Obdelava osebnih podatkov za namene akreditacije, organizacije dogodkov in prevozov v okviru Sistema za akreditacije in organizacijo dogodkov in prevozov (SAOD)

Datum

09.01.2024

Številka

07120-1/2024/8

Kategorije

Informiranje posameznika, Pravne podlage, Skupni upravljavci, Zbirke osebnih podatkov

Na Informacijskega pooblaščenca (v nadaljevanju IP) ste naslovili predlog za sestanek na temo obdelave osebnih podatkov v okviru Sistema za akreditacije in organizacijo dogodkov in prevozov (SAOD). Kot navajate, xx po sklepu o nalogah urada zagotavlja komunikacijsko podporo ob dogodkih državnega pomena v Republiki Sloveniji in organizira novinarske konference. Sklep je iz leta 2007, ko za akreditiranje novinarjev še ni veljal poseben zakon o varstvu osebnih podatkov. V zadnjih letih se je vzpostavila spletna aplikacija za zbiranje podatkov za izdelavo akreditacij. Na ta način je xx želel poenostaviti način prijavljanja na dogodke. Ob tem se je pokazalo, da morda xx nima pravne podlage za takšno zbiranje podatkov. Sprašujete se, ali je sklep o nalogah xx dovolj primerna zakonska podlaga za zbiranje podatkov. Ste namreč pred tem, da bi podpisali dogovor o upravljanju osebnih podatkov, zato želite, preden podpišete dogovor preveriti, ali so vaše dileme utemeljene ali ne.

Dopisu ste priložili osnutek dogovora in vaše pripombe nanj.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22, v nadaljevanju ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju Splošna uredba), 76. člena Zakona o varstvu osebnih podatkov na področju obravnavanja kaznivih dejanj (Uradni list RS, št. 177/20, v nadaljevanju ZVOPOKD) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A, v nadaljevanju ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z obdelavo osebnih podatkov v okviru Sistema za akreditacije in organizacijo dogodkov in prevozov (SAOD)

*****

IP uvodoma poudarja, da izven nadzornega ali drugega upravnega postopka ne more presojati konkretnih obdelav osebnih podatkov in podajati konkretnih stališč v zvezi s posameznimi vprašanji s področja varstva osebnih podatkov. V okviru sestanka ali mnenja vam lahko podamo zgolj splošna pojasnila, priporočila in usmeritve, odgovornost za zakonito in pošteno obdelavo osebnih podatkov pa je vedno na upravljavcu osebnih podatkov.

IP pripominja, da k vašemu zaprosilu niste priložili Splošnih pogojev uporabe SAOD in tehničnih Specifikacij sistema, zaradi česar iz vašega dopisa zlasti ni jasno, kako sistem deluje, kdo so upravljavci sistema in njegovi uporabniki, kakšne so pravice in obveznosti vsakega od njih, katere vrste osebnih podatkov se v okviru sistema obdelujejo, na kakšni pravni podlagi se osebni podatki obdelujejo in koliko časa se hranijo, na kakšen način se osebni podatki zbirajo, na kakšen način se uresničujejo pravice posameznikov, na katere se nanašajo osebni podatki, ki se vodijo v sistemu, kdo so uporabniki osebnih podatkov, ki se vodijo v sistemu, ter kakšne so njihove pravice in obveznosti.

Iz vašega dopisa je moč sklepati, da se osebni podatki v SAOD obdelujejo za namene akreditacije, organizacije dogodkov in prevozov. Pravna podlaga za takšno obdelavo osebnih podatkov ne more biti Sklep o nalogah xx ali dogovor o obdelavi oziroma uporabi osebnih podatkov, pač pa se kot pravna podlaga za obdelavo osebnih podatkov lahko šteje le katera od pravnih podlag iz prvega odstavka 6. člena Splošne uredbe, kjer je določeno, da je obdelava osebnih podatkov zakonita le in kolikor je izpolnjen vsaj eden od naslednjih pogojev:

(a)posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov;

(b)obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe;

(c)obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca;

(d)obdelava je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe;

(e)obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu;

(f)obdelava je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok.

Točka (f) se ne uporablja za obdelavo osebnih podatkov s strani javnih organov pri opravljanju njihovih nalog.

