Preverjanje pristnosti elektronskih dokumentov sodstva

Datum

09.02.2024

Številka

07120-1/2024/44

Kategorije

Ocene učinkov v zvezi z varstvom podatkov, Sodni postopki, Vgrajeno in privzeto varstvo podatkov

Informacijski pooblaščenec (v nadaljevanju IP) je po elektronski pošti prejel vaš dopis, v katerem pojasnjujete, da se soočate z določenimi izzivi ob prehodu na celovito elektronsko poslovanje v sodstvu. Opisujete, da izzivi nastajajo, ko je treba pisanje, izdelano v elektronski obliki, spremeniti v fizično pisanje tako, da se ga natisne (na sodišču ali pri ponudniku storitev tiskanja in kuvertiranja). S tiskanjem izvorno elektronskih dokumentov namreč ti izgubijo ključne digitalne značilnosti, kot so digitalni podpisi, šifriranje in metapodatki, ki so bistveni za preverjanje njihove pristnosti. Zaradi izvajanja določb Sodnega reda in z željo po skladnem poslovanju tudi z zahtevami Splošne uredbe in ZVOP-2 iščete ustrezno informacijsko rešitev, ki bi omogočala preverjanje pristnosti natisnjenega izvoda elektronskega dokumenta. Vaša vprašanja se nanašajo na vprašanje opredelitve pojma obdelave, pravne podlage ter zagotavljanja dnevnika sledljivosti.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22, ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba), ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A, ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

IP meni, da bi bilo najmanj priporočljivo, če ne obvezno, da v času priprave informacijske rešitve pripravite oceno učinka v zvezi z varstvom podatkov, saj iz vašega opisa izhaja, da bi obdelava osebnih podatkov v zvezi z nameravano informacijsko rešitvijo lahko pomenila veliko tveganje za pravice in svoboščine posameznikov. Pri snovanju upoštevajte načelo vgrajenega in privzetega varstva podatkov ter napotke IP, podane v tem mnenju.

O b r a z l o ž i t e v:

IP uvodoma poudarja, da konkretnega in dokončnega odgovora o zakonitosti obdelave osebnih podatkov v okviru mnenja v nobenem primeru ne more podati, saj lahko IP posamezne primere obdelave podatkov konkretno presoja zgolj v okviru inšpekcijskega ali drugega upravnega postopka.

Ad 1. Vprašanje glede opredelitve pojma obdelave

Sprašujete nas, ali gre razumeti, da preverjanje pristnosti dokumentov predstavlja dejanje obdelave osebnih podatkov tako v primeru, ko se preverjanje omogoča strankam in udeležencem postopka, kot tudi v primeru, če bi preverjanje zahtevale tretje osebe (ki dokument na primer prejmejo od upravičenih oseb, ki ga nato »prosto« distribuirajo).

IP pri tem pojasnjuje, da v opisani situaciji pri preverjanju pristnosti dokumentov po našem razumevanju vsekakor prihaja do obdelave osebnih podatkov, ne glede na to, kdo izvaja dejanje preverjanja pristnosti dokumentov. 2. točka 4. člena Splošne uredbe opredeljuje pojem obdelave osebnih podatkov zelo široko, in sicer kot »vsako dejanje ali niz dejanj, ki se izvaja v zvezi z osebnimi podatki ali nizi osebnih podatkov z avtomatiziranimi sredstvi ali brez njih, kot je zbiranje, beleženje, urejanje, strukturiranje, shranjevanje, prilagajanje ali spreminjanje, priklic, vpogled, uporaba, razkritje s posredovanjem, razširjanje ali drugačno omogočanje dostopa, prilagajanje ali kombiniranje, omejevanje, izbris ali uničenje«.

Vprašanje v opisani situaciji se bolj nanaša na vprašanje upravljavstva, torej opredelitve, kdo oziroma kateri subjekt je v vsakem od korakov v postopku od izdaje prepisa dokumenta do preverjanja pristnosti (oziroma celo do prejetja pristne verzije dokumenta iz spletne aplikacije) identificiran kot upravljavec osebnih podatkov. Upravljavec osebnih podatkov je namreč po določbi 7. točke 4. člena Splošne uredbe vsaka fizična ali pravna oseba, javni organ, agencija ali drugo telo, ki samo ali skupaj z drugimi določa namene in sredstva obdelave.

