Izvajalci dolgotrajne oskrbe

Datum

24.01.2024

Številka

07121-1/2024/77

Kategorije

Varnost osebnih podatkov

Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaše zaprosilo za mnenje glede uvrstitve določenega upravljavca med zavezance po 23. členu ZVOP-2.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba o varstvu podatkov), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, 177/20, v nadaljevanju: ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju: ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.

Upravljavec mora sam opraviti presojo, ali glede na obdelave osebnih podatkov, ki jih izvaja, zanj veljajo obveznosti iz 23. člena ZVOP-2.

IP meni, da bi izvajalci socialno varstvenih storitev oziroma dolgotrajne oskrbe, ki opravljajo svoje storitve v okviru javne mreže, lahko bili zavezanci po 1. točki prvega odstavka 23. člena ZVOP-2, saj se v njihovih informacijskih sistemih izvajajo obdelave osebnih podatkov, ki so določene v zakonih, ki urejajo uveljavljanje pravic iz javnih sredstev. Vendar pa je treba v vsakem konkretnem primeru presoditi, ali gre dejansko za obdelave, ki sodijo pod 23. člen ZVOP-1.

Obrazložitev

IP uvodoma poudarja, da lahko podaja neobvezujoča mnenja in pojasnila, ne sme pa izven konkretnih nadzornih ali drugih upravnih postopkov presojati konkretnih dejan obdelave osebnih podatkov oziroma v vašem primeru v okviru neobvezujočega mnenja ne more podati dokončnega odgovora na vaše konkretno vprašanje.

IP tako splošno pojasnjuje, da je zakonodajalec v 23. členu ZVOP-2 opredelil nekatere zbirke osebnih podatkov, ki zaradi narave podatkov, ki jih vsebujejo, velikosti zbirke ali drugih lastnosti zbirke ali vsebovanih podatkov predstavljajo posebej veliko tveganje za pravice in svoboščine posameznikov, zato jih je podredil posebnim varnostnim zahtevam. Kriteriji za določitev posebej tveganih zbirk so opredeljeni v prvem odstavku 23. člena. IP ob tem dodaja, da se posebne varnostne zahteve, opredeljene v tretjem in četrtem odstavku navedenega člena, ne uporabljajo za vse zbirke iz prvega odstavka. Tretji odstavek je namreč omejen glede na naravo osebnih podatkov (biometrični, zdravstveni podatki, podatki iz kazenskih evidenc), četrti odstavek pa se uporablja le za določene zbirke osebnih podatkov, ki jih opredeljujejo zakoni na določenih področjih.

IP posebej poudarja, da se zahteve prvega odstavka 23. člena ZVOP-2 (pretežno) ne nanašajo neposredno na upravljavce oziroma obdelovalce osebnih podatkov, kot je sicer primer pri večini ostalih določbah ZVOP-2, ki veljajo bodisi za ene bodisi za druge ali za oboje, temveč veljajo zahteve prvega odstavka 23. člena ZVOP-2 za informacijske sisteme, navedene v točkah 1. do 4. prvega odstavka 23. člena ZVOP-2.

Za izvajalce socialno varstvenih storitev oziroma dolgotrajne oskrbe (javni zavodi, druge pravne osebe in samostojni podjetniki posamezniki, ki pridobijo koncesijo na podlagi javnega razpisa), ki opravljajo svoje storitve v okviru javne mreže, je tako treba njihovo zavezanost po 23. členu preveriti predvsem z vidika njihovih lastnih informacijskih sistemov, s katerimi sami upravljajo. Glede na navedeno je pri kateremkoli od izvajalcev treba preveriti, ali gre pri njih za obstoj okoliščin oziroma kriterijev, ki so navedeni v točkah 1 do 4 prvega odstavka 23. člena ZVOP-2.

IP meni, da bi izvajalci socialno varstvenih storitev oziroma dolgotrajne oskrbe (javni zavodi, druge pravne osebe in samostojni podjetniki posamezniki, ki pridobijo koncesijo na podlagi javnega razpisa), ki opravljajo svoje storitve v okviru javne mreže, lahko bili zavezanci po 1. točki prvega odstavka 23. člena ZVOP-2, saj se v njihovih informacijskih sistemih izvajajo obdelave osebnih podatkov, ki so določene v zakonih, ki urejajo uveljavljanje pravic iz javnih sredstev. Vendar pa je treba v vsakem konkretnem primeru presoditi, ali gre dejansko za obdelave, ki sodijo pod 23. člen ZVOP-1. Prav tako brez poznavanja konkretnih okoliščin obdelav osebnih podatkov pri posameznem upravljavcu oziroma obdelovalcu, t.j. podlage za obdelavo podatkov in števila zadevnih posameznikov, ni mogoče ugotoviti, ali je le-ta zavezanec po 2., 3. ali 4. točki prvega odstavka 23. člena ZVOP-2.

Zakon o dolgotrajni oskrbi (Uradni list RS, št. 84/23; v nadaljevanju: ZDOsk-1) v prvem odstavku 126. člena sicer določa, da do vzpostavitve enotnega informacijskega sistema za namen odločanja v skladu z 38., 132. in 133. členom tega zakona upravljavci zbirk podatkov iz tretjega odstavka tega člena IRSSV posredujejo podatke iz drugega odstavka tega člena o upravičencih do primerljivih storitev oziroma prejemkov iz tretjega odstavka 11. člena tega zakona, in sicer stanje na dan 31. oktober 2023. Datum iz prejšnjega stavka je prvi dan, od katerega se zagotavljajo podatki iz začasne zbirke podatkov. V drugem odstavku 126. člena ZDOsk-1 je določeno, da zbirka podatkov, ki jo vzpostavi IRSSV, zajema naslednje podatke o upravičencih do primerljivih storitev oziroma prejemkov: EMŠO; osebno ime; naslov začasnega in stalnega prebivališča, naziv izvajalca storitev; primerljiva storitev, ki jo oseba prejema; dodatek za pomoč in postrežbo, ki ga oseba prejema.

Lepo vas pozdravljamo.

Pripravil

Matej Sironič, Svetovalec pooblaščenca za varstvo osebnih podatkov

Mojca Prelesnik, univ. dipl. prav., Informacijska pooblaščenka