IP glede na informacije, ki ste mu jih poslali sklepa, da bi kot pravna podlaga za obdelavo osebnih podatkov v SAOD lahko štela točka (e) prvega odstavka 6. člena splošne uredbe (obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu) vendar le pod pogojem, če bi bil ob tem izpolnjen tudi pogoj iz drugega odstavka 6. člena ZVOP-2, ki določa, da se pravna podlaga za obdelavo osebnih podatkov iz točke (c) in (e) prvega odstavka 6. člena Splošne uredbe šteje za zakonito le, če obdelavo osebnih podatkov, vrste osebnih podatkov, ki naj se obdelujejo, kategorije posameznikov, na katere se ti osebni podatki nanašajo, namen njihove obdelave in rok hrambe določa zakon. Če je mogoče, se v zakonu določijo tudi uporabniki osebnih podatkov, posamezna dejanja obdelave in postopki obdelave ter drugi ukrepi za zagotovitev zakonite, poštene in pregledne obdelave.

Iz vašega dopisa je moč razbrati, da obdelava osebnih podatkov v SAOD v posebnem zakonu ni določena. Glede na to, da gre pri obdelavi osebnih podatkov v SAOD najverjetneje za obdelavo, ki je namenjena akreditacijam ter organizaciji dogodkov in prevozov, bi se po mnenju IP kot pravna podlaga za takšno obdelavo osebnih podatkov lahko štele določbe 93. člena ZVOP-2, kjer se ureja obdelava osebnih podatkov za izvajanje določenih dejavnosti javnega ali zasebnega sektorja. V 93. členu ZVOP-2 je tako določeno:

(1)Oseba iz javnega ali zasebnega sektorja lahko uporablja kontaktne podatke posameznikov, ki jih je zbrala iz javno dostopnih virov ali v okviru izvrševanja svojih javnih nalog ali so ji jih posamezniki, na katere se nanašajo, prostovoljno razkrili ali dali privolitev, za namene organiziranja uradnih srečanj, izobraževanj, usposabljanj in dogodkov, določanja sestav ali delovanje komisij, svetov, delegacij in drugih podobnih dejavnosti javnega sektorja, dajanja izjav za javnost, razen izvajanja neposrednega trženja. Zbirke osebnih podatkov, ki nastanejo na tej podlagi, morajo biti ločene od drugih zbirk osebnih podatkov, ki nastanejo pri izvrševanju zakonitih pristojnosti, nalog ali obveznosti.

(2)Za namene iz prejšnjega odstavka lahko oseba javnega sektorja uporablja le naslednje osebne podatke: osebno ime, telefonsko številko, naslov elektronske pošte ali drugo komunikacijsko številko oziroma oznako, podatke o delodajalcu ali organizaciji ter podatke o področju dela, položaju, funkciji, članstvu v klubu ali hobiju posameznika, na katerega se nanašajo osebni podatki. Na podlagi privolitve posameznika lahko oseba javnega sektorja za iste namene obdeluje tudi naslov stalnega ali začasnega prebivališča in druge osebne podatke, posebne vrste osebnih podatkov pa le izjemoma in če ima za to izrecno privolitev posameznika.

(3)Za namene obveščanja javnosti sme oseba javnega ali zasebnega sektorja obdelovati, vključno z objavo, osebna imena, nazive, fotografije in videoposnetke posameznikov, pridobljene na dogodkih, ki jih v okviru svojih nalog, pristojnosti ali dejavnosti organizira ta oseba, če posameznik te obdelave ni prepovedal.

Kot je razvidno iz zgoraj citiranega člena, je želel zakonodajalec v tem členu urediti vprašanje obdelave osebne podatkov med drugim tudi za namene organizacije uradnih srečanj, kamor lahko npr. uvrščamo tudi medijske konference, ter je v tem okviru določil vrste osebnih podatkov, ki se lahko za te namene zbirajo že na podlagi zakona (osebno ime, telefonsko številko, naslov elektronske pošte ali drugo komunikacijsko številko oziroma oznako, podatke o delodajalcu ali organizaciji ter podatke o področju dela, položaju, funkciji, članstvu v klubu ali hobiju posameznika, na katerega se nanašajo osebni podatki) ter dopustil, da se za te namene zbirajo tudi druge vrste osebnih podatkov, in sicer na podlagi privolitve posameznika.

Izjemoma bi se kor pravna podlaga za obdelavo osebnih podatkov v SAOD lahko štel tudi četrti odstavek 6. člena ZVOP-2, po katerem se za izvrševanje točke e) prvega odstavka 6. člena Splošne uredbe lahko v javnemu sektorju izjemoma obdelujejo tisti osebni podatki, ki so nujno potrebni za izvrševanje zakonitih pristojnosti, nalog ali obveznosti javnega sektorja, če se s to obdelavo ne poseže v upravičen interes posameznika, na katerega se osebni podatki nanašajo. IP ob tem opozarja, da mora upravljavec ali skupni upravljavci pri vsaki obdelavi osebnih podatkov ne glede na pravno podlago vedno upoštevati tudi načela v zvezi z obdelavo osebnih podatkov iz 5. člena Splošne uredbe.

