Povezava med informacijskimi sistemi INSPIS in CRP

Datum

21.06.2024

Številka

07120-1/2024/240

Kategorije

Posredovanje osebnih podatkov, Pridobivanje OP iz zbirk, Zbirke osebnih podatkov

Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaš zgoraj navedeni dopis, v katerem navajate, da je v letu 2016, ko ste kot takratni organ IRSOP želeli vaš informacijski sistem INSPIS IRSOP povezati s CRP, IP izdal mnenje, da je zadeva ustrezno izvedena, implementirana in zavarovana.

V lanskem letu je bil organ IRSOP z reorganizacijo Vlade RS ukinjen, iz njega pa so nastali trije novi organi, zaradi česar se je na tri nove aplikacije razdelil tudi informacijski sistem INSPIS IRSOP, s tem pa je bila tudi ukinjena povezava do CRP.

Vsi trije novi INSPIS-i zaenkrat še nimajo vklopljene nove povezave do CRP, saj MNZ zahteva ponovno mnenje IP. Ker nameravate v letošnjem letu ponovno izvesti vzpostavitev delovanja CRP v vsakega izmed INSPIS-ov, ki bodo imeli popolnoma enako povezavo do CRP z enako funkcionalnostjo, kot je že bila implementirana leta 2016 in takrat tudi pregledana s strani IP, vas zanima, ali jo potrebno ponovno zaprositi IP za novo mnenje in ponoven pregled delovanja po implementaciji.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22, v nadaljevanju: ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba), 76. člena Zakona o varstvu osebnih podatkov na področju obravnavanja kaznivih dejanj (Uradni list RS, št. 177/20, v nadaljevanju: ZVOPOKD) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A, v nadaljevanju: ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašimi zgoraj navedenim vprašanjem.

IP poudarja, da je dne 26. 1. 2023 stopil v veljavo ZVOP-2, ki povezavo zbirk osebnih podatkov in posredovanje osebnih podatkov iz zbirk ureja drugače, kot ZVOP-1, ki je veljal v letu 2016.

ZVOP-1, na katerega se nanaša mnenje IP iz leta 2016, izraza »povezava zbirk podatkov« ni posebej opredeljeval, ZVOP-2 pa ta izraz opredeljuje v 12. točki 5. člena, povezovanje zbirk osebnih podatkov pa sedaj ureja v 87. členu ZVOP-2, pri čemer zdajšnja ureditev povezovanja zbirk osebnih podatkov velja le za t.i. posebej občutljive zbirke osebnih podatkov, ki so v prvem odstavku 87. člena ZVOP-2 izrecno določene. ZVOP-2 v primeru povezave zbirk osebnih podatkov ne zahteva več predhodnega dovoljenja IP, pač pa mora upravljavec oziroma obdelovalec pred začetkom povezave zbirk iz prvega odstavka 87. člena ZVOP-2 izdelati oceno učinka po 35. členu Splošne uredbe in se posvetovati z IP.

Organi oziroma inšpektorati, ki so nastali z reorganizacijo IRSOP, ter MNZ, za vzpostavitev povezave aplikacije INSPIS s CRP, ki bo omogočala pridobivanje osebnih podatkov iz CRP na način, kot je bil IP-ju predstavljen leta 2016, tudi po uveljavitvi ZVOP-2 ne potrebujejo dovoljenja ali mnenja IP.

Obrazložitev

IP uvodoma poudarja, da izven nadzornega ali drugega upravnega postopka ne more presojati konkretnih obdelav osebnih podatkov in podajati konkretnih stališč v zvezi s posameznimi vprašanji s področja varstva osebnih podatkov. V okviru neobvezujočega mnenja IP ne more odločati o tem, ali so v konkretnem primeru podani pogoji za posredovanje osebnih podatkov ali povezovanje zbirk osebnih podatkov, temveč lahko v mnenju zgolj opozori na relevantno pravno podlago ter pogoje, ki morajo biti izpolnjeni, da je določeno posredovanje ali povezovanje osebnih podatkov zakonito. Odgovornost za zakonito posredovanje, pridobivanje, povezovanje ali kakršno drugo obdelavo osebnih podatkov je vedno na upravljavcu osebnih podatkov.

