Obveznosti izdelave ocene učinka na varstvo podatkov

Datum

06.04.2023

Številka

07120-1/2023/189

Kategorije

Ocene učinkov v zvezi z varstvom podatkov, Posredovanje osebnih podatkov, Pridobivanje OP iz zbirk

Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaše zaprosilo za mnenje glede izdelave ocene učinka.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22; v nadaljevanju: ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, 51/07 – ZUstS-A; ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

Iz mnenja IP (št.: 0712-1/2016/1611, z dne 12. 8. 2016) izhaja, da gre v primeru predstavljene informacijske rešitve za pridobivanje oziroma posredovanje osebnih podatkov in ne za povezovanje osebnih podatkov.

IP kot nadzorni organ v okviru neobvezujočega mnenja ni pristojen podajati zavezujočih usmeritev za to, kdaj je za upravljavca izvedba ocene učinka v konkretnem primeru obvezna.

Za pridobivanje oziroma posredovanje podatkov obveznost izdelave ocene učinka sama po sebi ne obstaja, kljub temu pa je treba v vsakem posameznem primeru take obdelave osebnih podatkov preveriti, ali je možno, da bi lahko obdelava, zlasti z uporabo novih tehnologij, ob upoštevanju narave, obsega, okoliščin in namenov obdelave povzročila veliko tveganje za pravice in svoboščine posameznikov.

V vsakem primeru (ne glede na to, ali bo izdelana ocena učinka ali ne) je treba pri implementaciji informacijske rešitve poskrbeti za ustrezno varnost osebnih podatkov.

Obrazložitev

IP uvodoma poudarja, da v okviru neobvezujočega mnenja ne more podajati celovite ocene predvidenih dejanj obdelave osebnih podatkov v konkretnem primeru. Dokončno presojo zakonitosti obdelave osebnih podatkov lahko IP poda le v konkretnem nadzornem ali drugem upravnem postopku. Odgovornost za zakonito in pošteno obdelavo osebnih podatkov je na upravljavcu osebnih podatkov.

IP pojasnjuje, da ZVOP-2 v prvem odstavku 87. člena določa, da kadar se posebne vrste osebnih podatkov, osebni podatki v zvezi s kazenskimi obsodbami in prekrški, podatki o dohodkih v skladu z zakonom, ki ureja dohodnino, podatki o premoženju posameznika v skladu z zakonom, ki ureja uveljavljanje pravic iz javnih sredstev, podatki o nepremičninah v lasti posameznika v skladu z drugimi zakoni, podatki oziroma informacije o kreditni sposobnosti v skladu z zakonom, ki ureja centralni kreditni register, ter uradne evidence v skladu z zakonom, ki ureja naloge in pooblastila policije, in zakonom, ki ureja preprečevanje pranja denarja in financiranja terorizma, obdelujejo v uradnih evidencah ali javnih knjigah, se jih lahko povezuje med seboj ali z drugimi zbirkami samo, če taka povezovanja izrecno določa zakon. V skladu z drugim odstavkom 87. člena mora upravljavec oziroma obdelovalec pred začetkom povezovanja zbirk iz prejšnjega odstavka izdelati oceno učinka po 35. členu Splošne uredbe in se posvetovati z nadzornim organom po 36. členu Splošne uredbe.

Ob tem IP opozarja, da v skladu z 12. točko drugega odstavka 5. člena ZVOP-2 povezovanje zbirk osebnih podatkov pomeni avtomatsko in elektronsko povezovanje zbirk, ki jih upravljajo upravljavci za različne namene ali po različnih pravnih podlagah, in sicer tako, da se določeni osebni podatki samodejno prenesejo ali vključijo v drugo povezano zbirko ali več povezanih zbirk, tudi če se izvaja le enosmeren pretok osebnih podatkov; zbirke so povezane, če se določeni osebni podatki iz ene zbirke neposredno vključijo v drugo zbirko in se tako druga zbirka poveča ali posodobi ali pa se osebni podatki v njej zaradi točnosti spremenijo. Povezovanje se torej izvede tako, da se določeni podatki samodejno (povezljivost v ožjem smislu) ali na zahtevo (povezljivost v širšem smislu) prenesejo ali vključijo v drugo povezano zbirko ali več povezanih zbirk. IP šteje, da sta zbirki osebnih podatkov povezani, če se določeni podatki iz ene zbirke neposredno vključijo v drugo zbirko, s čimer se druga zbirka spremeni (poveča, ažurira ipd.), pri tem pa gre lahko zgolj za enosmeren tok podatkov. Povezanost zbirk osebnih podatkov torej predpostavlja vključitev podatkov v drugo zbirko na način, da se določeni podatki iz ene ali več zbirk zaradi povezanosti zbirk prenesejo ali vključijo v drugo povezano zbirko.

IP nadalje pojasnjuje, da iz mnenja IP (št.: 0712-1/2016/1611, z dne 12. 8. 2016), na katerega se sklicujete v vašem zaprosilu za mnenje, izhaja, da gre v primeru predstavljene informacijske rešitve za pridobivanje oziroma posredovanje osebnih podatkov in ne za povezovanje osebnih podatkov. V kolikor se sama omenjena rešitev ni ali se ne bo v ničemer spremenila (oziroma se bo le razdelila na več uporabnikov, kot navajate v vašem zaprosilu za mnenje), je mnenje IP še vedno enako.

