Seznanitev z razpisno dokumentacijo po e-pošti

Datum

26.04.2024

Številka

07120-1/2024/167

Kategorije

Pravne podlage, Varnost osebnih podatkov

Informacijski pooblaščenec (v nadaljevanju IP) je po e-pošti prejel vaše zaprosilo za mnenje. Navedli ste, da ste članica sveta v javnem zavodu, v katerega vas je imenovala zunanja institucija. Trenutno je v teku razpis za … in se morate glede glasovanja o kandidatih posvetovati v instituciji, ki vas je imenovala, a niste prejeli ustreznega gradiva po pošti. Sprašujete, ali je članom sveta zavoda z vidika varovanja osebnih podatkov dovoljeno poslati (po e-pošti) dokumentacijo glede prispelih vlog na razpisu za …?

***

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22, ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A, ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

Javni zavod mora kot upravljavec določiti (npr. s splošnim aktom), s katerimi podatki se lahko njegovi organi seznanijo v okviru izvajanja svojih nalog (prav tako npr. v kakšni obliki naj prejmejo informacijo). Osebne podatke pa je treba s primernimi tehnično-organizacijskimi ukrepi tudi ustrezno zavarovati, med drugim pred nepooblaščeno seznanitvijo z osebnimi podatki s strani tretjih oseb. Pošiljanje osebnih podatkov po e-pošti je tako lahko dopustno, vendar mora upravljavec v vsakem posameznem primeru glede na okoliščine presoditi, ali gre za primeren ukrep ter ali je treba podatke dodatno zavarovati (npr. z geslom).

Obrazložitev

Uvodoma poudarjamo, da IP izven postopka inšpekcijskega nadzora oziroma drugega upravnega postopka konkretnih obdelav osebnih podatkov ne more presojati.

Pojasnjujemo, da mora za obdelavo osebnih podatkov (kamor uvrščamo npr. seznanitev in posredovanje podatkov) obstajati ustrezna pravna podlaga skladno s prvim odstavkom 6. člena Splošne uredbe:

(a)posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov;

(b)obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe;

(c)obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca;

(d)obdelava je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe;

(e)obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu;

(f)obdelava je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok.

Ob tem opozarjamo, da se točka (f) ne uporablja za obdelavo s strani javnih organov pri opravljanju njihovih nalog.

Naloge sveta zavoda so opredeljene v 30. členu Zakona o zavodih (Uradni list RS, št. 12/91, 8/96, 36/00 – ZPDZC in 127/06 – ZJZP) in sicer svet zavoda sprejema statut oziroma pravila in druge splošne akte zavoda, sprejema programe dela in razvoja zavoda ter spremlja njihovo izvrševanje, določa finančni načrt in sprejema zaključni račun zavoda, predlaga ustanovitelju spremembo ali razširitev dejavnosti, daje ustanovitelju in direktorju zavoda predloge in mnenja o posameznih vprašanjih in opravlja druge z zakonom ali aktom o ustanovitvi oziroma s statutom ali pravili zavoda določene zadeve.

Opozorimo naj, da mora javni zavod tako pri izvajanju svojih nalog, kakor tudi pri snovanju svojih internih pravil, zagotoviti spoštovanje pravil in načel varstva osebnih podatkov (določena so v 5. členu Splošne uredbe). Javni zavod kot upravljavec mora določiti (s statutom, pravili ali drugim splošnim aktom), s katerimi podatki se lahko njegovi organi seznanijo v okviru izvajanja svojih nalog (prav tako npr. v kakšni obliki naj prejmejo informacijo). V tem kontekstu predvsem opozarjamo na načelo najmanjšega obsega podatkov, skladno s katerim se smejo obdelovati zgolj tisti osebni podatki, ki so nujno potrebni za dosego določenega cilja (npr. za izpolnjevanje nalog člana sveta zavoda), zato mora skladno s tem načelom določiti, s kakšnim naborom podatkov se lahko osebe seznanijo. Osebne podatke pa je treba s primernimi tehnično-organizacijskimi ukrepi tudi ustrezno zavarovati, med drugim pred nepooblaščeno seznanitvijo z osebnimi podatki s strani tretjih oseb. Z osebnimi podatki se lahko seznanijo torej tisti, ki to potrebujejo za izvajanje svojih nalog. Vsaka oseba, ki se seznani z osebnimi podatki v vlogi zastopanja upravljavca, je dolžna podatke varovati in jih ne sme obdelovati za noben drug namen (npr. nezakonito posredovati tretjim osebam).

V zvezi s pošiljanjem dokumentov po e-pošti na splošno pojasnjujemo, da je lahko pošiljanje osebnih podatkov po e-pošti dopustno, vendar mora upravljavec v vsakem posameznem primeru glede na okoliščine presoditi, ali gre za ustrezen ukrep z vidika varnosti osebnih podatkov ter ali je treba podatke dodatno zavarovati tako, da se prepreči npr. nepooblaščen dostop do osebnih podatkov pri njihovem prenosu (npr. dokument se zavaruje z geslom).

Predlagamo vam, da pri upravljavcu preverite, s katerimi informacijami se smete seznaniti glede na pristojnosti sveta javnega zavoda, oz. konkretne naloge, ki jih opravljate, v kakšni obliki jih lahko prejmete oz. komu jih lahko posredujete. Za zakonito poslovanje in skladnost s pravili varstva osebnih podatkov je namreč odgovoren upravljavec, ki mora biti skladnost zmožen tudi dokazati.

V upanju, da vam bodo naša napotila v pomoč, vas lepo pozdravljamo.

Mojca Prelesnik, univ. dipl. prav., informacijska pooblaščenka

Pripravila

Barbara Žurej, univ. dipl. prav., svetovalka pooblaščenca za preventivo