0612-208-2018 odločba po ZIN omejitev GDPR 58-2f

0612-208-2018 odločba po ZIN omejitev GDPR 58-2f
31. 01. 2023 objavil/a Info Hiša
evidenca vpogledov
nepooblaščen dostop
nezakonita obdelava OP

 

Številka: 0612-208/2018/26

Datum:   24. 1. 2023

 

Informacijski pooblaščenec (v nadaljevanju: IP) po pooblaščeni uradni osebi, državni nadzornici za varstvo osebnih podatkov …, na podlagi 2. in 8. člena Zakona o Informacijskem pooblaščencu (Uradni list RS, št. 113/2205, 51/07–ZUstS-A; v nadaljevanju: ZInfP), 54. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07 – uradno prečiščeno besedilo in 177/20, v nadaljevanju: ZVOP-1), člena 57 in 58 Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov, v nadaljevanju: Splošna uredba) ter 29. in 32. člena Zakona o inšpekcijskem nadzoru (Uradni list RS, št. 43/2007 - UPB1 in 40/14, v nadaljevanju: ZIN), v zadevi opravljanja inšpekcijskega nadzora zoper (matična številka: …, v nadaljevanju: zavezanec) po uradni dolžnosti izdaja

 

 

 

ODLOČBO

 

 

1.     Zavezanec, , mora iz …, ki zajema in katero vodi v sistemih …, izbrisati vse tiste osebne podatke in vse tiste dokumente z osebnimi podatki, ki se nanašajo na tiste …, pri katerih je … prenehala pred več kot … leti, razen …, ...

 

2.     Zavezanec mora ukrep iz 1. točke izreka te odločbe izvršiti v roku … dni od prejema te odločbe.

 

3.     Zavezanec mora o izvedenih ukrepih iz 1. točke izreka te odločbe najkasneje v roku … dni po odpravi nepravilnosti pisno obvestiti Informacijskega pooblaščenca. Obvestilo mora vsebovati tudi navedbe in dokaze o tem, da je zavezanec izvršil ukrepe iz 1. točke izreka te odločbe in na kakšen način jih je izvršili.

 

4.     Vloga zavezanca z dne … za podaljšanje roka … iz … v … za obdelavo katerih zavezanec nima več pravne podlage, določenega s Pozivom IP št. … z dne …, se zavrže kot prepozna.

 

5.     Organu v tem postopku posebni stroški niso nastali.

 

 

O b r a z l o ž i t e v

 

 

1.      Procesna dejanja, ugotovitve IP in navedbe zavezanca

 

Inšpekcijski postopek je bil zoper zavezanca uveden po uradni dolžnosti zaradi nadzora nad obdelavo osebnih podatkov v sistemu … in pri evidentiranju ter obdelavi osebnih podatkov … ... Tekom inšpekcijskega postopka je bil zavezanec opozorjen, da mora v postopku pred IP govoriti resnico in na posledice krive izpovedbe.

 

Zavezanec je tekom postopka predmetnega inšpekcijskega nadzora podal pojasnilo, dokumentacijo in izjavo na poziv IP št. … z dne …. Dne … je IP opravil ogled na sedežu zavezanca, o čemer je bil sestavljen Zapisnik št. … z dne ...

 

Na podlagi petega odstavka 29. člena ZIN in 33. člena ZIN, 2. in 8. člena ZInfP ter 54. člena ZVOP-1, je IP zavezancu na Zapisnik št. … z dne … izrekel opozorilo na odpravo nepravilnosti, in sicer sta bila zavezancu izrečena dva ukrepa:

 

1.      v roku … dni od vročitve zapisnika skleniti pogodbe ali druge pravne akte o obdelavi osebnih podatkov v skladu s členom 28 Splošne uredbe, v pogodbah oziroma drugih pravnih aktih morajo biti določeni vsebina in trajanje obdelave, narava in namen obdelave, vrsta osebnih podatkov, kategorije posameznikov, na katere se nanašajo osebni podatki, ter obveznosti in pravice upravljavca, vsebovati pa morajo vse sestavine, ki jih določa odstavek 3 člena 28 Splošne uredbe z naslednjimi obdelovalci: ...;

 

2.     izbrisati osebne podatke iz … … za obdelavo katerih zavezanec nima več pravne podlage ter določen rok … mesecih od dneva vročitve tega zapisnika.

