Obdelava davčne številke za drug namen

Datum

17.03.2023

Številka

07120-1/2023/143

Kategorije

EMŠO in davčna, Informiranje posameznika, Pooblaščene osebe za varstvo podatkov - DPO

Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaše zaprosilo za mnenje glede pridobivanja in uporabe davčne številke.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22; v nadaljevanju: ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, 51/07 – ZUstS-A; ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

IP opozarja na načelo omejitve namena iz (b) točke prvega odstavka 5. člena Splošne uredbe, ki določa, da morajo biti osebni podatki zbrani za določene, izrecne in zakonite namene ter se ne smejo nadalje obdelovati na način, ki ni združljiv s temi nameni.

Obdelava osebnih podatkov za drug namen kot za tistega, za katerega so bili zbrani, je v javnem in zasebnem sektorju dopustna, če je to v skladu z določbami iz četrtega odstavka 6. člena Splošne uredbe. Kadar gre za nadaljnjo obdelavo, ki jo izvajajo upravljavci zaradi zakonske obveznosti ali v okviru svojih nalog v javnem interesu ali zaradi izvajanja javne oblasti, mora tako obdelavo določati zakon v skladu z drugim odstavkom 6. člena ZVOP-2.

IP meni, da bi bilo za uporabo zbranih podatkov o davčnih številkah najemnikov grobov za drug namen izkazati, da za takšno obdelavo obstaja ustrezna pravna podlaga v skladu z navedenimi določbami Splošne uredbe in ZVOP-2.

Obrazložitev

IP uvodoma poudarja, da lahko podaja neobvezujoča mnenja in pojasnila, ne sme pa izven konkretnih inšpekcijskih postopkov preverjati zakonitosti in primernosti obdelave osebnih podatkov v konkretnem primeru. Dokončno presojo zakonitosti obdelave osebnih podatkov lahko IP poda le v konkretnem inšpekcijskem postopku.

Splošna uredba določa pravne podlage za zakonito obdelavo osebnih podatkov v prvem odstavku 6. člena, ki določa, da je obdelava zakonita le in kolikor je izpolnjen vsaj eden od naslednjih pogojev:

(a)posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov;

(b)obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe;

(c)obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca;

(d)obdelava je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe;

(e)obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu;

(f)obdelava je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok.

Za vsako obdelavo osebnih podatkov mora torej obstajati pravna podlaga. IP ob tem opozarja na načelo omejitve namena iz (b) točke prvega odstavka 5. člena Splošne uredbe, ki določa, da morajo biti osebni podatki zbrani za določene, izrecne in zakonite namene ter se ne smejo nadalje obdelovati na način, ki ni združljiv s temi nameni.

IP nadalje pojasnjuje, da ZVOP-2 v prvem odstavku 7. člena določa, da je obdelava osebnih podatkov za drug namen kot za tistega, za katerega so bili zbrani (v nadaljnjem besedilu: nadaljnja obdelava), v javnem in zasebnem sektorju dopustna, če je to v skladu z določbami iz četrtega odstavka 6. člena Splošne uredbe. Kadar gre za nadaljnjo obdelavo, ki jo izvajajo upravljavci zaradi zakonske obveznosti ali v okviru svojih nalog v javnem interesu ali zaradi izvajanja javne oblasti, mora tako obdelavo določati zakon v skladu z drugim odstavkom prejšnjega člena. Ta (drugi odstavek 6. člena ZVOP-2) določa, da je obdelava osebnih podatkov v javnem sektorju in v zasebnem sektorju zaradi izvajanja zakonske obveznosti, javnega interesa ali izvajanja javne oblasti v primerih iz točk c) in e) prvega odstavka ter drugega in tretjega odstavka 6. člena Splošne uredbe zakonita le, če obdelavo osebnih podatkov, vrste osebnih podatkov, ki naj se obdelujejo, kategorije posameznikov, na katere se ti osebni podatki nanašajo, namen njihove obdelave in rok hrambe osebnih podatkov ali rok za redni pregled potrebe po hrambi določa zakon. Če je mogoče, se v zakonu določijo tudi uporabniki osebnih podatkov, posamezna dejanja obdelave in postopki obdelave ter drugi ukrepi za zagotovitev zakonite, poštene in pregledne obdelave.