Glede ocen učinka v zvezi z varstvom podatkov IP splošno pojasnjuje, da kot nadzorni organ v okviru neobvezujočega mnenja ni pristojen podajati zavezujočih usmeritev za to, kdaj je za upravljavca izvedba ocene učinka v konkretnem primeru obvezna. IP je na to temo izdelal Smernice o ocenah učinkov na varstvo podatkov, ki so dostopne na spletni strani IP:

https://www.ip-rs.si/fileadmin/user_upload/Pdf/Ocene_ucinkov/Smernice_o_ocenah_ucinka__DPIA__julij2018.pdf

Kot navedeno zgoraj, ZVOP-2 v prvem odstavku 87. člena predvideva obvezno izdelavo ocene učinka za primere povezovanja določenih osebnih podatkov iz uradnih evidenc in javnih knjig. Za samo pridobivanje oziroma posredovanje podatkov takšna obveznost sama po sebi sicer ne obstaja, kljub temu pa je treba v vsakem posameznem primeru take obdelave osebnih podatkov preveriti, ali je možno, da bi lahko obdelava, zlasti z uporabo novih tehnologij, ob upoštevanju narave, obsega, okoliščin in namenov obdelave povzročila veliko tveganje za pravice in svoboščine posameznikov, saj je v skladu s prvim odstavkom 35. člena Splošne uredbe temeljni kriterij za vprašanje, kdaj je ocena učinkov obvezna, zlasti ocena, ali bo obdelava povzročila veliko tveganje za pravice in svoboščine posameznikov. Dodatni kriteriji so opredeljeni v tretjem odstavku istega člena Splošne uredbe.

Ob tem je treba preveriti tudi, ali gre morda za obliko obdelave iz Seznama dejanj obdelav osebnih podatkov, za katere velja zahteva po izvedbi ocene učinka v zvezi z varstvom osebnih podatkov po 4. odstavku 35. člena Splošne uredbe in ko je torej predhodna izvedba ocene učinka v zvezi z varstvom osebnih podatkov obvezna. IP je pripravil tak seznam in ga objavil na spletni strani:

https://www.ip-rs.si/fileadmin/user_upload/Pdf/Ocene_ucinkov/Seznam_dejanj_obdelav_osebnih_podatkov__za_katere_velja_zahteva_po_izvedbi_ocene_ucinka_v_zvezi_z_varstvom_osebnih_podatkov.pdf

IP pojasnjuje, da se navedeni kriteriji lahko uporabljajo prepleteno in ne predstavljajo izključnega seznama. Med dodatnimi kriteriji sta tudi obsežno vrednotenje in profiliranje posameznikov ter množičnost obdelave, slednja vključuje: število ali delež zadevnih posameznikov, obseg podatkov, trajanje in stalnost obdelav in geografski obseg podatkov. V kolikor gre pri implementaciji vaše informacijske rešitve za rešitev, pri kateri je pričakovana npr. množična obdelava osebnih podatkov, IP meni, da bi lahko šlo za projekt, ki ima pomembne posledice na varstvo osebnih podatkov posameznikov, zato je glede na določbe Splošne uredbe potrebno, da se pred implementacijo rešitve opravi ustrezna ocena učinka na varstvo osebnih podatkov. IP močno odsvetuje implementacijo informacijskih rešitev velikega obsega brez ustrezno izvedenih predhodnih ocen učinkov na varstvo osebnih podatkov.

IP poudarja tudi, da je ocena učinkov namenjena upravljanju s tveganji in njihovi minimizaciji. Ob tem prinaša tudi druge pozitivne učinke, predvsem bi jo upravljavci, ki stremijo k odgovornemu ravnanju z osebnimi podatki posameznikov, morali prepoznati kot orodje, ki je primarno v njihovem interesu. Namenjeno je namreč pravočasni identifikaciji tveganj in sprejemu ustreznih ukrepov za obvladovanje tveganj, s čimer lahko posamezni upravljavci preprečijo, da bi prišlo do kršitve zakonodaje.

Več informacij o oceni učinka je dostopnih na spletni strani IP:

https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/ključna-področja-uredbe/ocena-učinka-v-zvezi-z-varstvom-podatkov/

IP pojasnjuje tudi, da je treba v vsakem primeru (ne glede na to, ali bo izdelana ocena učinka ali ne) pri implementaciji informacijske rešitve poskrbeti za ustrezno varnost osebnih podatkov. Ob vidikih varnosti, ki so izpostavljeni že v zadnjih dveh odstavkih mnenja IP iz leta 2016 (omenjeno zgoraj), je v primeru, da gre še vedno za pridobivanje oziroma posredovanje osebnih podatkov, treba izpolniti tudi zahteve, ki izhajajo iz določb 5. poglavja I. dela ZVOP-2 in se nanašajo na posredovanje osebnih podatkov. Med drugim mora tako MNZ RS zagotoviti tudi t.i. zunanjo sledljivost obdelav osebnih podatkov v skladu s šestim odstavkom 41. člena ZVOP-2. Vsi vključeni subjekti morajo zagotoviti tudi ustrezno varnost osebnih podatkov v skladu s 24., 25. in 32. členom Splošne uredbe ter upoštevati tudi določbe 22. člena ZVOP-2, ki ureja vodenje dnevnika obdelave in njegovo vsebino.

IP sklepno ponovno poudarja, da v okviru neobvezujočega mnenja ni pristojen podajati zavezujočih usmeritev za to, kdaj je za upravljavca izvedba ocene učinka v konkretnem primeru obvezna.

Lepo vas pozdravljamo,

Pripravil

Matej Sironič, Svetovalec pooblaščenca za varstvo osebnih podatkov

Mojca Prelesnik, univ. dipl. prav., Informacijska pooblaščenka