 

Zapisnik št. … z dne … je bil zavezancu vročen dne …, zavezanec nanj ni podal pripomb, dodatnih pojasnil ali ugovorov.

 

Zavezanec je IP obvestil, da je ukrep pod zgoraj navedeno točko 1 izvršil ter predložil dokazila z dopisom št. … z dne … in dopisom št. … z dne .... Zavezancu pa je bil izrečen tudi ukrep izbrisa tistih osebnih podatkov za obdelavo katerih nima več pravne podlage.

 

V nadaljevanju postopka je IP zavezancu na podlagi Poziva št. … z dne … določil nov rok za izpolnitev ukrepa pod zgoraj navedeno točko 2 (izbris osebnih podatkov iz … … za obdelavo katerih zavezanec nima več pravne podlage), in sicer do dne ...  

 

IP je v nadaljevanju postopka, na ponovne prošnje zavezanca za podaljšanje roka za izpolnitev obveznosti pod zgoraj navedeno točko 2, izdal sklep št. … z dne … (zavezancu vročen dne …), s katerim je prošnjo zavezanca z dne … zavrnil kot neutemeljeno in prošnjo zavezanca z dne … zavrgel kot prepozno.

 

Glede vloge zavezanca z dne … za podaljšanje roka za izbris osebnih podatkov iz … … za obdelavo katerih zavezanec nima več pravne podlage, določenega s Pozivom IP št. … z dne …, se zavezancu pojasnjuje, da je bil ta rok določen v zgoraj navedenem pozivu in ne v Seznanitvi zavezanca z ugotovitvami v postopku inšpekcijskega nadzora in pozivu na izjasnitev pred odločitvijo št. … z dne … s katero je bila zaradi načela kontradiktornosti ponovno dana možnost zavezancu za izjasnitev glede na ugotovljeno dejansko stanje v predmetnem postopku inšpekcijskega nadzora. Zavezanec je po prejemu seznanitve namreč podal ponovno vlogo za podaljšanje roka z dne ...

 

Drugi odstavek 3. člena ZIN določa, da se glede vseh postopkovnih vprašanj, ki niso urejena s tem zakonom ali s posebnim zakonom iz prejšnjega odstavka, uporablja zakon, ki ureja splošni upravni postopek. Po določbi tretjega odstavka 99. člena ZUP se rok, ki ga določi uradna oseba, ki vodi postopek in s predpisi določen rok, ki ga je mogoče podaljšati, lahko podaljšata na prošnjo, ki jo vloži prizadeta oseba pred iztekom roka, če so podani upravičeni razlogi za podaljšanje.

 

V skladu z določbami drugega odstavka 100. člena ZUP in drugega odstavka 101. člena ZUP se je rok določen na podlagi Poziva IP št. … z dne …, iztekel v …, dne …. Ker je zavezanec ponovno podal prošnjo za podaljšanje roka po izteku roka, se vloga zavezanca z dne … za podaljšanje roka za izbris osebnih podatkov iz … … za obdelavo katerih zavezanec nima več pravne podlage, določenega s Pozivom IP št. … z dne …, na podlagi tretjega odstavka 99. člena ZUP zavrže, kot to izhaja iz 4. točke izreka te odločbe.

 

Zavezanec je tekom postopka navajal, da potrebuje daljši rok hrambe osebnih podatkov zaradi morebitnih … postopkov v zvezi z … ter pri tem navajal, da bo predlagal spremembo zakonodaje, ki bo določila trajno hrambo podatkov in bi veljala tudi za nazaj.