Iz vašega dopisa ni dovolj jasno razvidno, v kakšnem svojstvu naj bi pri obdelavi osebnih podatkov v SAOD nastopal xx ter kakšne bodo njegove pravice in obveznost. Iz poslanega dopisa je moč sklepati, da gre za sistem, ki je v upravljanju več upravljavcev, ki skupaj določajo namene in načine obdelave osebnih podatkov. Skupno upravljavstvo definira 26. člen Splošne uredbe, ki v prvem odstavku določa, da dva ali več upravljavcev, ki skupaj določijo namene in načine obdelave, so skupni upravljavci. Skupni upravljavci na pregleden način z medsebojnim dogovorom določijo dolžnosti vsakega od njih z namenom izpolnjevanja obveznosti v skladu s to uredbo, zlasti v zvezi z uresničevanjem pravic posameznika, na katerega se nanašajo osebni podatki, in nalogami vsakega od njih glede zagotavljanja informacij iz členov 13 in 14, razen če in kolikor so dolžnosti vsakega od upravljavcev določene s pravom Unije ali pravom države članice, ki velja za upravljavce. Z dogovorom se lahko določi kontaktna točka za posameznike, na katere se nanašajo osebni podatki. Drugi odstavek nadalje še določa, da dogovor iz odstavka 1 ustrezno odraža vlogo vsakega od skupnih upravljavcev in njegovo razmerje do posameznikov, na katere se nanašajo osebni podatki. Bistveno vsebino dogovora se da na voljo posamezniku, na katerega se nanašajo osebni podatki. V tretjem odstavku je še določeno, da posameznik, na katerega se nanašajo osebni podatki, lahko ne glede na pogoje dogovora iz odstavka 1 uresničuje svoje pravice v skladu s to uredbo glede vsakega od upravljavcev in proti vsakemu od njih

Iz zgoraj citiranih določb torej izhaja, da mora xx skupaj z drugimi upravljavci SAOD opredeliti pravno podlago za obdelavo osebnih podatkov v SAOD ter skladno s tem z drugimi upravljavci sistema definirati, kakšna bo njegova vloga v zvezi z osebnimi podatki, ki se oz. se bodo obdelovali v xx. Na podlagi tako definirane pravne podlage in določitve v vlog posameznih upravljavcev in uporabnikov SAOD je za tem možno pristopiti k sklepanju medsebojnih dogovorov, v katerih se bodo opredelile pravice, dolžnosti in odgovornosti vsakega od upravljavcev in uporabnikov sistema. V primeru, da gre za skupno upravljavstvo, bo moral dogovor med upravljavci poleg dogovora v zvezi z zagotavljanjem varnosti osebnih podatkov (32. člen Splošne uredbe) in vodenja dnevnika obdelav (22. člen ZVOP-2) zadostiti tudi zahtevam 26. člena Splošne uredbe. Takšen dogovor bi moral odražati zlasti vlogo oz. odgovornosti vsakega od skupnih upravljavcev in njegovo razmerje do posameznikov, na katere se nanašajo osebni podatki. Zlasti bi bilo treba dogovoriti, kdo in kako bo uresničeval pravice posameznikov po Splošni uredbi (pravica dostopa, popravka, omejitve, izbrisa, ugovora, prenosljivosti, avtomatizirana obdelava) ter posameznike obveščal glede obdelave osebnih podatkov (kdo in na kakšen način bo zagotovil informacije o obdelavi iz 13. oz. 14. člena Splošne uredbe).

Več o skupnih upravljavcih si lahko preberete na spletni strani IP, na naslovu: https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/ključna-področja-uredbe/skupni-upravljavci

V primeru, ko gre za dogovor med upravljavcem oz. skupnimi upravljavci in uporabnikom osebnih, pa bo moral takšen dogovor vsebovati postopke in ukrepe za zagotavljanje varnosti osebnih podatkov ter obveznosti glede vodenja evidentiranja posredovanj osebnih podatkov na način, kot to določa šesti odstavek 41. člena ZVOP-2.

Lepo vas pozdravljamo.

Pripravil

Jože Bogataj, namestnik informacijske pooblaščenke

Mojca Prelesnik, univ. dipl. prav., informacijska pooblaščenka