Obdelava osebnih podatkov z osebne izkaznice

Datum

03.03.2026

Številka

07120-1/2026/90

Kategorije

Pravne podlage

Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaše zaprosilo za mnenje glede skeniranja osebne izkaznice ob izvajanju kontrole potnikov mestnega potniškega prometa.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22, 40/25 – ZInfV-1; v nadaljevanju: ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, 51/07 – ZUstS-A; ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

IP v okviru neobvezujočega mnenja ne more presojati zakonitosti obdelav osebnih podatkov, ki jih navajate v vašem zaprosilu za mnenje, niti njihove skladnosti s temeljnimi načeli varstva osebnih podatkov.

Drugi odstavek 94. člena ZVOP-2 lahko predstavlja pravno podlago za kopiranje in druge oblike obdelave (npr. hrambo) osebnih podatkov iz uradnih identifikacijskih dokumentov v povezavi z ustreznim področnim predpisom, ki v tem primeru določa naloge upravljavca, ki zahtevajo tovrstno obdelavo osebnih podatkov.

Določbi 48. člena ZZasV-1 in 15. člena Pravilnika o izvajanju ZZasV-1, ki ju navajate v vašem zaprosilu za mnenje, ne dajeta pravne podlage za kopiranje oziroma skeniranje osebne izkaznice. Po mnenju IP tako ne gre razbrati, na kateri podlagi oziroma za kateri namen (izvajanje z zakonom predpisane naloge) bi bilo nujno potrebno skeniranje osebne izkaznice oziroma zakaj takega namena ne bi bilo mogoče doseči z vpogledom v osebno izkaznico (in po potrebi prepisom podatkov).

Konkretni upravljavec, ki želi napraviti kopijo osebnega dokumenta posameznika, bi moral posamezniku podati vse pomembne informacije o obdelavi njegovih osebnih podatkov iz 13. člena Splošne uredbe, kar vključuje tudi pojasnila o pravnih podlagah in namenih za obdelavo osebnih podatkov oziroma dokumentov.

Upravljavec mora poskrbeti za ustrezno zavarovanje osebnih podatkov in jih obdelovati v skladu s temeljnimi načeli varstva osebnih podatkov.

Obrazložitev

IP uvodoma poudarja, da lahko podaja neobvezujoča mnenja in pojasnila, ne sme pa izven konkretnih nadzornih ali drugih upravnih postopkov preverjati primernosti izbrane pravne podlage ali namenov oziroma obsega obdelave osebnih podatkov v konkretnem primeru.

IP splošno pojasnjuje, da Splošna uredba v 6. členu določa različne pravne podlage za zakonito obdelavo osebnih podatkov. Obdelava je tako zakonita le in kolikor je za konkretni namen obdelave in konkretne osebne podatke izpolnjen eden od naslednjih pogojev:

(a)posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov;

(b)obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe;

(c)obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca;

(d)obdelava je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe;

(e)obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu;

(f)obdelava je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok.

IP nadalje pojasnjuje, da kopiranje osebne izkaznice podrobneje ureja Zakon o osebni izkaznici (Uradni list RS, št. 35/11, 41/21, 199/21, 17/25; v nadaljevanju: ZOIzk-1), ki v 4. členu določa, da smejo upravljavci zbirk osebnih podatkov osebne izkaznice kopirati samo v primerih, ki jih določa zakon. Izjemoma je kopiranje osebne izkaznice dopustno že na podlagi določb ZOIzk-1 brez izrecne podlage v drugem področnem zakonu. Tako lahko osebno izkaznico poleg njenega imetnika kopirajo notarji in finančne družbe, ki opravljajo finančne storitve, če jo potrebujejo za dokazovanje istovetnosti državljana. Pojma finančna družba in finančna storitev po tem zakonu imata enak pomen kot v zakonu, ki ureja bančništvo (ZBan-3; Uradni list RS, št. 92/21, 123/21 – ZBNIP). Osebno izkaznico je za vnaprej določene namene dovoljeno kopirati tudi na podlagi pisne privolitve imetnika osebne izkaznice.

