Organ v sestavi in ministrstvo; kdo je upravljavec

Datum

04.05.2023

Številka

07120-1/2023/254

Kategorije

Pogodbena obdelava podatkov, Skupni upravljavci

Informacijski pooblaščenec (v nadaljevanju IP) je po elektronski pošti prejel vaš dopis, v katerem pojasnjujete, da resorno ministrstvo za manjše organe v sestavi »izvaja vse naloge strokovne pomoči pri upravljanju« in ti organi nimajo sistemiziranih posebnih delovnih mest »za izvajanje nalog na področju upravljanja kadrovskih, finančnih, informacijskih in drugih virov«. Zaradi navedenega se vam je pojavilo vprašanje, ali za upravljavca šteje organ v sestavi sam (ker je samo odločanje in s tem tudi dolžnost nadzora in urejanja pridržana predstojniku organa v sestavi) ali resorno ministrstvo (ker je potrebno slediti dejanskemu izvajanju nalog, torej dejanskemu upravljanju osebnih podatkov, in ne zgolj formalnemu hierarhičnemu vidiku pristojnosti predstojnika organa v sestavi kot predstojnika delodajalca). Prosite nas za mnenje.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22, ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba), ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A, ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

Organ v sestavi, ki nedvomno obdeluje osebne podatke, mora sam ali v sodelovanju z resornim ministrstvom ugotoviti, v kakšni vlogi nastopa v zvezi z obdelavo osebnih podatkov. Pri tem mora izhajati predvsem iz svojih zakonsko opredeljenih nalog in pristojnosti ter upoštevati, da mu v določenem delu minister prek obveznih navodil za delo tudi naloži izvajanje določenih pristojnosti. V določenem delu je potrebno raziskati tudi vprašanje skupnega upravljavstva. IP svetuje, da si pri določitvi vlog v zvezi z obdelavo osebnih podatkov pomagate s Smernicami št. 07/2020 o pojmih upravljavec in obdelovalec iz Splošne uredbe o varstvu podatkov.

O b r a z l o ž i t e v:

IP uvodoma poudarja, da konkretnega in dokončnega odgovora o zakonitosti obdelave osebnih podatkov v okviru mnenja v nobenem primeru ne more podati, saj lahko IP posamezne primere obdelave podatkov konkretno presoja zgolj v okviru inšpekcijskega ali drugega upravnega postopka.

Skladno s 7. točko 4. člena Splošne uredbe pomeni pojem „upravljavec“ fizično ali pravno osebo, javni organ, agencijo ali drugo telo, ki samo ali skupaj z drugimi določa namene in sredstva obdelave; kadar namene in sredstva obdelave določa pravo Unije ali pravo države članice, se lahko upravljavec ali posebna merila za njegovo imenovanje določijo s pravom Unije ali pravom države članice.

V vašem primeru je ključen odgovor na vprašanje, kdo določa namene in sredstva obdelave osebnih podatkov.

Navajamo nekaj ključnih razmislekov in poudarkov, pomembnih za določitev upravljavca osebnih podatkov, iz Smernic Evropskega odbora za varstvo podatkov št. 07/2020 o pojmih upravljavec in obdelovalec iz Splošne uredbe o varstvu podatkov (https://edpb.europa.eu/system/files/2022-02/eppb_guidelines_202007_controllerprocessor_final_sl.pdf):

-upravljavec določi namene in sredstva obdelave, tj. razlog za obdelavo in njen način;

- določanje namenov in sredstev obdelave se nanaša na upravljavčev vpliv na obdelavo z izvajanjem pristojnosti odločanja. Upravljavec je organ, ki odloča o nekaterih ključnih elementih v zvezi z obdelavo. To upravljanje se lahko opredeli z zakonom ali pa lahko izhaja iz analize dejanskih elementov ali okoliščin primera. Proučiti je treba konkretna zadevna dejanja obdelave in ugotoviti, kdo jih določa, tako da se najprej obravnavajo naslednja vprašanja: „Zakaj poteka ta obdelava?“ in „Kdo je sprejel odločitev, da mora obdelava potekati za določen namen?“.

- Če je upravljavec posebej zakonsko opredeljen, bo to odločilno za ugotovitev o tem, kdo deluje kot upravljavec. To pomeni, da je zakonodajalec za upravljavca določil subjekt, ki je dejansko zmožen izvajati nadzor. V nekaterih državah nacionalna zakonodaja določa, da so za obdelavo osebnih podatkov odgovorni javni organi v okviru svojih nalog. V teh primerih pogosto zakon določa namen obdelave. Upravljavec je navadno tisti, ki ga določi zakon za uresničitev tega namena, te javne naloge. To bi veljalo takrat, kadar subjekt, ki so mu zaupane določene javne naloge (na primer socialna varnost), ki jih ni mogoče opraviti brez zbiranja vsaj nekaterih osebnih podatkov, za izpolnitev teh javnih nalog vzpostavi podatkovno zbirko ali register. V tem primeru zakon, čeprav posredno, določa, kdo je upravljavec. Če določitev upravljavca ne izhaja (vsaj posredno) iz določb zakona, je treba ugotoviti, kdo izvaja nadzor, ki izhaja iz dejanskega vpliva: upoštevati je treba vse ustrezne dejanske okoliščine, da se ugotovi, ali ima posamezen subjekt odločilen vpliv v zvezi z obdelavo zadevnih osebnih podatkov.

- Ni nujno, da ima upravljavec dejansko dostop do podatkov, ki se obdelujejo, da bi se štel za upravljavca.

