Posredovanje osebnih podatkov znotraj upravljavca

Datum

24.06.2026

Številka

07120-1/2026/299

Kategorije

Posredovanje osebnih podatkov, Postopki na centrih za socialno delo, Pridobivanje OP iz zbirk, Upravni postopki, Uradni postopki, Zbirke osebnih podatkov

Informacijski pooblaščenec (v nadaljevanju IP) je po elektronski pošti prejel vaš dopis, v katerem pojasnjujete, da se na ravni CSD pojavljajo vprašanja glede posredovanja oziroma obdelave osebnih podatkov znotraj centra, zlasti med zaposlenimi oziroma posameznimi notranjimi organizacijskimi enotami. Posebej izpostavljate vprašanje, povezano z obdelavo osebnih podatkov pri izvajanju socialnovarstvenih storitev, pri katerih je treba upoštevati tudi določbe o varovanju poklicne skrivnosti.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22 in 40/25 – ZInfV-1, ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A, ZInfP) posredujemo naše nezavezujoče mnenje v zvezi z vašim vprašanjem.

CSD naj notranje posredovanje osebnih podatkov presoja na ravni upravljavca, glede na konkretno nalogo, pravno podlago, namen obdelave in nujni obseg potrebnih osebnih podatkov.

Dostop do osebnih podatkov naj bo omogočen le zaposlenim, ki podatke potrebujejo za izvedbo svojih nalog. Kadar zadošča podatek o določenem dejstvu, naj se praviloma ne posreduje celotne odločbe, spisa ali širše dokumentacije.

Pri posameznem internem zaprosilu ni bistveno le formalno citiranje pravne podlage, temveč predvsem to, da je iz zaprosila za posredovanje razvidno, kateri podatek se zahteva, za katero nalogo je potreben in zakaj je podatek potreben v zahtevanem obsegu.

Pri podatkih iz socialnovarstvenih storitev je potrebna posebej skrbna presoja, saj lahko ti podarki razkrivajo občutljive življenjske okoliščine posameznika in so lahko v določenih primerih dodatno varovani z varstvom poklicne skrivnosti. Njihova varovana narava pa sama po sebi še ne pomeni, da je vsaka notranja obdelava znotraj CSD tudi izključena.

Obrazložitev

IP uvodoma poudarja, da lahko v okviru nezavezujočih mnenj podaja le splošna pojasnila in usmeritve s področja varstva osebnih podatkov. IP kot nadzorni oziroma inšpekcijski organ izven konkretnega nadzornega postopka ne more presojati zakonitosti posamezne obdelave osebnih podatkov, potrjevati izbrane pravne podlage ali vnaprej odločati, ali je določeno posredovanje osebnih podatkov v konkretnem primeru dopustno. Takšna presoja bi lahko pomenila prejudiciranje odločitve v morebitnem kasnejšem inšpekcijskem ali drugem postopku.

Ob tem IP pojasnjuje tudi meje svoje pristojnosti glede drugih predpisov, ki jih omenjate v zaprosilu. IP ni pristojen za obvezno razlago določb ZUP oz. za presojo pravilnosti vodenja konkretnih upravnih postopkov. Za sistemsko razlago ZUP je pristojno ministrstvo, pristojno za javno upravo. IP prav tako ni pristojen za vsebinsko razlago določb ZSV, vključno z vprašanjem obsega poklicne skrivnosti po 93. členu ZSV. Glede teh vprašanj se lahko obrnete na ministrstvo, pristojno za socialno varstvo.

Z vidika varstva osebnih podatkov je pri vašem vprašanju bistveno izhodišče, da je treba notranje posredovanje podatkov presojati na ravni CSD kot upravljavca osebnih podatkov. Pravna podlaga za obdelavo osebnih podatkov praviloma ni vezana na posameznega zaposlenega kot samostojnega nosilca obdelave, temveč na upravljavca, v okviru katerega zaposleni opravljajo svoje naloge. Zaposleni lahko osebne podatke obdelujejo le v okviru nalog, pooblastil in navodil upravljavca.

