Vpogled v osebne podatke tretje osebe s strani upravne enote

Datum

24.02.2023

Številka

07121-1/2023/272

Kategorije

Evidence dejavnosti obdelave, Upravne enote, Zbirke osebnih podatkov

Pri Informacijskem pooblaščencu (IP) smo 8. 2. 2023 prejeli vaše zaprosilo za mnenje glede vpogleda v osebne podatke (naslov stalnega prebivališča) s strani upravne enote. Zanima vas, ali lahko zaposleni na upravni enoti poizvedujejo o osebnih podatkih prebivalcev določene občine in ali v tem primeru informacijski sistem upravne enote beleži revizijsko sled, na podlagi katere bi lahko ugotovili, ali je zaposleni dejansko neupravičeno vpogledal v osebne podatke tretje osebe.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22, ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba), 76. člena Zakona o varstvu osebnih podatkov na področju obravnavanja kaznivih dejanj (Uradni list RS, št. 177/20, ZVOPOKD) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A, ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

1.1. Uslužbenec upravne enote mora imeti pravno podlago za vsak posamezni vpogled v podatkovno zbirko in za pridobitev vsakega podatka iz nje v zvezi z izvedbo konkretnega upravnega postopka.

2.2. Iskanje podatkov »na zalogo«, brez navedbe konkretnih razlogov za tovrstno poizvedovanje, ni pravno dopustno, kljub temu, da je pogosto tehnično izvedljivo in v določenih primerih relativno enostavno.

3.3. Zahteva glede zagotavljanja sledljivosti obdelav podatkov izhaja iz obveznosti upravljavca, da zagotovi ustrezne postopke in ukrepe za varnost obdelave podatkov, upoštevaje okoliščine konkretne obdelave in tveganja za pravice in svoboščine posameznikov. Ker se tveganja glede obdelav podatkov s strani upravnih enot kot upravljavcev niso bistveno spremenila od uveljavitve ZVOP-2, morajo še naprej beležiti vse vrste obdelav podatkov in kdo jih je izvršil.

Obrazložitev

IP uvodoma pojasnjuje, da izven postopka inšpekcijskega nadzora oziroma drugega upravnega postopka nima zakonskih pooblastil za presojo zakonitosti konkretnih obdelav osebnih podatkov in morebitnih kršitev pravic posameznikov, na katere se podatki nanašajo. V nadaljevanju vam zato podajamo zgolj splošna pojasnila in pravna izhodišča v zvezi z vašim dopisom.

Vpogled je ena izmed možnih oblik obdelave osebnih podatkov, ki je dopustna samo v primeru, da zanjo obstaja zakonita pravna podlaga. V skladu s členom 6(1) Splošne uredbe je obdelava osebnih podatkov zakonita le in kolikor je izpolnjen vsaj eden od naslednjih pogojev:

(a)posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov;

(b)obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe;

(c)obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca;

(d)obdelava je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe;

(e)obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu;

(f)obdelava je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok.

Podatki o stalnem prebivališču posameznika so dostopni v več zbirkah podatkov, na primer v Centralnem registru prebivalstva in Registru stalnega prebivalstva. Pravna podlaga za pridobivanje, vpogled in druge oblike obdelave osebnih podatkov pri delovanju nosilcev javne oblasti, vključno z upravnimi enotami, v smislu točke (e) prvega odstavka 6. člena Splošne uredbe, je urejena na več mestih, predvsem je vsebovana v postopkovnih zakonih (npr. v Zakonu o splošnem upravnem postopku), lahko pa tudi v drugih zakonih, ki urejajo njihove pristojnosti in pooblastila, ali zakonih, ki urejajo vzpostavitev posameznih zbirk osebnih podatkov (npr. Zakon o prijavi prebivališča). Ustreznost pravne podlage za obdelavo osebnih podatkov s strani upravne enote je treba presojati v vsakem posameznem primeru glede na okoliščine in namene obdelave podatkov, odgovornost za zakonito obdelavo pa leži izključno na upravljavcu.

