Dostop CSD-jev do zbirk osebnih podatkov znotraj enot/regij CSD ter pri zunanjih upravljavcih osebnih podatkov

Datum

10.06.2025

Številka

07120-1/2025/262

Kategorije

Varnost osebnih podatkov, Pravne podlage, Pridobivanje OP iz zbirk, Posredovanje osebnih podatkov

pri Informacijskem pooblaščencu (IP) smo dne 25. 4. 2025 in 2. 6. 2025 (dopolnitev) prejeli vaše zaprosilo za ukrepanje glede pomanjkljivih dostopnih pravic oziroma podlag za CSD-je. CSD-ji med drugim izvajate zahtevne strokovne naloge na podlagi 153. člena Družinskega zakonika ter 108. člena ZNP-1 – tako naloge za zaščito otrok kot tudi naloge za varstvo koristi otrok. Z namenom ugotovitve dejanskega stanja morate pridobivati osebne podatke vseh udeležencev postopka – tako otrok kot tudi staršev – tako znotraj enote, regijskega CSD in širše. Na primer v dokumentacijskem sistemu Krpan na posamezni enoti nimate dostopa do podatkov na ravni regije, imate pa dostop do baze socialnih podatkov. Menite, da bi bilo treba sklicati sestanek z vsemi deležniki. Druga problematika se tiče pridobivanja osebnih podatkov, ki jih potrebujete za svoje delo, in sicer od zunanjih upravljavcev zbirk podatkov (posebej izpostavljate na primer dostop do kazenske evidence pri MP). V mislih imate zlasti pridobivanje podatkov zaradi izvajanja nalog na podlagi 153. člena Družinskega zakonika (DZ; splošno pooblastilo za varstvo koristi otroka) ter 108. člena Zakona o nepravdnem postopku (ZNP-1; CSD kot zakoniti udeleženec v postopku za odločanje o ukrepih za varstvo koristi otrok). Želeli bi sistemsko rešitev pridobivanja podatkov. V zvezi z vašim pisanjem ste priložili dodatno gradivo.

Na podlagi proučitve gradiva, ki ste ga priložili ugotavljamo:

-da ne gre za problem konkretne zahteve CSD-ja oziroma njene zavrnitve s strani določenega upravljavca ali notranje nedostopnosti, temveč za splošno predstavljeno problematiko;

-da se obe problematiki nanašata le na splošno izraženo potrebo po pridobivanju osebnih podatkov za izvajanje zakonskih pristojnosti CSD-jev, torej ne gre za problem interpretacije obstoječih predpisov in tudi ne za konkreten predlog predpisa, ki bi urejal predstavljeno problematiko.

IP se namreč lahko vnaprej in neobvezujoče opredeljuje le glede obstoječih pravnih podlag za obdelavo osebnih podatkov ter glede že pripravljenih predlogov predpisov, ki naj bi urejali obdelavo oziroma varstvo osebnih podatkov. Dokončno in konkretno pa se do obdelav osebnih podatkov lahko IP opredeljuje le v nadzornih postopkih.

V vsakem konkretnem primeru zavrnitve zahteve za pridobitev osebnih podatkov, lahko CSD pri IP vloži pritožbo (gl. 41. člen ZVOP-2), če se zahteva nanaša na osebne podatke v uradnih zbirkah osebnih podatkov. Presoja v takem pritožbenem postopku se izvaja glede na obstoječe zakonodajno stanje.

IP ni pripravljavec zakonodajnih rešitev, temveč zlasti organ za nadzor nad njenim izvrševanjem. Za pripravo ustreznih sprememb in dopolnitev zakonodaje z vašega področja, se je treba obrniti na institucije, ki pripravljajo zakonodajo (zlasti na pristojno ministrstvo) ali na stanovske organizacije.

Zgolj načelno lahko pojasnimo, da bi IP lahko podprl uvedbo novih ali širših dostopnih pravic CSD-jev, če bi predlagatelj zakona v zakonodajnem postopku ustrezno utemeljil, da so želeni osebni podatki neizogibno potrebni in primerni za izvajanje določenih zakonskih pristojnosti. Splošno ali pavšalno odpiranje dostopnih pravic ni utemeljeno, saj je treba za vsak dostop oziroma za vsako posamezno nalogo CSD-ja v ustreznem zakonu (npr. v ZSV, DZ in področni zakonodaji, ki ureja posamezno zbirko) določiti, kdo je zavezani upravljavec, kateri osebni podatki se lahko pridobivajo ter iz katere zbirke, za kakšen konkretni namen in pod kakšnimi pogoji.

Podobno velja glede notranjih dostopov do osebnih podatkov – te primarno določa upravljavec sam (in ne IP) v skladu z načelom najmanjšega obsega podatkov, načelom omejitve namena in načela zagotavljanja varnosti osebnih podatkov (npr. personalne, časovne in vsebinske omejitve dostopa, zagotavljanje sledljivosti) ter ob upoštevanju dejanskih potreb po podatkih za vsako vrsto dostopa posebej in ob upoštevanju funkcionalnosti informacijskega sistema ter organizacije dela na različnih področjih, ki jih pokrivajo CSD-ji. Načeloma lahko zgolj pojasnimo, da širitev notranjih dostopnih pravic znotraj enot in regij samo po sebi ni prepovedano, pač pa je odvisno od omenjenih elementov, ki so potrebni pri presoji s strani upravljavca zbirk osebnih podatkov (npr. dokumentacijskega sistema Krpan).

Glede na zgoraj navedeno vam v tej fazi žal še ne moremo ponuditi ustrezne rešitve.

Prijazen pozdrav.

Pripravil:

dr. Urban Brulc, univ. dipl. prav.

samostojni svetovalec IP

dr. Jelena Virant Burnik

informacijska pooblaščenka