Dostop do dokumentov na portalu SPOT

Datum

17.04.2025

Številka

07120-1/2025/177

Kategorije

Ocene učinkov v zvezi z varstvom podatkov, Posebne vrste OP, Privolitev, Varnost osebnih podatkov

Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaše zaprosilo za mnenje glede dostopa samostojnih zavezancev do dokumentov na portalu SPOT.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22; v nadaljevanju: ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, 51/07 – ZUstS-A; ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

Dolžnost upravljavca je, da oceni tveganja, ki so relevantna glede na določen kontekst obdelave osebnih podatkov, na podlagi ocene tveganja pa mora sprejeti odločitev, ali oziroma kateri varnostni postopki in ukrepi so potrebni in primerni v posameznem primeru/kontekstu.

IP svetuje, da presodite, ali je v obravnavani situaciji smiselna ali celo obvezna izdelava ocene učinka v zvezi z varstvom podatkov.

Obrazložitev

IP uvodoma poudarja, da lahko podaja neobvezujoča mnenja in pojasnila, ne sme pa izven konkretnih nadzornih ali drugih upravnih postopkov preverjati primernosti izbrane pravne podlage ali namenov oziroma obsega obdelave osebnih podatkov v konkretnem primeru. IP tako ne nudi storitve pregleda ali vnaprejšnje odobritve različnih obrazcev, storitev, aplikacij, ocen ali drugih rešitev, ki jih uvajajo posamezni upravljavci, z vidika njihove skladnosti z veljavnimi predpisi.

IP nadalje pojasnjuje, da mora vsaka obdelava osebnih podatkov potekati transparentno in skladno z določbami Splošne uredbe. Ta v prvem odstavku 6. člena določa, da je obdelava osebnih podatkov zakonita le in kolikor je za konkretni namen obdelave izpolnjen eden od naslednjih pogojev:

a)posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov;

b)obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe;

c)obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca;

d)obdelava je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe;

e)obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu;

f)obdelava je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok.

Ob tem je treba upoštevati, da se zadnja točka (f) ne more uporabljati za obdelavo s strani javnih organov pri opravljanju njihovih nalog.

IP pojasnjuje, da so za  obdelavo t.i. posebnih vrst osebnih podatkov, ki so bolj občutljive narave, v 9. členu Splošne uredbe predpisani posebni pogoji varstva. Za vsako obdelavo osebnih podatkov (tudi za vročanje oziroma posredovanje) je tako treba zagotoviti ustrezno pravno podlago. To je naloga upravljavca, ki tudi nosi odgovornost za opravljeno presojo. Ob tem IP dodaja, da v kolikor pravna podlaga že obstaja in želi posamezni upravljavec zgolj spremeniti tehnično rešitev, v okviru katere se izvaja obdelava, načeloma ne potrebuje za to posebne oziroma nove pravne podlage, mora pa zagotoviti ustreznost in varnost rešitve, o čemer IP več pojasnjuje v nadaljevanju tega mnenja. Ob tem IP ponovno poudarja, da v okviru neobvezujočega mnenja ne more dokončno presojati, ali upravljavec razpolaga z ustrezno pravno podlago za obdelavo osebnih podatkov.

Ob tem IP svetuje tudi, da v zvezi z obdelavami osebnih podatkov, ki ste jih opisali v vašem zaprosilu za mnenje, natančno preučite dejansko stanje in naravo vašega medsebojnega odnosa z vidika varstva osebnih podatkov (ločeno upravljavstvo, skupno upravljavstvo, pogodbena obdelava) z vsemi vključenimi deležniki pri omenjenih obdelavah, še zlasti s ponudnikom rešitve.

V zvezi s posredovanjem zdravstvene dokumentacije posameznikom IP najprej splošno pojasnjuje, da je pri tem treba v celoti upoštevati obveznosti, kot jih določa Splošna uredba. Pod pogojem zagotovitve ustrezne pravne podlage za obdelavo osebnih podatkov mora upravljavec namreč poskrbeti za sprejem ustreznih tehničnih in organizacijskih ukrepov, da zagotovi ustrezno raven varnosti obdelave osebnih podatkov glede na tveganje njihovega razkritja nepooblaščenim osebam (glej 32. člen Splošne uredbe) ter ob tem tudi zagotoviti skladnost z vsemi načeli in pravili varstva osebnih podatkov (zlasti z načelom najmanjšega obsega osebnih podatkov, načelom omejitve namena, informirati posameznike v skladu s 13. oziroma 14. členom Splošne uredbe itd.). Pri določanju ustrezne ravni varnosti se upoštevajo zlasti tveganja, ki jih pomeni obdelava, zlasti zaradi nenamernega ali nezakonitega uničenja, izgube, spremembe, nepooblaščenega razkritja ali dostopa do osebnih podatkov, ki so poslani, shranjeni ali kako drugače obdelani.