Iz navedenega izhaja dvoje. Prvič, dejstvo, da gre za zaposlene pri istem upravljavcu oziroma za različne notranje organizacijske enote istega CSD, samo po sebi ne pomeni, da lahko vsi zaposleni dostopajo do vseh osebnih podatkov, s katerimi center razpolaga. Drugič, notranje posredovanje podatkov znotraj istega upravljavca je lahko dopustno, če ostaja znotraj zakonitega namena obdelave, za katerega ima CSD ustrezno pravno podlago, in če zaposleni podatke potrebuje za izvedbo konkretne delovne naloge.

V javnem sektorju pravne podlage za obdelavo osebnih podatkov praviloma izhajajo iz zakona, zlasti kadar je obdelava potrebna za izpolnitev zakonske obveznosti upravljavca ali za opravljanje naloge v javnem interesu oziroma pri izvajanju javne oblasti. Pri delu centrov za socialno delo lahko pravne podlage izhajajo iz različnih predpisov, predvsem iz zakonodaje, ki ureja socialno varstvo, pravice iz javnih sredstev, dolgotrajno oskrbo, posamezne socialnovarstvene storitve ter upravne postopke. Katera pravna podlaga je za opravljanje konkretne delovne naloge ustrezna, mora CSD presoditi glede na konkretno nalogo, namen obdelave, vrsto zahtevanih podatkov in okoliščine primera.

Poleg ustrezne pravne podlage mora CSD pri notranjem posredovanju osebnih podatkov upoštevati tudi temeljna načela obdelave osebnih podatkov, zlasti načelo omejitve namena, načelo najmanjšega obsega podatkov ter načelo odgovornosti iz drugega odstavka 5. člena Splošne uredbe. CSD mora biti zmožen izkazati, da je bil dostop do osebnih podatkov potreben za zakonit namen, da je temeljil na ustrezni pravni podlagi in da ni presegel obsega, potrebnega za izvedbo konkretne naloge.

IP je v preteklih mnenjih glede podobnih vprašanj že pojasnil, da organ, ki vodi upravni postopek, sam opredeli, kateri podatki so potrebni za odločitev v postopku, upravljavec, ki s podatki razpolaga, pa mora presoditi, katere podatke lahko glede na konkretni namen, pravno podlago in načelo najmanjšega obsega podatkov posreduje. Enako izhodišče velja tudi pri notranji izmenjavi podatkov znotraj istega upravljavca.

CSD mora torej povezati namen konkretne naloge, pravno podlago za obdelavo in obseg podatkov, ki se posredujejo. Pri tem pa ni odločilno, ali se določen osebni podatek vodi v posebni zbirki podatkov ali pa je razviden iz odločbe, zapisnika, uradnega zaznamka oziroma drugega dokumenta v spisu. Če se podatek nanaša na določenega ali določljivega posameznika, gre za osebni podatek, pri čemer uporaba takšnega podatka v drugem notranjem postopku ali pri drugi notranji nalogi pomeni obdelavo osebnih podatkov, za katero morajo biti izpolnjeni zgoraj navedeni pogoji.

Na splošni ravni IP meni, da mora CSD pri presoji dopustnosti notranjega posredovanja osebnih podatkov odgovoriti predvsem na naslednja vprašanja:

(i)ali zaposleni oziroma notranja orgaizacijska enota podatek potrebuje za izvedbo konkretne (delovne) naloge,

(ii)ali ta naloga spada v zakonske pristojnosti CSD, iz katere pravne podlage izhaja obdelava,

(iii)ali je namen mogoče doseči z ožjim naborom podatkov ter

(iv)ali je dostop ustrezno pooblaščen in sledljiv.

Načelo najmanjšega obsega podatkov ima pri tem posebno vlogo. Če je za izvedbo naloge potreben zgolj podatek o določenem dejstvu, naj se praviloma posreduje le ta podatek, ne pa celotna odločba, celoten spis ali širša dokumentacija, iz katere izhajajo tudi drugi osebni podatki. V praksi lahko to pomeni, da se drugi notranji enoti posreduje le potrditev ali zanikanje določenega za postopek relevantnega dejstva, če takšna omejena oblika posredovanja zadošča za izvedbo naloge.