Vendar pa temeljni načeli varstva osebnih podatkov, načelo najmanjšega obsega podatkov in načelo omejitve namena, zahtevata, da je obdelava osebnih podatkov vedno omejena le na tiste postopke obdelave, ki so nujno potrebni za dosego določenega namena (v primeru upravne enote na primer za namen vodenja upravnega postopka). Čeprav je iskanje podatkov »na zalogo«, brez navedbe konkretnih razlogov za tovrstno poizvedovanje, sicer pogosto tehnično izvedljivo in v določenih primerih relativno enostavno, pa ni pravno dopustno. Uslužbenec upravne enote mora imeti pravno podlago za vsak posamezni vpogled v podatkovno zbirko in za pridobitev vsakega podatka iz nje v zvezi z izvedbo konkretnega upravnega postopka.

Glede zahteve po zagotavljanju revizijske sledi IP pojasnjuje, da je zagotavljanje ustreznih organizacijskih in tehničnih postopkov in ukrepov za varnost osebnih podatkov odgovoren posamezen upravljavec, pri tem pa mora upoštevati najnovejši tehnološki razvoj in stroške izvajanja ter naravo, obseg, okoliščine in namene obdelave, pa tudi tveganja za pravice in svoboščine posameznikov, ki se razlikujejo po verjetnosti in resnosti (32. člen Splošne uredbe). Pri določanju ustrezne ravni varnosti se upoštevajo zlasti tveganja, ki jih pomeni obdelava, zlasti zaradi nenamernega ali nezakonitega uničenja, izgube, spremembe, nepooblaščenega razkritja ali dostopa do osebnih podatkov, ki so poslani, shranjeni ali kako drugače obdelani.

Konkretizacijo zahtev Splošne uredbe glede zagotavljanja sledljivosti je ZVOP-1, ki je veljal in se uporabljal do 26. 1. 2023, urejal v prvem odstavku 24. člena, v skladu s katerim je upravljavec moral zagotoviti možnost ugotavljanja, kdaj so bili posamezni osebni podatki vneseni v zbirko osebnih podatkov, uporabljeni ali drugače obdelani in kdo je to storil. Kljub prenehanju veljavnosti ZVOP-1, IP poudarja, da se raven varstva osebnih podatkov ne sme znižati, ker se tveganja, ki izhajajo iz obdelav osebnih podatkov, niso znižala. Začetek veljavnosti ZVOP-2 zato z vidika zahtev po zagotavljanju varnosti podatkov ne spreminja ureditve, ki je veljala do sedaj in je zahtevala ne le, da upravljavec obdelavo osebnih podatkov izvaja v skladu z določbami Splošne uredbe, temveč da je zmožen skladnost obdelave tudi dokazati. Upravljavci (v obravnavanem primeru je to upravna enota) morajo torej še naprej zagotavljati možnost naknadnega ugotavljanja, kdo je dostopil do osebnih podatkov.

Glede obdelav podatkov, ki predstavljajo večje tveganje za kršitev pravic in svoboščin posameznikov (na primer pri obsežnih obdelavah posebnih vrst osebnih podatkov), se na podlagi določb ZVOP-2 sledljivost zagotavlja tudi z vodenjem dnevnikov obdelave. V njih se bo za vsak dostop do podatkov zabeležila identiteta osebe, ki je podatke obdelovala. Obveznost vzpostavitve dnevnikov obdelave še ne velja, upravljavci jih morajo vzpostaviti v roku dveh let od uveljavitve tega zakona, tj. najkasneje do 26. 1. 2025.

Če menite, da upravna enota obdeluje vaše osebne podatke v nasprotju z zgoraj navedenimi določbami Splošne uredbe ali ZVOP-2, lahko na IP vložite prijavo (pritožbo), s katero zahtevate nadzor nad zakonitostjo obdelave svojih osebnih podatkov. Pri vložitvi prijave si lahko pomagate z obrazcem, ki ga je v z namenom lažje prijave kršitev s področja varstva in varnosti osebnih podatkov pripravil IP (https://www.ip-rs.si/fileadmin/user_upload/doc/obrazci/ZVOP/Pritozba.docx).

V upanju, da ste dobili odgovor na vaša vprašanja, vas lepo pozdravljamo.

Pripravila

dr. Pika Šarf, Svetovalka IP za mednarodne odnose

Mojca Prelesnik, univ. dipl. prav., informacijska pooblaščenka