 

Zavezanec je tekom postopka tudi navedel, da morajo biti podatki iz … dostopni za obdelavo daljši čas oziroma trajno. Pri odločitvi, da naj se podatki iz … hranijo trajno, zavezanec izhaja iz stališča, da so podatki potrebni za znanstvenoraziskovalne in statistične namene, ki predstavljajo enega izmed temeljev za pripravo načrtovanj … in spremljanje stanja (poleg …). Pri uveljavljanju nove zakonodaje je na vseh področjih, predvsem pa na …, potrebno upoštevati tudi principe, ki veljajo za ... Prav tako je pri določanju roka hrambe ključnega pomena pomembnost teh podatkov v številnih drugih postopkih, kot so na primer …. Trajna hramba podatkov je potreba tudi iz razloga zagotavljanja računovodske sledi v zvezi z izplačili …, npr. za redno poročanje zaprtih terjatev …. V skladu s … se morajo osebni podatki, vezani na izplačila …, hraniti vsaj deset (10) let, osebni podatki, vezani na sodne in izven sodne poravnave, pa trajno. Zavezanec opozarja tudi na spremembo …. … zakona določa, da mora … v določenih primerih, po svojih …. ….

 

Zavezanec je mnenja, da gre pri … za podobno naravo podatkov kot pri podatkih v zbirkah podatkov …, glede katerih je v … določeno, da se zbirke podatkov hranijo trajno. Ugotavlja tudi, da v informacijskem sistemu ni mogoče ločiti med osebnimi podatki, ki potrebujejo obdelavo samo za določen čas (npr. pet (5) ali deset (10) let) in med osebnimi podatki, ki potrebujejo trajno obdelavo (npr. …).

 

Zavezanec je v nadaljevanju postopka tudi navedel, da bo z novelo … predlagal spremembo roka hrambe, in sicer … na način, da bi se podatki hranili trajno ter, da bi nov rok hrambe veljal tudi za nazaj.

                                                                                                           

Iz zapisanega izhaja, da bi izbris osebnih podatkov v elektronski obliki in fizično uničenje podatka v papirnati obliki po poteku … po datumu prenehanja …, pomenilo uničenje podatkov, ki jih zavezanec nujno potrebuje za zgoraj navedene namene, zato jih ne more izbrisati, temveč bo predlagal spremembo zakonodaje, ki bo za … ustrezno uredila obdobje potrebne dostopnosti do podatkov v …, kakor tudi da nov rok hrambe velja za nazaj.

 

IP ugotavlja, da je glede predloga zavezanca za trajen rok hrambe teh osebnih podatkov, potrebno upoštevati tudi že izdano Mnenje Zakonodajno-pravne službe Državnega zbora Republike Slovenije št. … glede novele … in mnenje IP št. … z dne … glede predloga novele …, pri tem pa ugotavlja, da predlagana sprememba zakonodaje ni bila sprejeta.

 

Zavezancu se tudi pojasnjuje, da morebitna sprememba zakonodaje, ne glede na vsebino predlaganih določb v … in , glede roka hrambe osebnih podatkov iz zbirk podatkov v sistemih … za katere je tekom predmetnega postopka inšpekcijskega nadzora že bilo ugotovljeno, da za njihovo nadaljnjo obdelavo zavezanec nima več pravne podlage, ne bi mogla imeti učinka za nazaj, torej imeti retroaktivno veljavo - glede na splošno prepoved povratne veljave pravnih aktov, ki je določena že v 155. členu Ustave in taksativno določene pogoje, da lahko samo zakon določi, da imajo posamezne njegove določbe učinek za nazaj, če to zahteva javna korist in če se s tem ne posega v pridobljene pravice, o skladnosti takšnih določb novel zakonov z Ustavo pa bi v primeru sprejetja takšne zakonodaje odločalo Ustavno sodišče Republike Slovenije.

 

 

2.      Določbe predpisov, na katere se opira odločba

 

Osebni podatek pomeni katero koli informacijo v zvezi z določenim ali določljivim posameznikom, določljiv posameznik pa je tisti, ki ga je mogoče neposredno ali posredno določiti, zlasti z navedbo identifikatorja, kot je ime, identifikacijska številka, podatki o lokaciji, spletni identifikator, ali z navedbo enega ali več dejavnikov, ki so značilni za fizično, fiziološko, genetsko, duševno, gospodarsko, kulturno ali družbeno identiteto tega posameznika (člen 4(1) Splošne uredbe).

