceniti, ali se bo na tak način dejansko doseglo zasledovane cilje in ali teh ciljev ni mogoče doseči na drug način (npr. z uporabo drugih sredstev za dosego cilja), ki bi manj posegal v pravice posameznika.

IP nadalje pojasnjuje, da je v skladu s prvim odstavkom 35. člena Splošne uredbe temeljni kriterij za vprašanje, kdaj je ocena učinkov obvezna, zlasti ocena, ali bo obdelava povzročila veliko tveganje za pravice in svoboščine posameznikov. Dodatni kriteriji so opredeljeni v tretjem odstavku istega člena. Ob tem je treba preveriti tudi, ali gre morda za obliko obdelave iz Seznama dejanj obdelav osebnih podatkov, za katere velja zahteva po izvedbi ocene učinka v zvezi z varstvom osebnih podatkov po 4. odstavku 35. člena Splošne uredbe in ko je torej predhodna izvedba ocene učinka v zvezi z varstvom osebnih podatkov obvezna. IP je pripravil tak seznam in ga objavil na spletni strani:

https://www.ip-rs.si/fileadmin/user_upload/Pdf/Ocene_ucinkov/Seznam_dejanj_obdelav_osebnih_podatkov__za_katere_velja_zahteva_po_izvedbi_ocene_ucinka_v_zvezi_z_varstvom_osebnih_podatkov.pdf

IP pojasnjuje, da se navedeni kriteriji lahko uporabljajo prepleteno in ne predstavljajo izključnega seznama. Glede na navedbe v vašem zaprosilu za mnenje IP meni, da je vsekakor verjetno, da bi ob uvedbi konkretne rešitve lahko bili izpolnjeni najmanj kriteriji iz točke 5 (množičnost obdelave osebnih podatkov) navedenega seznama. IP tako meni, da bi v konkretnem primeru najverjetneje šlo za rešitev, ki ima pomembne posledice na varstvo osebnih podatkov posameznikov, zato je glede na določbe Splošne uredbe potrebno, da se pred implementacijo rešitve opravi ustrezna ocena učinka na varstvo osebnih podatkov. IP močno odsvetuje implementacijo podobnih rešitev brez ustrezno izvedenih predhodnih ocen učinkov na varstvo osebnih podatkov.

Več informacij o sami izdelavi ocene učinka je na voljo v smernicah, ki jih je pripravil IP in so dostopne na spletni strani IP:

https://www.ip-rs.si/fileadmin/user_upload/Pdf/Ocene_ucinkov/Smernice_o_ocenah_ucinka__DPIA__julij2018.pdf

Tudi vprašanje obstoja ustrezne pravne podlage je torej eden bistvenih elementov ocene učinka, odločitev o njeni izbiri oziroma določitvi pa je v popolnosti v rokah upravljavca. IP poudarja, da mora upravljavec pri uvedbi tovrstnih rešitev zagotoviti skladnost s Splošno uredbo, ter tako poleg ustrezne pravne podlage upoštevati tudi načela Splošne uredbe, predvsem že zgoraj omenjeno načelo najmanjšega obsega podatkov. Upravljavec mora nadalje tudi presoditi, ali je uporaba rešitve v dane namene primerna in sorazmerna ter opraviti predhodno presojo, ali je mogoče uporabiti alternativno možnost, ki manj posega v zasebnost posameznikov (v konkretnem primeru lastnikov stanovanj). Pred uvedbo konkretne rešitve je upravljavec v skladu z zahtevami 13. člena Splošne uredbe dolžan posameznike seznaniti z rešitvijo, namenom in načinom njene uvedbe, njenim delovanjem ter o ostalih pomembnih vidikih obdelave osebnih podatkov, ki so določeni v 13. členu Splošne uredbe. Navedene informacije morajo biti čim bolj jasne, pregledne in posameznikom razumljive ter lahko dostopne. IP je za pomoč upravljavcem pri obveščanju posameznikov glede obdelave osebnih podatkov pripravil posebno rubriko, ki je dostopna na spletni strani IP:

https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/ključna-področja-uredbe/obveščanje-posameznikov-o-obdelavi-osebnih-podatkov

Upravljavec mora ob tem poskrbeti tudi za ustrezno varnost uporabe rešitve (s t.i. tehnično-organizacijskimi ukrepi za zagotavljanje varnosti osebnih podatkov). IP ob tem ponovno opozarja, da bi upravljavec pred uvedbo rešitve po vsej verjetnosti moral opraviti tudi oceno učinka, skladno s 35. členom Splošne uredbe. Kvalitetno izdelana ocena učinka bo podala odgovore na številna vprašanja v zvezi z uvedbo rešitve in omogočila odločitev o (ne)dopustnosti uvedbe tega ukrepa.

Lepo vas pozdravljamo.

Pripravil

Matej Sironič, Svetovalec pooblaščenca I

dr. Jelena Virant Burnik, Informacijska pooblaščenka