Glede vprašanja, ali mora zaposleni pri vsakem internem zaprosilu izrecno navesti konkretni člen pravne podlage za posredovanje osebnih podatkov, IP pojasnjuje, da ni bistveno zgolj formalno citiranje posamezne zakonske določbe, temveč predvsem to, da je obdelava osebnih podatkov vsebinsko utemeljena in preverljiva. Če je pravna podlaga za določeno vrsto obdelave jasno določena v zakonu in ustrezno prenesena v notranja pravila upravljavca, praviloma zadošča, da je iz zaprosila oziroma spremljajoče dokumentacije razvidno, kateri podatek se zahteva, za katero konkretno nalogo ali postopek je potreben in zakaj je potreben v zahtevanem obsegu. Takšen pristop upravljavcu omogoča, da tudi naknadno izkaže zakonitost, potrebnost in sorazmernost dostopa.

Kadar gre za podatke, ki izvirajo iz socialnovarstvenih storitev oziroma iz postopkov, pri katerih področna zakonodaja določa poklicno skrivnost, mora biti navedena presoja še posebej skrbna. IP se ne more opredeljevati do vseh vprašanj razlage 93. člena ZSV, lahko pa z vidika varstva osebnih podatkov poudari, da takšna ureditev dodatno potrjuje potrebo po strogi uporabi načela potrebe po seznanitvi. IP je v svojih preteklih mnenjih že pojasnil, da instituta razrešitve dolžnosti varovanja poklicne skrivnosti po 93. členu ZSV ni mogoče razumeti kot splošne pravne podlage za sistematično izmenjavo osebnih podatkov (mnenje IP št. 07120-1/2023/312 z dne 5. 6. 2023). Pri rednem izvajanju zakonskih nalog CSD pa notranjega posredovanja podatkov med zaposlenimi oziroma notranjimi organizacijskimi enotami praviloma ni mogoče enačiti z razkritjem podatkov zunanjim ali nepooblaščenim osebam. Takšna notranja obdelava mora biti vseeno omejena na zaposlene, ki podatke potrebujejo za izvedbo konkretne naloge, ter na obseg podatkov, ki je za ta namen nujen.

Navedeno pomeni, da poklicna skrivnost sama po sebi ne izključuje vsake notranje obdelave podatkov znotraj CSD, ne pomeni pa niti, da bi morali biti podatki iz socialnovarstvenih storitev prosto dostopni vsem zaposlenim. V takšnih primerih je treba izhajati iz konkretne naloge, pravne podlage, namena obdelave in nujnega obsega podatkov. Kadar je za izvajanje konkretne delovne naloge potreben podatek o drugi osebi, na primer o partnerju ali članu gospodinjstva, mora biti potreba po razkritju tega podatka posebej povezana s konkretno nalogo in ustrezno utemeljena.

IP zato na splošni ravni meni, da je lahko notranje posredovanje osebnega podatka znotraj CSD dopustno, kadar gre za obdelavo v okviru istega upravljavca, kadar ima CSD za zadevno obdelavo ustrezno pravno podlago, kadar je podatek potreben za izvedbo konkretne naloge in kadar je obseg posredovanja omejen na nujno potrebne podatke. Če se v drugem postopku znotraj CSD potrebuje zgolj podatek o obstoju določenega dejstva, ki je pomembno za odločitev ali izvedbo naloge, naj se praviloma posreduje samo ta podatek, brez širšega razkrivanja odločbe, spisa ali podatkov o drugih osebah.

IP sklepno poudarja, da je odgovornost za zakonito organizacijo notranjih dostopov, posredovanj in drugih obdelav osebnih podatkov na upravljavcu. CSD mora zagotoviti, da do osebnih podatkov dostopajo le pooblaščene osebe, za zakonite in določene namene, v najmanjšem potrebnem obsegu ter na način, ki omogoča naknadno preverjanje zakonitosti dostopov. Zakonitost konkretnih obdelav osebnih podatkov bi IP lahko presojal šele v morebitnem nadzornem postopku.

Lepo vas pozdravljamo.

Pripravil:

Grega Rudolf, mag.

svetovalec pooblaščenca za mednarodne odnose

Dr. Jelena Virant Burnik

informacijska pooblaščenka