IP meni, da bi morali še pred končnim izoblikovanjem informacijske rešitve natančno ugotoviti, za katere procese obdelave je upravljavec Vrhovno sodišče. Menimo pa, da v zvezi s preverjanjem pristnosti, kadar bi upravičenec (ali oseba, ki ne bi bila upravičena in bi s tem kršila zaupnost dokumentov in varstva osebnih podatkov) komuniciral s sistemom Vrhovnega sodišča za preverjanje pristnosti, Vrhovno sodišče veljalo za upravljavca v delu, v katerem informacijski sistem takšni osebi posreduje osebne podatke. Oseba, ki preverja pristnost oziroma na takšen način komunicira s sistemom za preverjanje pristnosti, šteje za uporabnika osebnih podatkov. Uporabnik osebnih podatkov pomeni v skladu z 9. točko 4. člena Splošne uredbe »fizično ali pravno osebo, javni organ, agencijo ali drugo telo, ki so mu bili osebni podatki razkriti, ne glede na to, ali je tretja oseba ali ne«.

Vaše vprašanje pa se nadalje nanaša na odgovornost upravljavca za osebne podatke, ki jih obdeluje. Sami menite, da »sodstvo izpolni obveznost zagotavljanja zaupnosti podatkov sodnih dokumentov s pravilno opredelitvijo upravičenih oseb, ki lahko razpolagajo z dokumentom, in pravilno vročitvijo tega dokumenta (fizično ali v varni elektronski predal).« IP žal ne more komentirati, ali bi takšno razumevanje dejansko vodilo v zagotavljanje zakonitosti obdelave osebnih podatkov z vaše strani. Odgovornost upravljavca je opredeljena v 24. členu Splošne uredbe, predvsem v prvem odstavku, ki določa naslednje: »Ob upoštevanju narave, obsega, okoliščin in namenov obdelave, pa tudi tveganj za pravice in svoboščine posameznikov, ki se razlikujejo po verjetnosti in resnosti, upravljavec izvede ustrezne tehnične in organizacijske ukrepe, da zagotovi in je zmožen dokazati, da obdelava poteka v skladu s to uredbo. Ti ukrepi se pregledajo in dopolnijo, kjer je to potrebno.« Ali je ukrep opredelitve upravičenih oseb, medtem ko sistem omogoča pridobivanje osebnih podatkov tudi neupravičenim osebam, zadosten ukrep, mora v prvi vrsti ugotoviti upravljavec sam. Menimo pa, da ste pri opisanem sistemu izpostavljeni velikim tveganjem, tudi takšnim, ki narekujejo visoko stopnjo odgovornosti in posledično potrebi po izvedbi »ustreznih tehničnih in organizacijskih ukrepov« za zagotavljanje skladnosti s Splošno uredbo. V zvezi s tem menimo, da bi bila priporočljiva (če ne celo obvezna) izvedba ocene učinka v zvezi z varstvom podatkov (35. člen Splošne uredbe), pri razvoju informacijskih rešitev pa nujno upoštevanje obveznosti vgrajenega in privzetega varstva podatkov (25. člen Splošne uredbe).

IP torej meni, da je treba vprašanje odgovornosti za obdelavo osebnih podatkov v okviru sistema za preverjanje pristnosti obravnavati ločeno od vprašanja zagotavljanja zaupnosti samih dokumentov sodišča s strani tako strank in udeležencev postopka kot oseb, ki bi jim te osebe izročile dokument. V prvi vrsti bo za obdelavo osebnih podatkov, ki je pod vašim nadzorom, odgovorno Vrhovno sodišče kot upravljavec osebnih podatkov v informacijskem sistemu. Šele kasneje nastopi obveznost uporabnikov, da z dokumenti in v njem vsebovanimi osebnimi podatki, ravnajo skrbno in odgovorno. Sami pa morate sprejeti vse ukrepe v smislu prvega odstavka 24. člena Splošne uredbe, da je obdelava osebnih podatkov (pod vašim nadzorom) zakonita.

Glede vašega vprašanja o beleženju vpogleda in identifikaciji uporabnika, ki opravlja preverbo natisnjenega elektronskega dokumenta in z njim (iz kakršnihkoli razlogov) že razpolaga, vas napotujemo na odgovor pod točko 3 tega mnenja.