- Pojma upravljavec in obdelovalec sta funkcionalna pojma: njun namen je dodeliti odgovornosti v skladu z dejanskimi vlogami strank. To pomeni, da se mora pravni status akterja bodisi kot „upravljavca“ bodisi kot „obdelovalca“ načeloma določiti z njegovimi dejanskimi dejavnostmi v posebnem položaju, ne pa na podlagi uradnega imenovanja akterja za „upravljavca“ ali „obdelovalca“ (na primer v pogodbi). To pomeni, da mora dodelitev vlog navadno izhajati iz analize dejanskih elementov ali okoliščin primera.

Zaradi vsega navedenega in ob upoštevanju Zakona o državni upravi (ZDU) in Uredbe o organih v sestavi ministrstva IP sklepa, da je upravljavec osebnih podatkov vsaj v pretežni meri organ v sestavi.

21. člen ZDU določa, da se lahko z uredbo ustanovi upravni organ v sestavi ministrstva »za opravljanje specializiranih strokovnih nalog, izvršilnih in razvojnih upravnih nalog, nalog inšpekcijskega in drugega nadzora in nalog na področju javnih služb.« Prav tako je pomembna določba prvega odstavka 23. člena ZDU, ki določa, da organ v sestavi izvaja naloge v skladu z zakonom, drugimi predpisi, programom dela, ki ga sprejme minister na predlog predstojnika organa v sestavi, in finančnim načrtom, ki se sprejme v skladu z zakonom o javnih financah. Po presoji IP je organ v sestavi pristojen za določanje namenov in sredstev obdelave osebnih podatkov, potrebnih za opravljanje omenjenih nalog.

Vendar je treba upoštevati in ustrezno interpretirati tudi tretji odstavek 23. člena ZDU, ki določa, da (poleg usmeritev za delo organa v sestavi po drugem odstavku obravnavanega člena) minister daje organu v sestavi obvezna navodila za delo ter mu naloži, da v mejah svoje pristojnosti opravi določene naloge ali sprejme določene ukrepe ter mu o tem poroča. V tem delu, ko gre za obvezna navodila za delo, se je že treba vprašati, ali ministrstvo s tem določi tudi namene in/ali sredstva obdelave osebnih podatkov. To bo gotovo odvisno od posameznih okoliščin primera. Menimo pa, da tudi v primeru, ko bi za določene primere obvezna navodila za delo ministra vključevala določanje namenov in sredstev obdelave osebnih podatkov, bi bila morda v tem delu organ v sestavi in ministrstvo lahko skupna upravljavca osebnih podatkov v smislu 26. člena Splošne uredbe.

Nadalje IP ugotavlja, da iz petega odstavka 23. člena ZDU v povezavi s 3. členom Uredbe o organih v sestavi ministrstva izhaja, da ministrstvo ali drug organ državne uprave izvaja vse ali določene naloge strokovne pomoči predstojniku na področju upravljanja s kadrovskimi, finančnimi, informacijskimi in drugimi viri tudi za organ v sestavi. IP meni, da izvajanje nalog strokovne pomoči, kot jih omenjata ZDU in Uredba, ne pomeni odločanja o namenih in sredstvih obdelave osebnih podatkov, temveč zgolj dejansko opravljanje določenih nalog, in sicer v imenu organa v sestavi. V kolikor bi ugotovili, da gre med organom v sestavi in ministrstvom za odnos med upravljavcem in obdelovalcem, bi morali zadostiti tudi zahtevam iz 28. člena Splošne uredbe.

Da je zakonodajalec organom v sestavi dodelil vlogo upravljavca osebnih podatkov lahko sklepamo tudi iz določbe tretjega odstavka 49. člena ZVOP-2, ki določa, da če je v okviru ministrstva ustanovljen organ v sestavi, predstojnik organa v sestavi za pooblaščeno osebo organa v sestavi določi javnega uslužbenca, ki je zaposlen v organu v sestavi ali na tem ministrstvu. Pooblaščena oseba pa se določi za upravljavca ali obdelovalca osebnih podatkov. IP meni, da je vloga obdelovalca osebnih podatkov glede na vse predstavljene okoliščine in zakonske določbe načeloma izključena, razen če bi se obvezna navodila ministra in naložitev določenih nalog in izvedbo ukrepov (tretji odstavek 23. člena ZDU) štelo za delovanje v imenu in za račun ministrstva.

IP zaključuje z mislijo, da mora organ v sestavi, ki nedvomno obdeluje osebne podatke, sam ali v sodelovanju z resornim ministrstvom ugotoviti, v kakšni vlogi nastopa v zvezi z obdelavo osebnih podatkov. Pri tem mora izhajati predvsem iz svojih zakonsko opredeljenih nalog in pristojnosti, v povezavi z delom izvajanja, ki mu ga naloži minister prek obveznih navodil za delo. Morda gre preučiti tudi morebitno razdelitev vlog določanja namenov in sredstev obdelave osebnih podatkov (v določenem delu), torej je potrebno raziskati vprašanje skupnega upravljavstva. IP svetuje, da si pri odgovorih na vprašanja, ki se vam porajajo v zvezi z vlogo organa v sestavi ter resornega ministrstva, pomagate z zgoraj omenjenimi Smernicami št. 07/2020 o pojmih upravljavec in obdelovalec iz Splošne uredbe o varstvu podatkov.

V upanju, da ste dobili odgovor na svoje vprašanje, vas lepo pozdravljamo.

Mojca Prelesnik, univ.dipl.prav.,

informacijska pooblaščenka

Pripravil:

Matej Sironič, svetovalec IP za varstvo osebnih podatkov

dr. Jelena Virant Burnik, Informacijska pooblaščenka