Podlaga za sprejem internega pravilnika o varnosti osebnih podatkov

Datum

07.12.2023

Številka

07120-1/2023/520

Kategorije

Varnost osebnih podatkov, Pravne podlage

Pri Informacijskem pooblaščencu (IP) smo dne 5. 12. 2023 prejeli vaše vprašanje o tem, na katero podlago je treba opreti interni pravilnik o postopkih in ukrepih za zavarovanje osebnih podatkov in katalogih zbirk osebnih podatkov. V bolnišnici namreč želite revidirati obstoječi pravilnik. Poleg tega vas zanima, ali je sploh pravna podlaga za tak pravilnik, saj v novem ZVOP-2 o tem ni podobnih določb, kot jih je imel ZVOP-1.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena ZVOP-2, 58. členom Splošne uredbe o varstvu podatkov, 76. člena Zakona o varstvu osebnih podatkov na področju obravnavanja kaznivih dejanj (ZVOPOKD) ter 2. členom Zakona o informacijskem pooblaščencu (ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem. Pojasnjujemo še, da se lahko dokončno opredeljujemo do konkretnih obdelav osebnih podatkov le v nadzornih postopkih in ob upoštevanju vseh okoliščin konkretnega primera.

Podlaga za sprejem internega pravilnika o varnosti osebnih podatkov je lahko v 32. členu in v (f) točki prvega odstavka 5. člena Splošne uredbe.

V ZVOP-2 sprejem takega pravilnika ni izrecno določen kot absolutna obveznost, vendar upravljavec brez tega težko izkaže ustrezno raven zagotavljanja varnosti osebnih podatkov.

Obrazložitev

Drži, da za razliko od ZVOP-1, v ZVOP-2 ni določena izrecna obveznost, da »upravljavci v svojih aktih predpišejo postopke in ukrepe za zavarovanje osebnih podatkov ter določijo osebe, ki so odgovorne za določene zbirke osebnih podatkov, in osebe, ki lahko zaradi narave njihovega dela obdelujejo določene osebne podatke«. Enako velja za katalog zbirk osebnih podatkov.

Osnovno pravilo o obveznem zagotavljanju ustrezne varnosti osebnih podatkov je določeno:

-v (f) točki prvega odstavka 5. člena Splošne uredbe, ki določa, da se osebnih podatki obdelujejo se na način, ki zagotavlja ustrezno varnost osebnih podatkov, vključno z zaščito pred nedovoljeno ali nezakonito obdelavo ter pred nenamerno izgubo, uničenjem ali poškodbo z ustreznimi tehničnimi ali organizacijskimi ukrepi („celovitost in zaupnost“) in v

-32. členu Splošne uredbe, ki med drugim določa, da »(…) upravljavec in obdelovalec z izvajanjem ustreznih tehničnih in organizacijskimi ukrepov zagotovita ustrezno raven varnosti glede na tveganje (…)«.

Eden od temeljnih ukrepov pri obvezni skrbi za varnost osebnih podatkov je praviloma tudi to, da upravljavec sprejme enega ali več internih splošnih aktov, ki urejajo konkretna in obvezujoča pravila, ki prispevajo k preprečevanju izgube, uničenja in spreminjanja podatkov ter k preprečevanju nepooblaščenega dostopa ali druge nedovoljene obdelave osebnih podatkov, ki jih ima sicer v upravljanju. Upravljavec torej težko izkaže ustrezno raven zagotavljanja varnosti, če nima sprejetih in v praksi uveljavljenih konkretnih pravil na tem področju. Brez dvoma to še posebej velja za izvajalce zdravstvene dejavnosti.

Glede »kataloga zbirk osebnih podatkov« pa je primerljiva pravna podlaga v 30. členu Splošne uredbe, ki ureja pogoje za njeno vodenje in vsebino evidence dejavnosti obdelave.

Prijazen pozdrav.

Pripravil

dr. Urban Brulc, univ. dipl. prav., samostojni svetovalec IP

Mojca Prelesnik, univ. dipl. prav., informacijska pooblaščenka