 

Obdelava osebnih podatkov pa je vsako dejanje ali niz dejanj, ki se izvaja v zvezi z osebnimi podatki ali nizi osebnih podatkov z avtomatiziranimi sredstvi ali brez njih, kot je zbiranje, beleženje, urejanje, strukturiranje, shranjevanje, prilagajanje ali spreminjanje, priklic, vpogled, uporaba, razkritje s posredovanjem, razširjanje ali drugačno omogočanje dostopa, prilagajanje ali kombiniranje, omejevanje, izbris ali uničenje (člen 4(2) Splošne uredbe).

 

Člen 5 Splošne uredbe določa načela v zvezi z obdelavo osebnih podatkov, in sicer morajo biti osebni podatki:

 

(a)

obdelani zakonito, pošteno in na pregleden način v zvezi s posameznikom, na katerega se nanašajo osebni podatki („zakonitost, pravičnost in preglednost“);

 

(b)

zbrani za določene, izrecne in zakonite namene ter se ne smejo nadalje obdelovati na način, ki ni združljiv s temi nameni; nadaljnja obdelava v namene arhiviranja v javnem interesu, v znanstveno- ali zgodovinskoraziskovalne namene ali statistične namene v skladu s členom 89(1) ne velja za nezdružljivo s prvotnimi nameni („omejitev namena“);

 

(c)

ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo („najmanjši obseg podatkov“);

 

(d)

točni in, kadar je to potrebno, posodobljeni; sprejeti je treba vse razumne ukrepe za zagotovitev, da se netočni osebni podatki brez odlašanja izbrišejo ali popravijo ob upoštevanju namenov, za katere se obdelujejo („točnost“);

 

(e)

hranjeni v obliki, ki dopušča identifikacijo posameznikov, na katere se nanašajo osebni podatki, le toliko časa, kolikor je potrebno za namene, za katere se osebni podatki obdelujejo; osebni podatki se lahko shranjujejo za daljše obdobje, če bodo obdelani zgolj za namene arhiviranja v javnem interesu, za znanstveno- ali zgodovinskoraziskovalne namene ali statistične namene v skladu s členom 89(1), pri čemer je treba izvajati ustrezne tehnične in organizacijske ukrepe iz te uredbe, da se zaščitijo pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki („omejitev shranjevanja“);

 

(f)

obdelujejo se na način, ki zagotavlja ustrezno varnost osebnih podatkov, vključno z zaščito pred nedovoljeno ali nezakonito obdelavo ter pred nenamerno izgubo, uničenjem ali poškodbo z ustreznimi tehničnimi ali organizacijskimi ukrepi („celovitost in zaupnost“).

 

Upravljavec je odgovoren za skladnost z odstavkom 1 in mora biti to skladnost tudi zmožen dokazati („odgovornost“).

 

… v … določa, da se … iz …zbirke podatkov iz … tega zakona hranijo … po …. … pa določa, da se ...

 

Zakonsko določeni rok hrambe podatkov in dokumentov iz … zbirke podatkov je ... Teči začne z zaključkom obdobja …, potem pa morajo osebni podatki postati nedostopni za obdelavo. Izjema so …, za katere je v … določeno, da se arhivirajo, torej hranijo trajno.

 

….

 

Točka (f) člena 58(2) Splošne uredbe določa, da nadzorni organ upravljavcu ali obdelovalcu lahko odredi, da uvede začasno ali dokončno omejitev obdelave, vključno s prepovedjo obdelave.

 

 

3.     Obrazložitev inšpekcijskih ukrepov

 

IP poudarja, da je zavezanec, na podlagi člena 5(2) Splošne uredbe v skladu z načelom odgovornosti upravljavca osebnih podatkov za skladnost obdelave osebnih podatkov v zvezi z načeli obdelave osebnih podatkov, odgovoren za zakonito obdelavo osebnih podatkov in omejitev shranjevanja.

 

Osebni podatki, ki so zbrani za določene, izrecne in zakonite namene, se ne smejo nadalje obdelovati na način, ki ni združljiv s temi nameni (točka (b) člena 5(1) Splošne uredbe).

 

Zavezanec kot upravljavec osebnih podatkov, osebne podatke posameznikov za katere se je rok hrambe iztekel in za obdelavo katerih nima več pravne podlage, obdeluje nezakonito. Navedeno zavezanec tekom postopka ni izpodbijal, temveč večkrat navajal, da za izbris oziroma anonimizacijo potrebuje več časa ter da želi, da bi se podatki, kljub izrecni zakonski določbi, ki določa rok hrambe …, hranili trajno.