IP pojasnjuje, da ZVOP-1, na katerega se navezuje mnenje IP iz leta 2016, izraza »povezava zbirk podatkov« ni posebej opredeljeval, ZVOP-2 pa ta izraz opredeljuje v 12. točki 5. člena, kjer je povezovanje zbirk osebnih podatkov opredeljeno kot avtomatsko in elektronsko povezovanje zbirk, ki jih upravljajo upravljavci za različne namene ali po različnih pravnih podlagah, in sicer tako, da se določeni osebni podatki samodejno prenesejo ali vključijo v drugo povezano zbirko ali več povezanih zbirk, tudi če se izvaja le enosmeren pretok osebnih podatkov; zbirke so povezane, če se določeni osebni podatki iz ene zbirke neposredno vključijo v drugo zbirko in se tako druga zbirka poveča ali posodobi ali pa se osebni podatki v njej zaradi točnosti spremenijo. Povezovanje se torej glede na opredelitev v ZVOP-2 izvede tako, da se določeni podatki samodejno (povezljivost v ožjem smislu) ali na zahtevo (povezljivost v širšem smislu) prenesejo ali vključijo v drugo povezano zbirko ali več povezanih zbirk.

ZVOP-2 povezavo zbirk osebnih podatkov posebej ureja 87. členu, kjer je v prvem odstavku določeno, da kadar se posebne vrste osebnih podatkov, osebni podatki v zvezi s kazenskimi obsodbami in prekrški, podatki o dohodkih v skladu z zakonom, ki ureja dohodnino, podatki o premoženju posameznika v skladu z zakonom, ki ureja uveljavljanje pravic iz javnih sredstev, podatki o nepremičninah v lasti posameznika v skladu z drugimi zakoni, podatki oziroma informacije o kreditni sposobnosti v skladu z zakonom, ki ureja centralni kreditni register, ter uradne evidence v skladu z zakonom, ki ureja naloge in pooblastila policije, in zakonom, ki ureja preprečevanje pranja denarja in financiranja terorizma, obdelujejo v uradnih evidencah ali javnih knjigah, se jih lahko povezuje med seboj ali z drugimi zbirkami samo, če taka povezovanja izrecno določa zakon. Drugi odstavek 87. člena ZVOP-2 nadalje še določa, da mora upravljavec oziroma obdelovalec pred začetkom povezovanja zbirk iz prejšnjega odstavka izdelati oceno učinka po 35. členu Splošne uredbe in se posvetovati z nadzornim organom po 36. členu Splošne uredbe.

Iz zgoraj navedenih določb 87. člena ZVOP-2 izhaja, da ZVOP-2 ureja samo povezovanje t.i. posebej občutljivih zbirk osebnih podatkov, ki pomenijo večje tveganje oziroma večji poseg v zasebnost posameznika, medtem ko povezave uradnih evidenc in javnih knjig, ki ne vsebujejo zgoraj navedenih vrst osebnih podatkov, posebej ne ureja. To pomeni, da so povezave takih uradnih evidenc in javnih knjig dopustne pod pogojem, da za takšno obdelavo obstaja katera od pravnih podlag iz prvega odstavka 6. člena Splošne uredbe ter če je zagotovljena ustrezna varnost osebnih podatkov, vključno z zagotavljanjem evidentiranja posredovanja po šestem odstavku 41. člena in dnevnika obdelave iz 22. člena ZVOP-2. IP glede pravne podlage za povezovanje uradnih evidenc in javnih knjig, ki ne spadajo v okvir 87. člena ZVOP-2, podaja stališče, da je takšne zbirke dopustno povezovati, če za posredovanje, pridobivanje oziroma obdelavo osebnih podatkov obstaja pravna podlaga iz (c) ali (e) točke prvega odstavka 6. člena Splošne uredbe. Zakon mora torej določiti možnost upravljavca zbirke osebnih podatkov za pridobivanje osebnih podatkov iz druge uradne evidence, javne knjige ali druge zbirke osebnih podatkov, s katero se želi v konkretnem primeru povezati, ter določiti tudi vrste osebnih podatkov, ki se lahko pridobivajo. Ob tem je treba upoštevati tudi zahteve 35. člena Splošne uredbe in ZVOP-2 glede izdelave ocene učinka na varstvo podatkov. Glede na te zahteve bo namreč tudi v številnih primerih povezovanja uradnih evidenc in javnih knjig, ki sicer ne spadajo v okvir prvega odstavka 87. člena ZVOP-2, treba izdelati predhodno oceno učinka na varstvo podatkov. Več informacij o oceni učinka je dostopnih na spletni strani IP:

Kar zadeva izdelavo ocene učinka IP opozarja, da je treba glede potrebe po izdelavi ocene učinka v zvezi z varstvom osebnih podatkov preveriti tudi, ali gre morda za obliko obdelave iz Seznama dejanj obdelav osebnih podatkov, za katere velja zahteva po izvedbi ocene učinka v zvezi z varstvom osebnih podatkov po četrtem odstavku 35. člena Splošne uredbe, ko je torej predhodna izvedba ocene učinka v zvezi z varstvom osebnih podatkov obvezna. IP je pripravil tak seznam in ga objavil na spletni strani:

IP pojasnjuje, da je pri pridobivanju osebnih podatkov iz že obstoječih zbirk osebnih podatkov v praksi pogosto težko ločiti zlasti med pridobivanjem oziroma posredovanjem osebnih podatkov, ki se izvede preko telekomunikacijskega sredstva ali omrežja, ter med povezavo zbirk osebnih podatkov na zahtevo (povezljivost v širšem smislu). Bistveni element takšnega razlikovanja je v tem, da se mora pooblaščena oseba upravljavca osebnih podatkov v primerih posredovanja oziroma pridobivanja podatkov po 39. členu ZVOP-2 z ustrezno identifikacijo posebej prijaviti in vstopiti v vsako zbirko posebej, medtem ko se mora v primeru povezovanja zbirk osebnih podatkov z ustrezno identifikacijo prijaviti in vstopiti le v eno zbirko, sistem pa ji za tem samodejno pridobi določene osebne podatke iz vseh povezanih zbirk podatkov.

V primeru, ko so zbirke povezane na način, da upravljavec komunicira z eno zbirko osebnih podatkov, ta pa je v ozadju neposredno povezana z drugimi zbirkami podatkov (znotraj enega ali več upravljavcev), se to torej šteje za povezovanje zbirk podatkov, ne glede na to, da se podatki ne ažurirajo hkrati v vseh povezanih zbirkah. Tudi v takšnih primerih lahko namreč uporabnik osebnih podatkov pri delu s svojo zbirko osebnih podatkov hkrati pridobi tudi določene podatke iz (vseh) povezanih zbirk in jih neposredno vključi v svojo zbirko, ne da bi za to moral vstopati v vsako zbirko posebej. Za povezovanje v širšem smislu gre po mnenju IP tudi takrat, ko uporabnik v svojo zbirko vnese določene osebne podatke posameznika, sistem pa za tem zbirko samodejno ali na zahtevo uporabnika dopolni še z določenimi podatki iz drugih povezanih zbirk.

Za razliko od zgoraj opisane povezave zbirk podatkov IP glede pridobivanja osebnih podatkov iz zbirk, ki se izvede preko telekomunikacijskega sredstva ali omrežja, pojasnjuje, da mora pri pridobivanju osebnih podatkov pooblaščena oseba upravljavca, ki želi osebne podatke pridobiti iz druge, že obstoječe zbirke osebnih podatkov, z ustrezno identifikacijo posebej vstopiti v to drugo zbirko ter za tem v tej zbirki z vnosom iskalnega kriterija pridobiti potrebne osebne podatke, pri čemer pa se tako pridobljeni osebni podatki v drugo zbirko ne vključijo samodejno, pač pa mora to storiti pooblaščena oseba ročno, npr. s prepisom, kopiranjem ali pa s sprožitvijo posebnega ukaza. Na drugi strani pa pri povezavi zbirk osebnih podatkov v širšem smislu pooblaščena oseba upravljavca pri delu s svojo zbirko v iskalnik enostavno vpiše iskalni kriterij (npr. EMŠO), sistem pa ji za tem iz povezanih zbirk samodejno prikliče in pridobi še ostale osebne podatke (npr. osebno ime, naslov prebivališča, ipd.), ki se jih zatem lahko vključi v zbirko, iz katere je bil opravljen priklic podatkov. Pri tem se podatki ažurirajo samo v zbirki, v katero pooblaščena oseba neposredno dostopa, ne pa tudi v drugih povezanih zbirkah. Podatki se pri tem ažurirajo samo v času poizvedbe, kasnejša sprememba podatkov v izvorni zbirki pa se ne odrazi s spremembo podatkov v povezanih zbirkah.

