Objavljanje osebnih podatkov na eUpravi – sklep o ustavitvi po ZIN

.

Številka: 0610-32/2021/7

Datum:  10. 5. 2021

.

.

Informacijski pooblaščenec (v nadaljevanju: IP) izdaja po državni nadzornici za varstvo osebnih podatkov na podlagi četrtega odstavka 135. člena Zakona o splošnem upravnem postopku (Uradni list RS, št. 24/06-UPB2, s spremembami in dopolnitvami; v nadaljevanju ZUP), v zvezi s 50. členom Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju ZVOP-1) ter 2. in 8. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A, v nadaljevanju ZInfP), ter členov 57 in 58 Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov, v nadaljevanju Splošna uredba) v zadevi opravljanja inšpekcijskega nadzora nad izvajanjem določb ZVOP-1 in Splošne uredbe zoper zavezanca zavezancem (v nadaljevanju: zavezanec), po uradni dolžnosti naslednji

.

SKLEP

.

1.Postopek inšpekcijskega nadzora nad izvajanjem določb ZVOP-1 in Splošne uredbe, ki ga IP vodi zoper zavezanca pod št. 0610-32/2021, se ustavi.

.

2.V tem postopku posebni stroški niso nastali.

.

Obrazložitev

.

IP je postopek inšpekcijskega nadzora zoper zavezanca začel zaradi suma neustreznega izvajanja postopkov in ukrepov za zagotavljanje varnosti osebnih podatkov pri objavljanju dokumentov na oglasni deski portala eUprava, ki jih mora zavezanec izvajati skladno z določbami 24. in 25. člena ZVOP-1 ter člena 32 Splošne uredbe. Sum kršitve izhaja iz informacij v novici … na portalu Slo-Tech … ter rezultatov pregleda objav na oglasni deski eUprava s strani IP dne 2. 2. 2021 (dok. št. 0610-32/2021/1).

.

Iz pregleda spletne strani, ki jo je opravil IP, izhaja, da je bilo dne 2.2. 2021 na oglasni deski eUprava petinpetdeset (55) objav zavezanca in da zavezanec, pri zadevah, …, v naslovu objave javno objavlja ime in priimek ter rojstne podatke posameznikov (kadar z njimi razpolaga), torej zavezanec na oglasni deski portala eUprava v okviru postopka vročanja z javnim naznanilom, ki ga določa 96. člen Zakona o splošnem upravnem postopku (Uradni list RS, št. 24/06-UPB2, s spremembami in dopolnitvami; ZUP), objavlja več osebnih podatkov, kot jih dovoljuje 96. člen ZUP.

.

Državna nadzornica, ki ji je bila dana v reševanje predmetna zadeva (v nadaljevanju: nadzornica), je v podrobnejšem pregledu prvih dvajset (20) objav in vsebine pripetih datotek dne 2. 2. 2021 ugotovila, da je bilo od dvajset (20) pripetih datotek sedemnajst (17) Sporočil o vročanju z javnim naznanilom, ki so vsebovala samo podatke v skladu s 96. členom ZUP, dva (2) Sklepa o ustavitvi postopka za … (vsebuje datum rojstva) in en (1) Sklep o zavrnitvi zahteve za dostop do informacij javnega značaja (vsebuje naslov elektronske pošte vlagatelja zahteve). Objavljeni dokumenti so tudi različnih formatov.

.

Zaradi potrebe po razjasnitvi zadeve in ugotovitvi dejanskega stanja je na podlagi drugega odstavka 29. člena ZIN ter pooblastili iz 19. člena ZIN, 2. in 8. člena ZInfP, 50., 51. in 53. člena ZVOP-1 ter člena 57 in 58 Splošne uredbe je IP dne 4. 2. 2021 zavezanca pozval, da najkasneje v osmih (8) dneh od vročitve poziva posredujete pisno pojasnilo, dokumentacijo in izjavo, ki pojasnjuje:

 kateri dokumenti zavezanca opredeljujejo ustreznosti postopkov in ukrepov, s katerimi zavezanec zagotavlja ustrezno raven varnosti osebnih podatkov;
 kakšna navodila so dobili zaposleni pri zavezancu, ki imajo dovoljenje za objavo dokumentov na oglasni deski eUprava, in kdo jih je pripravil;
 na kateri pravni podlagi objavlja zavezanec datum rojstva posameznika, kateremu vročitev dokumenta ni uspela, v seznamu objavljenih dokumentov na oglasni deski eUprava;
 na kateri pravni podlagi zavezanec na oglasni deski eUprava objavlja sklepe o … v polnem besedilu;
 ali je zavezanec zaznal informacije o domnevnih kršitvah varstva osebnih podatkov v medijih in poziv IP z dne 17. 12. 2020 in posledično izvedel pregled svojih objav na oglasni deski eUprava;
 če je bil pregled objav opravljen, kdo ga je izvedel, kdaj in kakšne so bile ugotovitve pregleda;
 če so bile v okviru notranjega pregleda ugotovljene nepravilnosti oziroma kršitve varstva osebnih podatkov, kakšne ukrepe je zavezanec izvedel za vzpostavitev zakonitega stanja, zmanjšanje posledic ugotovljenih nepravilnosti in za zmanjšanje možnosti tovrstnih kršitev v bodoče;
 če zavezanec je zaznal kršitve varstva osebnih podatkov pri objavah na oglasni deski eUprava, na podlagi katerih dejstev je ocenil, da ni verjetno, da bi bile s kršitvijo varstva osebnih podatkov ogrožene pravice in svoboščine posameznikov in zato o kršitvi ni obvestil IP;
 če zavezanec kršitve varstva osebnih podatkov pri objavah na oglasni deski eUprava do poziva IP še ni zaznal, katere ukrepe namerava izvesti za vzpostavitev zakonitega stanja in za zmanjšanje možnosti tovrstnih kršitev v bodoče in do kdaj;
 morebitna dodatna pojasnila in dokumentacijo, ki bi pripomogli k razjasnitvi dejanskega stanja.

.

Zavezanec je dne 12. 2. 2021 IP posredoval prošnjo za podaljšanje roka za odgovor na poziv IP z utemeljitvijo, da gre za obsežna vprašanja, pri čemer je potrebno zbrati odgovore več notranjih organizacijskih enot oziroma tudi organa v sestavi. Nadzornica je prošnji zavezanca ugodila.

.

IP je odgovor zavezanca na poziv prejel dne 19. 2. 2021. V odgovoru zavezanec pojasnjuje, da postopke in ukrepe, s katerimi zagotavlja ustrezno raven varnosti osebnih podatkov, določa Pravilnik o varovanju osebnih podatkov v … z dne 11. 2. 2009, ki ga je tudi priložil. Glede na dejstvo, da je bil pravilnik sprejet še pred pričetkom uporabe Splošne uredbe, zavezanec pojasnjuje, da bo pripravil nov pravilnik takoj, ko bo sprejet nov zakon s področja varstva osebnih podatkov.

.

Zaposleni pri zavezancu, ki imajo dovoljenje za objavo dokumentov na oglasni deski eUprava, posebnih navodil niso prejeli, saj se od njih pričakuje, da ravnajo skladno z veljavno zakonodajo in prej omenjenim pravilnikom.

.

Glede objave podatkov o rojstvu v seznamu objavljenih dokumentov na oglasni deski eUprava zavezanec pojasnjuje, da je bila navedba datuma rojstva posameznika v seznamu neuspelih vročitev dokumentov posledica označevanja zadeve v skladu Uredbo o upravnem poslovanju (Uradni list RS, št. 9/18, 14/20 in 167/20), ki zahteva, da se med drugim navede tudi kratka vsebina zadeve. Ker se v postopkih …pogosto pojavljajo osebe z enakimi imeni in priimki, prav tako pa je koristno, da se že iz samega naziva zadeve vidi, ali gre za mladoletnika, zavezanec v kratko vsebino zadeve navede datum rojstva in državljanstvo. V primeru objave na oglasni deski eUprava se je kratka vsebina zadeve samodejno prenesla v naziv objavljenega dokumenta na oglasni deski, kar je posledično pripeljalo do tega, da je bil objavljen tudi datum oziroma letnica rojstva osebe, kateremu vročitev dokumenta ni uspela. V samem sporočilu o vročanju z javnim naznanilom zavezanec datuma rojstva posameznika ne navaja.

.

Glede ugotovljene objave sklepov o ustavitvi postopka za priznanje mednarodne zaščite v polnem besedilu zavezanec pojasnjuje, da za tovrstno objavo res nima ustrezne pravne podlage in da je do objave teh sklepov prišlo po pomoti oziroma je objava posledica povsem nenamerne človeške napake, saj je bila objavi pripeta napačna datoteka.

.