 

IP izpostavlja, da se ukrep izbrisa, ki je bil izrečen dne …, nanaša na izbris osebnih podatkov iz … … za obdelavo katerih zavezanec nima več pravne podlage ter se ne nanaša na uničenje dokumentov oziroma upravnih spisov v fizični obliki, temveč na podatke in dokumente iz … … …

 

Na podlagi … se podatki in dokumenti iz … zbirke podatkov iz … hranijo … po ...

 

Točka (f) člena 58(2) Splošne uredbe določa, da nadzorni organ upravljavcu ali obdelovalcu lahko odredi, da uvede začasno ali dokončno omejitev obdelave, vključno s prepovedjo obdelave.

 

Glede na obrazloženo je bilo treba zavezancu zaradi ugotovljenih nepravilnosti, na podlagi 2. in 8. člena ZInfP, 3. točke prvega odstavka 54. člena ZVOP-1, prvega odstavka 32. člena ZIN ter točke (f) člena 58(2) Splošne uredbe, odrediti odpravo ugotovljenih nepravilnosti, kot to izhaja iz 1. točke izreka te odločbe.

 

IP je skladno z navedenim zavezancu naložil ukrep izbrisa oziroma anonimizacije tistih osebnih podatkov in vseh tistih dokumentov z osebnimi podatki iz … …, ki zajema in katero zavezanec …, za obdelavo katerih zavezanec nima več pravne podlage ter rok za izvršitev navedenega inšpekcijskega ukrepa, in sicer … dni od prejema te odločbe.

 

Peti odstavek 29. člena ZIN določa, da mora zavezanec v primeru, če je inšpektor odredil odpravo nepravilnosti in pomanjkljivosti ter zavezancu določil rok za njihovo odpravo, o odpravljenih nepravilnostih takoj obvestiti inšpektorja. Skladno z navedenim mora zavezanec o vseh izvedenih ukrepih iz 1. točke izreka te odločbe najkasneje v roku … dni po odpravi nepravilnosti pisno obvestiti IP. Obvestilo mora vsebovati tudi navedbe in dokaze o tem, da je zavezanec izvršil ukrepe iz 1. točke izreka te odločbe in na kakšen način jih je izvršil.

 

Izrek o stroških postopka temelji na določbi prvega odstavka 31. člena ZIN, po kateri stroške inšpekcijskega postopka, ki so bili nujni za ugotovitev dejstev, ki dokazujejo, da je zavezanec kršil zakon ali drugi predpis, trpi zavezanec. Zavezanec tekom postopka stroškov postopka sicer ni priglasil, organu pa posebni stroški postopka niso nastali, kot to izhaja iz 5. točke izreka te odločbe.

 

Ta odločba je izdana po uradni dolžnosti in je na podlagi 22. člena Zakona o upravnih taksah (Uradni list RS, št. 106/10 – uradno prečiščeno besedilo, 14/15 – ZUUJFO, 84/15 – ZZelP-J, 32/16, 30/18 – ZKZaš in 189/20 – ZFRO) takse prosta.

 

POUK O PRAVNEM SREDSTVU:

Ta odločba je v upravnem postopku dokončna. Zoper njo v skladu z določbo 55. člena ZVOP-1 ni dovoljena pritožba, dopustno pa je sprožiti upravni spor. Upravni spor se sproži z vložitvijo tožbe pri Upravnem sodišču, Fajfarjeva 33, 1000 Ljubljana, v roku tridesetih (30) dni od njene vročitve. Tožba se vloži neposredno pisno pri navedenem sodišču ali se mu pošlje po pošti. Šteje se za pravočasno vloženo, če je oddana zadnji dan tožbenega roka priporočeno po pošti. Tožbi je poleg odločbe, ki se izpodbija, v izvirniku, prepisu ali kopiji potrebno priložiti tudi po en prepis ali kopijo tožbe in prilog za toženca, če je kdo prizadet z upravnim aktom pa tudi zanj.

 

 

 

 

 

                                                                      

 

 

 

 

 

Vročiti: 

 

-