Ad 2. Vprašanje pravne podlage (6. člen Splošne uredbe v zvezi s 6. členom ZVOP-2)

IP kot nadzorni organ v mnenju ne more svetovati, ali sklicevanje na določeno pravno podlago zagotavlja zakonito obdelavo osebnih podatkov. Povezava med točko (e) prvega odstavka 6. člena Splošne uredbe in 6. členom ZVOP-2 ustvarja v praksi določene resne težave, na katere je IP opozoril v mnenju na Predlog Zakona o varstvu osebnih podatkov (ZVOP-2) – EPA: 189-IX (EVA: 2018-2030-0045), ki je dostopen prek povezave: https://www.ip-rs.si/fileadmin/user_upload/Pdf/pripombe/2022/DZ_ZVOP2_avg2022_kon%C4%8Dno.pdf – mnenje k 6. členu takratnega predloga ZVOP-2.

Toliko manj se lahko IP opredeli do konkretnih vprašanj upravljavcev osebnih podatkov, ali je sklicevanje na točko (e) prvega odstavka 6. člena Splošne uredbe v povezavi s področnimi predpisi, ki urejajo delovanje takšnega upravljavca, ustrezno ali ne. Svetujemo vam lahko le, da ob morebitni odločitvi o sklicevanju na to pravno podlago celoten proces s premisleki in sklici na področno zakonodajo tudi pisno dokumentirate.

Nadalje pa opozarjamo, da morate vprašanje zakonitosti obdelave osebnih podatkov preveriti tudi skozi vprašanje obdelave posebnih vrst osebnih podatkov in morebitne uporabe določb 9. člena Splošne uredbe.

Ad 3. Vprašanje vodenja dnevnika obdelav (22. člen ZVOP-2)

IP se izven uradnih inšpekcijskih postopkov ne more opredeljevati glede dolžnosti zavezancev v konkretnih situacijah; glede na opisano gre za obsežne obdelave osebnih podatkov, med katerimi se pogosto nahajajo lahko tudi posebne vrste osebnih podatkov, zato je zagotavljanje dnevnikov obdelave vsekakor najmanj priporočljivo, če ne obvezno.

Namen vodenja dnevnikov obdelave je zagotavljanje ukrepov za zagotovitev varnosti osebnih podatkov, tako z ex ante preventivnega vidika (obveščenost posameznikov, da se bodo njihova ravnanja z osebnimi podatki zabeležila) kot z ex post vidika naknadne zmožnosti ugotavljanja zakonitosti in namenskosti obdelave osebnih podatkov. Pri tem je treba upoštevati, da gre tudi pri vodenju dnevnikov obdelave za obdelavo osebnih podatkov, zato je treba pri postavljanju dnevnikov obdelave upoštevati temeljna načela varstva osebnih podatkov, vključno z načelom minimizacije obdelave oziroma sorazmernosti. Z vidika namena vodenja dnevnikov obdelave lahko ugotovimo, da je eden od ključnih namenov ugotavljanje, kdo je izvedel določeno obdelavo osebnih podatkov in kdaj, da bi se lahko naknadno preverilo, ali je bila ta obdelava zakonita in namenska.

Zato glede vašega vprašanja, katera identifikacija uporabnika bi zadoščala, menimo, da je lahko ustrezen takšen način identifikacije, ki še omogoča, da se da naknadno enolično identificirati uporabnika. Kot ste namreč sami pojasnili v vašem dopisu, želite preverjanje pristnosti dokumenta omogočiti ne le strankam in drugim udeležencem postopka (npr. pričam, izvedencem), temveč vsakomur, ki razpolaga s fizičnim prepisom pisanja, ki je izvorno elektronski, ne pa neomejenemu krogu oseb. Osebe se morajo torej za dostop enolično identificirati in menimo, da bi to lahko bil katerikoli od načinov prijave, ki ga omogoča SI-PASS, torej način, kjer se oseba na more predstavljati za nekoga drugega.

Dodatno

Nenazadnje bi vas želeli opozoriti tudi na zelo pomembni določbi 13. in 14. člena Splošne uredbe o informiranju posameznikov o obdelavi osebnih podatkov. Navedeni določbi bi prišli seveda v poštev šele, če bi ugotovili, da je nameravana obdelava osebnih podatkov zakonita, vendar ju vsekakor ne gre spregledati niti v fazi snovanja sistema, saj tudi izpolnjevanje navedenih določb o transparentnosti obdelave terja določene premisleke v celotnem procesu snovanja.

V upanju, da ste dobili odgovor na svoje vprašanje, vas lepo pozdravljamo.

Mojca Prelesnik, univ.dipl.prav.,

informacijska pooblaščenka

Pripravil:

mag. Andrej Tomšič, namestnik informacijske pooblaščenke

mag. Polona Merc, univ. dipl. prav.,

svetovalka IP za varstvo osebnih podatkov