Za odpravo posledic ugotovljene kršitve in zmanjšanje možnosti tovrstnih kršitev v bodoče je zavezanec pozval vse notranje organizacijske enote, da pregledajo vse svoje objave na oglasni deski eUprava in morebitne ugotovljene nepravilnosti nemudoma odpravijo. Pripravil je bil tudi enoten obrazec (Sporočilo o vročanju z javnim naznanilom) za objavo na oglasni deski eUprava. Zavezanec v odgovoru na poziv IP navaja tudi, da je bil v informacijskem sistemu spremenjen prenos podatkov tako, da ne pride več do samodejnega prenosa naslova zadeve, ki vsebuje tudi rojstni podatek, ampak se samodejno prenese naslov dokumenta, ki pa rojstnega datuma ne vsebuje.

Da bi preverila resničnost navedb zavezanca v odgovoru na poziv IP in uspešnost izvedenih ukrepov, je nadzornica dne 7. 5. 2021 preverila stanje objav zavezanca na oglasni deski eUprava (dok. št. 0610-32/2021/6) . Med 59 objavami zavezanca (…) v obdobju od 22. 4. 2021 do 6. 5. 2021 ni ugotovila kršitev s področja varstva osebnih podatkov.

.

Zavezanec je notranje organizacijske enote pozval, da ob pregledu objav in morebitnih ugotovljenih kršitvah preučijo tudi, ali so kršitve takšne narave, da bi povzročale veliko tveganje za pravice in svoboščine posameznikov in v primeru ugotovljenih tovrstnih kršitev o kršitvah obvestilo prizadete posameznike.

.

Nadzornica, je po pregledu pojasnil zavezanca in oglasne deske portala eUprava dne 7. 5. 2021 ugotovila, da je zavezanec odgovoril na vsa vprašanja IP in za navedbe v odgovorih priložil ustrezna dokazila. Iz pojasnil zavezanca izhaja, da zavezanec ima vzpostavljen postopek vročanja dokumentov z javnim naznanilom, da je s spremembo sistemskega prenosa podatkov iz zadeve zagotovil, da ne pride več do samodejnega prenosa naslova zadeve, ki vsebuje tudi rojstni podatek, in da pa je v ostalih ugotovljenih primerih kršitve do kršitev in prekomerne objave osebnih podatkov prišlo zaradi človeške napake oziroma nepazljivosti zaposlenih, ki so bili ponovno opozorjeni na previdnost pri obdelavi osebnih podatkov in napoteni na uporabo pripravljenega standardnega sporočila o vročanju z javnim naznanilom.

.

Nadzornica je zaključila, da je zavezanec tekom postopka prostovoljno odpravil nezakonitosti, nepravilnosti in pomanjkljivosti in vzpostavil zakonito stanje ter izvedel ustrezne ukrepe, da bi zmanjšal posledice ugotovljene kršitve in možnosti ponovitve tovrstnih kršitev v bodoče. Ker je prenehala potreba po nadaljevanju vodenja predmetnega postopka, je potrebno na podlagi četrtega odstavka 135. člena ZUP postopek inšpekcijskega ustaviti in odločiti, kot je navedeno v izreku tega sklepa.

.

Zavezanec je s tem, ko z izvajanjem ustreznih tehničnih in organizacijskih ukrepov ni zagotovil ustrezne ravni varnosti osebnih podatkov, da bi preprečil nezakonito objavo in s tem nezakonito obdelavo osebnih podatkov posameznikov, kršil določbe 24. in 25. člena ZVOP-1 ter člena 32 Splošne uredbe. IP bo ugotovljeno kršitev obravnaval v okviru svojih pristojnosti kot prekrškovni organ.

.

Po drugem odstavku 118. člena ZUP se s sklepom, s katerim se postopek konča, odloči o stroških postopka in ker le-ti v tem postopku niso nastali, je tako ugotovljeno in navedeno v 2. točki izreka.

.

Ta sklep je izdan po uradni dolžnosti in je na podlagi 22. člena Zakona o upravnih taksah (Ur. l. RS, št. 106/2010-UPB5 s spremembami) takse prost.

.

.

Pouk o pravnem sredstvu: Zoper ta sklep ni pritožbe, dovoljen pa je upravni spor. Upravni spor se sproži s tožbo, ki se vloži v 30 dneh od vročitve sklepa na Upravno sodišče Republike Slovenije, Fajfarjeva 33, 1000 Ljubljana. Tožba se pošlje priporočeno po pošti na navedeno sodišče. Tožba z morebitnimi prilogami se vloži najmanj v treh izvodih. Tožbi je treba priložiti tudi ta sklep v izvirniku ali prepisu.

.

Exit mobile version