IP je v predstavljenem primeru pridobivanja osebnih podatkov iz CRP s pomočjo aplikacije INSPIS IS IRSOP leta 2016, ko je izdal mnenje št. 0712-1/2016/1611, na katerega se sklicujete v vašem dopisu, ugotovil, da bo morala pooblaščena uradna oseba RSOP, ki je pred tem že prijavljena v zbirko podatkov, katere upravljavec je IRSOP, pred vstopom v CRP vnesti še osebno geslo za vstop v CRP, pri čemer se ji bo pred vnosom gesla prikazalo še posebno opozorilo glede dopustnega ravnanja z osebnimi podatki in beleženju dostopov, ter bo morala po vnosu gesla za dostop do CRP s klikom na gumb »V redu« potrditi, da je seznanjena z vsebino ZVOP-1 in Navodila o zavarovanju osebnih podatkov v IRSOP ter da bo z osebnimi podatki ravnala v skladu s temi in drugimi predpisi, ki urejajo varstvo osebnih podatkov. Pooblaščena uradna oseba IRSOP mora glede na predstavljeno torej posebej vstopiti v CRP, pri čemer se ji šele po vnosu osebnega gesla za vstop v CRP in potrditvi, da je seznanjena s predpisi in pravili, omogoči iskanje oz. pridobivanje osebnih podatkov iz CRP. Pooblaščena uradna oseba IRSOP lahko za tem z vnosom iskalnih parametrov in obvezno navedbo razloga vpogleda ter klikom na gumb »Pošlji zahtevo v CRP« pridobi določene podatke iz CRP, na kar mora dobljene podatke še preveriti in ugotoviti njihovo pravilnost. Tako pridobljeni osebni podatki se za tem šele s klikom na gumb »V redu« prepišejo v zadevo (zbirko osebnih podatkov IRSOP), v primeru, ko se ugotovi, da podatki niso pravilni, pa pooblaščena uradna oseba IRSOP s klikom na gumb »Prekliči« zavrne vpis pridobljenih osebnih podatkov v zadevo. Pooblaščena uradna oseba IRSOP se mora za vsako novo iskanje oz. pridobivanje osebnih podatkov iz CRP na novo prijaviti z osebnim geslom za dostop do CRP.

IP meni, da pri zgoraj opisanem pridobivanju osebnih podatkov iz CRP ne moremo govoriti o povezavi zbirk osebnih podatkov (niti v širšem smislu), saj mora pooblaščena uradna oseba IRSOP z vnosom osebnega gesla vsakokrat posebej vstopiti v CRP, zaradi česar gre v opisanem primeru za tipično posredovanje oz. pridobivanje osebnih podatkov, ki so dostopni preko telekomunikacijskega omrežja. To pa z vidika določb ZVOP-2 pomeni, da gre v predstavljenem primeru za posredovanje osebnih podatkov v smislu 39. člena tega zakona.

Glede na to, da v predstavljenem primeru po mnenju IP ne gre za povezovanje zbirk osebnih podatkov v smislu 12. točke 5. člena ZVOP-2, upravljavec CRP (MNZ) in uporabniki oziroma upravljavci osebnih podatkov (inšpektorati, ki so nastali z reorganizacijo IRSOP) za takšno posredovanje oz. pridobivanje osebnih podatkov iz CRP ne potrebujejo nobenega dovoljenja ali mnenja IP.

MNZ in inšpektorati, ki bodo s pomočjo aplikacije INSPIS pridobivali osebne podatke iz CRP, morajo ob vzpostavitvi takšnega posredovanja oziroma posredovanja osebnih podatkov zagotoviti varnost osebnih podatkov, kot jim to nalaga 32. člen Splošne uredbe. MNZ mora poleg tega zagotoviti, da se bo inšpektoratom posredovale le tiste vrste osebnih podatkov, za katere obstaja pravna podlaga iz 6. člena Splošne uredbe, ter skladno z zahtevo šestega odstavka 41. člena ZVOP-2 za vsako posredovanje osebnih podatkov zagotovi tudi možnost poznejše ugotovitve, kateri osebni podatki so bili posredovani, komu, kdaj in na kateri pravni podlagi, za kateri namen oziroma iz katerih razlogov oziroma za potrebe katerega postopka, razen če bo to razvidno že iz dnevnika obdelave po 22. členu ZVOP-2. Inšpektorati pa morajo v svojem informacijskem sistemu INSPIS zagotoviti še vodenje dnevnika obdelave osebnih podatkov iz 22. člena ZVOP-2, ki mora za vsako zbiranje, spreminjanje, vpogled, razkritje, izbris ali kakšno drugo dejanje obdelave vsebovati vrsto dejanja obdelave, identifikacijo osebe, ki je izvedla dejanje obdelave, ter identifikacijo uporabnikov osebnih podatkov tako, da je mogoče naknadno ugotoviti identiteto teh oseb.

Lepo vas pozdravljamo.

Pripravil:

Jože Bogataj, namestnik informacijske pooblaščenke

Mojca Prelesnik, univ. dipl. prav., informacijska pooblaščenka