Iz povzetih zakonskih določb izhajajo stroge omejitve uporabe osebne izkaznice. Prvenstveno je za namen ugotavljanja istovetnosti predviden le vpogled (oziroma po potrebi tudi prepis), kopiranje pa le ob strožjih pogojih, pri čemer je izrecno prepovedano nadaljnje kopiranje kopije osebne izkaznice, ob kopiranju osebne izkaznice pa je treba z ustrezno oznako na kopiji zagotoviti, da se kopija osebne izkaznice ne bo uporabljala za druge namene.

IP pojasnjuje, da ZVOP-2 v prvem odstavku 94. člena določa, da smejo upravljavec, obdelovalec ali uporabnik za namen identifikacije posameznika, ali za namen zagotavljanja točnosti in posodobljenosti osebnih podatkov, vpogledati v njegove uradne identifikacijske dokumente. Drugi odstavek istega člena določa, da sme upravljavec, ki izvaja z zakonom predpisano nalogo, za namen identifikacije posameznika tudi prepisati, kopirati ali drugače obdelati podatke iz njegovih uradnih identifikacijskih dokumentov. IP ob tem pojasnjuje, da drugi odstavek 94. člena ZVOP-2 lahko torej predstavlja pravno podlago za kopiranje in druge oblike obdelave (npr. hrambo) osebnih podatkov iz uradnih identifikacijskih dokumentov v povezavi z ustreznim področnim predpisom, ki v tem primeru določa naloge upravljavca, ki zahtevajo tovrstno obdelavo osebnih podatkov. Omenjena določba drugega odstavka 94. člena ZVOP-2 tako za primere, ko upravljavec izvaja z zakonom predpisano nalogo, širi dopustne oblike obdelave (vseh) osebnih podatkov iz uradnih identifikacijskih dokumentov za namene identifikacije tudi na prepisovanje, kopiranje ali (vse) druge oblike obdelave, s čimer dopolnjuje in širi določbe 4. člena ZOIzk‑1, ki opredeljuje pogoje dopustnosti kopiranja osebnih izkaznic. Slednji namreč določa, da smejo osebne izkaznice kopirati upravljavci zbirk osebnih podatkov samo v primerih, ki jih določa zakon, in 94. člen ZVOP‑2 je v tem smislu tak predpis. Hkrati pa v primeru kopiranja osebne izkaznice in potnih listin še vedno veljajo določbe glede obveznih ukrepov za preprečevanje zlorab iz 4. člena ZOIzk‑1 (glede ustreznega označevanja na kopiji in izdaje potrdil o kopiji).

Upoštevati je treba, da osebna izkaznica oziroma njena kopija vsebuje posnetek obraza posameznika, ki ima že biometrične značilnosti. Zaradi nevarnosti zlorab in kraj identitete pa je treba pri vsaki odločitvi o morebitnem zbiranju biometričnih podatkov ravnati izjemno previdno, kar je tudi eden od razlogov, da je zakonodajalec v omenjenih specialnih zakonih že sam predpisal stroge ukrepe v zvezi z zbiranjem oziroma kopiranjem osebnih dokumentov in omejil njihovo obdelavo na najmanjšo, torej nujno potrebno mero. IP tako povzema, da torej ne obstaja absolutna prepoved kopiranja osebnih dokumentov, je pa kopiranje strogo urejeno v področni zakonodaji.

