IP: oblačna storitev za ERP
Informacijski pooblaščenec je v mnenju pojasnil, da določila ZVOP-2 glede posebnih obdelav osebnih podatkov ne veljajo za vse oblačne storitve, ki jih najame javno podjetje.
Mnenje je bilo objavljeno 17.9.2025.
Informacijski pooblaščenec je prejel vprašanje glede najemna oblačne storitve za ERP sistem, kjer se obdelujejo osebni podatki zaposlenih, uporabnikih javnih storitev ter finančni podatki. Konkretno je upravljavca zanimalo, ali v tem primeru zanj veljajo določila 23. člena ZVOP-2, ki ureja posebne obdelave.
Nadzorni organ je poudaril, da mora upravljavec pred uporabo tovrstne rešitve preveriti predvsem, kakšen nabor osebnih podatkov se bo obdeloval v njej in ali gre za okoliščine, ki sodijo pod omejitve, kot jih določa 23. člen ZVOP-2. Torej preveriti je potrebno, ali gre za zbirke osebnih podatkov, kot so opredeljeni v prvem odstavku 23. člena ZVOP. Ta člen dodatno s specifičnimi zahtevami ureja varnost osebnih podatkov na področju posebnih obdelav. Pri teh gre za obdelovanje velike količine posebej občutljivih, zaupnih ali drugače varovanih podatkov, vključno s posebnimi vrstami osebnih podatkov. Za te informacijske sisteme se ZVOP-2 navezuje na Zakon o informacijski varnosti (ZInfv-1) ter za določene sisteme postavlja omejitve v povezavi z lokacijo hrambe podatkov.
V pomoč pri razumevanju prvega odstavka 23. člena je IP poudaril obrazložitev Vlade RS ob sprejemanju ZVOP-2, kjer je bilo navedeno, da: »Za določene zbirke, ki so zaradi svoje velikosti, podatkov, ki se v njej obdelujejo ali drugih lastnosti, posebej občutljive, se določa poseben sistem varovanja. Lastnosti, zaradi katerih zbirka velja za posebej občutljivo, so navedene v prvem odstavku predlaganega 23. člena. Prva točka določa, da so občutljive zbirke tiste, ki so določene v zakonu s področja centralnega registra prebivalstva, prijave prebivališča, finančne uprave, državljanstva, Slovenske obveščevalno-varnostne agencije, obrambe, zbirke podatkov s področja zdravstvenega varstva, področja obveznega zdravstvenega zavarovanja, uveljavljanju pravic iz javnih sredstev ter kazenskih in prekrškovnih evidenc. Prav tako so občutljive obdelave osebnih podatkov v zbirkah, ki vsebujejo osebne podatke več kot 100.000 posameznikov, posebne osebne podatke več kot 10.000 posameznikov ali več kot 200.000 posameznikov, kadar se obdelujejo podatki v javnem sektorju. Namen predloga je določiti posebno varovanje zbirk osebnih podatkov, ki vsebujejo podatke o velikem številu posameznikov. Prav velikost zbirk je lastnost, ki jih naredi posebej problematične v primeru (neželenega) razkritja. Upravljavci, ki bi želeli vzpostaviti ali voditi tako obsežne zbirke, bodo morali izvesti nekaj dodatnih ukrepov za zagotovitev varnosti podatkov. Za navedene zbirke je treba izvajati ukrepe, da se onemogoča razkritje nepooblaščenim osebam in stalno preprečuje škodo varnosti, interesom Republike Slovenije ali človekovim pravicam in svoboščinam posameznikov, na katere se podatki nanašajo. To velja tudi za zbirke v zasebnem sektorju (drugi odstavek). Kadar so podatki takšni, da bi njihovo razkritje lahko pomenilo škodo varnosti, interesom Republike Slovenije (definicija s področja tajnih podatkov) jih je treba še dodatno varovati.«
Omejitve iz tretjega in četrtega odstavka 23. člena ZVOP-2 tako primarno naslavljajo skrb, da bi se pomembne (in pretežno, ne pa nujno) velike in posebej občutljive državne zbirke (kot npr. centralni kreditni register pri Banki Slovenije (SISBON), Centralna kadrovska evidenca Ministrstva za javno upravo, informacijski sistem MFERAC Ministrstva za finančno upravo, Centralni register podatkov o pacientih in npr. registri oz. evidence na področju upravnih notranjih zadev: osebnih izkaznic, potnih listov, vozniških dovoljenj, registracije motornih in priklopnih vozil ipd.) hranili brez znane fizične lokacije hrambe ali izven Republike Slovenije, kar je lahko izziv pri uporabi oblačnih rešitev. Opozoril je tudi na razliko med tretjim in četrtim odstavkom 23. člen ZVOP-2 – pri podatkih po tretjem odstavku mora biti fizična lokacija hrambe teh podatkov znana v vseh fazah hrambe in obdelave, medtem ko pri podatkih po četrtem odstavku zbirk osebnih podatkov iz 1. točke prvega odstavka tega člena ni dovoljeno hraniti izven ozemlja Republike Slovenije.
V zaključku mnenje IP priporoča, da upravljavec:
natančno preveri nabor osebnih podatkov, ki se bodo obdelovali,
v primeru podatkov po tretjem odstavku od ponudnika zahtevate natančne informacije o fizičnih lokacijah hrambe v vseh fazah hrambe in obdelave ter
v primeru, da bi šlo za zbirke podatkov po 1. točke prvega odstavka 23. člena upošteva omejitev glede prepovedi hrambe izven ozemlja Republike Slovenije.
Dostop do mnenja.
Vir: IP