Zakon o pogrebni in pokopališki dejavnosti (Uradni list RS, št. 62/16, 3/22 – ZDeb; v nadaljevanju: ZPPDej) v petem odstavku 35. člena določa, da se v evidenci najemnikov grobov vodijo podatki o imenu in priimku najemnika, EMŠO ali davčna številka, naslov najemnika, številka in datum sklenitve pogodbe o najemu ter višina grobnine. Prav tako določa, da so podatki dostopni samo tistim uporabnikom, ki so za obdelavo osebnih podatkov pooblaščeni z zakonom. Drugih določb, ki bi se morebiti nanašale tudi na obdelavo podatkov v navedeni evidence za druge namene, ZPPDej ne vsebuje.

Glede na navedeno IP povzema, da bi bilo za uporabo zbranih podatkov o davčnih številkah najemnikov grobov za drug namen (tisti, ki ga navajate v vašem zaprosilu za mnenje ali katerikoli drug namen) izkazati, da za takšno obdelavo obstaja ustrezna pravna podlaga v skladu z navedenimi določbami Splošne uredbe in ZVOP-2. Ob morebitnem obstoju take pravne podlage (ZPPDej v skladu z navedenim v prejšnjem odstavku ne predstavlja takšne pravne podlage) bi morali kot upravljavec izpolniti svojo obveznost informiranja posameznikov skladno z določbami 13. člena Splošne uredbe, ki določa, da je upravljavec dolžan v primeru, kadar so bili osebni podatki pridobljeni od posameznika, na katerega se ti nanašajo, le-temu takrat, ko pridobi osebne podatke (v vašem primeru torej ob sklenitvi pogodbe), zagotoviti naslednje informacije:

(a)identiteto in kontaktne podatke upravljavca in njegovega predstavnika, kadar ta obstaja;

(b)kontaktne podatke pooblaščene osebe za varstvo podatkov, kadar ta obstaja;

(c)namene, za katere se osebni podatki obdelujejo, kakor tudi pravno podlago za njihovo obdelavo;

(d)kadar obdelava temelji na točki (f) člena 6(1), zakonite interese, za uveljavljanje katerih si prizadeva upravljavec ali tretja oseba;

(e)uporabnike ali kategorije uporabnikov osebnih podatkov, kadar obstajajo;

(f)kadar je ustrezno, informacije o tem, da namerava upravljavec prenesti osebne podatke uporabniku v tretji državi ali mednarodni organizaciji, ter o obstoju ali neobstoju sklepa Komisije o ustreznosti ali v primeru prenosov iz člena 46 ali 47 ali drugega pododstavka člena 49(1) sklic na ustrezne ali primerne zaščitne ukrepe in sredstva za pridobitev njihove kopije ali kje so na voljo;

(g)tudi nekatere druge informacije, opredeljene v drugem odstavku istega člena, in sicer:

-obdobje hrambe osebnih podatkov ali, kadar to ni mogoče, merila, ki se uporabijo za določitev tega obdobja;

-obstoj pravice, da se od upravljavca zahtevajo dostop do osebnih podatkov in popravek ali izbris osebnih podatkov ali omejite obdelave v zvezi s posameznikom, na katerega se nanašajo osebni podatki, ali obstoj pravice do ugovora obdelavi in pravice do prenosljivosti podatkov;

-obstoj pravice, da se lahko privolitev kadarkoli prekliče, ne da bi to vplivalo na zakonitost obdelave podatkov, ki se je na podlagi privolitve izvajala do njenega preklica;

-pravico do vložitve pritožbe pri nadzornem organu.

IP sklepno ponovno poudarja, da izven konkretnih inšpekcijskih postopkov preverjati zakonitosti in primernosti obdelave osebnih podatkov v konkretnem primeru. Presoja glede zakonitosti obdelave oziroma obstoja pravne podlage za posamezno obdelavo je primarno na vsakem upravljavcu posebej. Upravljavec (v konkretnem primeru torej vaše podjetje) je torej v vsakem posameznem primeru odgovoren za zakonitost ter sorazmernost obdelav osebnih podatkov, ki jih izvaja.

Lepo vas pozdravljamo.

Pripravil

Matej Sironič, Svetovalec pooblaščenca za varstvo osebnih podatkov

Mojca Prelesnik, univ. dipl. prav., Informacijska pooblaščenka