IP splošno opozarja tudi na načelo najmanjšega obsega podatkov, ki določa, da morajo biti pod pogojem, da obstaja pravna podlaga, osebni podatki, ki se obdelujejo, ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo. Navedeno načelo pomeni, da je potrebno obdelovati samo toliko osebnih podatkov, kolikor je nujno potrebno za dosego zakonitega namena obdelave. V vsakem konkretnem primeru bi bilo treba torej izkazati (to je obveznost upravljavca), zakaj je za dosego želenega namena treba napraviti kopijo oziroma scan osebnega dokumenta oziroma zakaj istega namena ni mogoče doseči z vpogledom v dokument ali prepisom podatkov z njega. IP ob tem dodaja, da se rešitev skeniranja celotnega dokumenta zgolj zato, da se potem prepiše oziroma prenese v poročilo, zdi nesorazmerna z vidika obdelave osebnih podatkov. IP ob tem dodaja, da določbi 48. člena ZZasV-1 in 15. člena Pravilnika o izvajanju ZZasV-1, ki ju navajate v vašem zaprosilu za mnenje, ne dajeta pravne podlage za kopiranje oziroma skeniranje osebne izkaznice. Po mnenju IP tako ne gre razbrati, na kateri podlagi oziroma za kateri namen (izvajanje z zakonom predpisane naloge) bi bilo nujno potrebno skeniranje osebne izkaznice oziroma zakaj takega namena ne bi bilo mogoče doseči z vpogledom v osebno izkaznico (in po potrebi prepisom podatkov).

IP izpostavlja tudi določbo (e) točke prvega odstavka 5. člena Splošne uredbe, ki določa, da morajo biti osebni podatki hranjeni v obliki, ki dopušča identifikacijo posameznikov, na katere se nanašajo, le toliko časa, kolikor je potrebno za namene, za katere se obdelujejo; daljše obdobje se lahko hranijo le, če bodo obdelani zgolj za namene arhiviranja v javnem interesu, za znanstveno- ali zgodovinskoraziskovalne namene ali statistične namene. Kopija osebnega dokumenta se torej lahko hrani le toliko časa, dokler je to potrebno za dosego namena, zaradi katerega se je pridobila.

IP poudarja, da mora upravljavec posamezniku ob pridobitvi njegovih osebnih podatkov podati tudi nekatere informacije o obdelavi osebnih podatkov  iz 13. člena Splošne uredbe, npr. kakšen je namen in pravna podlaga za obdelavo osebnih podatkov, komu osebne podatke posreduje, koliko časa se bodo osebni podatki hranili itd. Konkretni upravljavec (v konkretnem primeru LPP), ki želi pridobiti kopijo posameznikovega osebnega dokumenta, bi vam moral torej podati vse pomembne informacije o obdelavi njegovih osebnih podatkov iz 13. člena Splošne uredbe, kar vključuje tudi pojasnila o pravnih podlagah in namenih za obdelavo osebnih podatkov oziroma dokumentov. IP tako ne more podati konkretnega odgovora na vaše vprašanje glede obdelave s strani LPP, saj je treba upoštevati specifike vsakega posameznega primera.

Več informacij o obveščanju posameznikov o obdelavi osebnih podatkov je dostopnih na spletni strani IP:

https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/klju
0dna-podro
0Dja-uredbe/obve1
0Danje-posameznikov-o-obdelavi-osebnih-podatkov

IP povzema, da je za vsako obdelavo osebnih podatkov treba torej najprej zagotoviti ustrezno pravno podlago. Izbor ustrezne pravne podlage za posamezno obdelavo je stvar ocene konkretnih okoliščin, odgovornost za izbiro pa nosi upravljavec. Prav tako mora upravljavec poskrbeti za ustrezno zavarovanje osebnih podatkov v skladu s 24. in 32. členom Splošne uredbe in jih obdelovati v skladu s temeljnimi načeli varstva osebnih podatkov.

IP ponovno poudarja, da v okviru neobvezujočega mnenja ne more odločati o tem, ali so v konkretnem primeru podani pogoji za obdelavo osebnih podatkov, temveč lahko zgolj opozori na relevantno pravno podlago ter pogoje, ki morajo biti izpolnjeni, da je določena obdelava osebnih podatkov zakonita. Konkretno presojo pa lahko oziroma mora opraviti izključno upravljavec osebnih podatkov, ki nosi tudi odgovornost za tovrstno opravljeno presojo.

Lepo vas pozdravljamo.

Pripravil

Matej Sironič, Svetovalec pooblaščenca I

dr. Jelena Virant Burnik, Informacijska pooblaščenka