Iz navedenega izhaja, da je dolžnost upravljavca, da oceni tveganja, ki so relevantna glede na določen kontekst obdelave osebnih podatkov, na podlagi ocene tveganja pa mora sprejeti odločitev, ali oziroma kateri varnostni postopki in ukrepi so potrebni in primerni v posameznem primeru/kontekstu. Rezultatov ocene tveganja ni mogoče vnaprej predvideti ali celo določiti, saj so odvisni od konkretnih okoliščin, ki med drugim vključujejo obseg (količino) osebnih podatkov in število zadevnih posameznikov, občutljivost podatkov, možne posledice (in njihovo resnost) za posameznike v primeru nezakonitega razkritja ali drugih kršitev kakor tudi posledice potencialnih kršitev za upravljavca, način posredovanja podatkov, obstoj drugih varnostnih postopkov in ukrepov, ki lahko zmanjšajo tveganja, ter drugih relevantnih okoliščin. V vsakem primeru pa se pri obdelavi posebnih vrst osebnih podatkov, kamor spadajo tudi osebni podatki v zvezi z zdravjem, zahteva višja raven varnosti.

Glede na navedbe v vašem zaprosilu za mnenje in (množično) obdelavo posebnih vrst osebnih podatkov vam IP svetuje, da presodite, ali je v obravnavani situaciji smiselna ali celo obvezna izdelava ocene učinka v zvezi z varstvom podatkov. IP je na temo ocene učinkov izdelal Smernice o ocenah učinkov na varstvo podatkov, ki so dostopne na spletni strani:

https://www.ip-rs.si/prirocniki_smernice/Smernice_o_ocenah_ucinka.pdf

Gre za vnaprejšnjo presojo, ali oziroma pod kakšnimi pogoji bi bila uporaba predlagane rešitve zakonita, sorazmerna, transparentna, varna itd. IP nadalje pojasnjuje, da je v skladu s prvim odstavkom 35. člena Splošne uredbe temeljni kriterij za vprašanje, kdaj je ocena učinkov obvezna, zlasti ocena, ali bo obdelava povzročila veliko tveganje za pravice in svoboščine posameznikov. Dodatni kriteriji so opredeljeni v tretjem odstavku istega člena. Ob tem je treba preveriti tudi, ali gre morda za obliko obdelave iz Seznama dejanj obdelav osebnih podatkov, za katere velja zahteva po izvedbi ocene učinka v zvezi z varstvom osebnih podatkov po 4. odstavku 35. člena Splošne uredbe in ko je torej predhodna izvedba ocene učinka v zvezi z varstvom osebnih podatkov obvezna. IP je pripravil tak seznam in ga objavil na spletni strani:

https://www.ip-rs.si/fileadmin/user_upload/Pdf/Ocene_ucinkov/Seznam_dejanj_obdelav_osebnih_podatkov__za_katere_velja_zahteva_po_izvedbi_ocene_ucinka_v_zvezi_z_varstvom_osebnih_podatkov.pdf

Glede na navedbe v vašem zaprosilu za mnenje je po mnenju IP možno, da je v konkretnem primeru izdelava ocene učinka obvezna, saj je možno, da predvidena obdelava izpolnjuje (vsaj) kriterije iz točk 4 (obdelava posebnih vrst osebnih podatkov), 5 (množičnost obdelave) in 7 (nesorazmerje moči). IP ob tem priporoča, da se v okviru ocene učinka še posebej skrbno obdelajo pravna podlaga in namen(i) obdelave ter obravnavajo tveganja in ukrepi za njihovo zamejitev. Posebno pozornost je treba nameniti tudi spoštovanju načela najmanjšega obsega podatkov ter sorazmernosti, torej ali res ni mogoče namenov, ki naj bi se jih zasledovalo, doseči z milejšimi ukrepi, ki bi manj posegali v zasebnost posameznika. Kvalitetno izdelana ocena učinka bo podala odgovore na številna vprašanja v zvezi s predlagano rešitvijo in omogočila odločitev o (ne)dopustnosti njene uvedbe oziroma morebitnih potrebnih prilagoditvah pred njegovo uvedbo.

IP sklepno ponavlja, da v okviru neobvezujočega mnenja ne more presojati ustreznosti posameznih obrazcev, drugih rešitev oziroma ravnanja posameznih zavezancev, ampak to lahko presoja le v okviru konkretnega nadzornega oziroma drugega upravnega postopka, ko so znane vse konkretne okoliščine posameznega primera. Presoja glede zakonitosti obdelave oziroma obstoja pravne podlage za posamezno obdelavo je primarno vedno na upravljavcu osebnih podatkov. Upravljavec je tako  primarno odgovoren tako za zagotavljanje zakonitosti obdelave osebnih podatkov kot tudi za zagotavljanje varnosti osebnih podatkov, ki jih obdeluje.

Lepo vas pozdravljamo.

Pripravil:

Matej Sironič,

Svetovalec pooblaščenca I

dr. Jelena Virant Burnik,

Informacijska pooblaščenka