Ustreznost zavarovanja OP

Datum

22.01.2024

Številka

07121-1/2024/63

Kategorije

Varnost osebnih podatkov

Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaše zaprosilo za mnenje glede ustreznosti zavarovanja določenih dokumentov o zaposlenih, ki jih obdeluje vaša kadrovska služba.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba o varstvu podatkov), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, 177/20, v nadaljevanju: ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju: ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.

IP izven konkretnih nadzornih ali drugih upravnih postopkov ne sme preverjati zakonitosti in primernosti obdelave osebnih podatkov v konkretnem primeru.

Primerne ukrepe za zavarovanje konkretnih osebnih podatkov določi upravljavec.

Pri izvedbi posameznih postopkov in ukrepov za zavarovanje osebnih podatkov je treba vedno upoštevati tudi načela iz 5. člena Splošne uredbe, med drugim tudi načelo celovitosti in zaupnosti.

Obrazložitev

IP uvodoma poudarja, da lahko podaja neobvezujoča mnenja in pojasnila, ne sme pa izven konkretnih nadzornih ali drugih upravnih postopkov preverjati zakonitosti in primernosti obdelave osebnih podatkov v konkretnem primeru. IP kot nadzorni organ na področju varstva osebnih podatkov v okviru neobvezujočega mnenja tako ne more presojati skladnosti rešitve, ki ste jo na kratko opisali v vašem zaprosilu za mnenje, s predpisi s področja varstva osebnih podatkov. Dokončno presojo zakonitosti in primernosti obdelave osebnih podatkov lahko IP poda le v konkretnem nadzornem ali drugem upravnem postopku.

IP tako splošno pojasnjuje, da mora upravljavec (v konkretnem primeru vaša družba kot delodajalec) pred uvedbo posamezne rešitve presoditi dopustnost in sorazmernost obdelav osebnih podatkov, ki bodo obdelovani v njenem okviru. Vsaka obdelava osebnih podatkov mora potekati transparentno in skladno z določbami Splošne uredbe. Glede zavarovanja osebnih podatkov je treba upoštevati zlasti 24., 25. in 32. člen Splošne uredbe, ki primeroma določajo tehnično-organizacijske ukrepe za zavarovanje osebnih podatkov, oziroma merila in tveganja, ki se naj upoštevajo pri njihovi določitvi. Primeren ukrep oziroma ukrepe za zavarovanje konkretnih osebnih podatkov torej določi upravljavec in pri tem skladno s prvim odstavkom 32. člena Splošne uredbe upošteva: najnovejši tehnološki razvoj in stroške izvajanja ter naravo, obseg, okoliščine in namene obdelave, pa tudi tveganja za pravice in svoboščine posameznikov, ki se razlikujejo po verjetnosti in resnosti. Pri izvedbi posameznih postopkov in ukrepov je treba vedno upoštevati tudi načela iz 5. člena Splošne uredbe, med drugim tudi načelo celovitosti in zaupnosti, v skladu s katerim se osebni podatki obdelujejo na način, ki zagotavlja ustrezno varnost osebnih podatkov, vključno z zaščito pred nedovoljeno ali nezakonito obdelavo ter pred nenamerno izgubo, uničenjem ali poškodbo z ustreznimi tehničnimi ali organizacijskimi ukrepi. Upravljavec mora poskrbeti za to, da bodo podatki varni, kar pomeni, da ne smejo biti na voljo nepooblaščenim osebam (zaupnost), da se jih ne sme izgubiti, javno objaviti ali nepooblaščeno spreminjati (celovitost) in da morajo biti na voljo takrat, ko so res potrebni (razpoložljivost). V konkretnem primeru mora torej vaše podjetje kot upravljavec presoditi, ali je ukrep, ki ga navajate v vašem zaprosilu za mnenje, nujno potreben za zagotavljanje celovitosti, zaupnosti oziroma razpoložljivosti podatkov.

Obdelava osebnih podatkov in njihovo zavarovanje znotraj upravljavca je torej načeloma stvar odločitve vodstva ter posledično notranje organizacije upravljavca in ureditve v internih aktih. IP ponavlja, da v okviru neobvezujočega mnenja ne more presojati ustreznosti notranje ureditve upravljavca, ampak to lahko presoja le v okviru konkretnega nadzornega oziroma drugega upravnega postopka, ko so znane vse konkretne okoliščine posameznega primera. Presoja glede zakonitosti obdelave in ustreznih postopkov in ukrepov za njeno zagotovitev je primarno vedno na upravljavcu osebnih podatkov, ki je za to presojo tudi odgovoren.

Lepo vas pozdravljamo.

Pripravil

Matej Sironič, Svetovalec pooblaščenca za varstvo osebnih podatkov

Mojca Prelesnik, univ. dipl. prav., Informacijska pooblaščenka