GPS sledenje društvenih vozil

Datum

31.03.2025

Številka

07121-1/2025/407

Kategorije

Društva, Moderne tehnologije, Ocene učinkov v zvezi z varstvom podatkov

Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaše zaprosilo za mnenje glede GPS sledenja vozil društva.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22; v nadaljevanju: ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, 51/07 – ZUstS-A; ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

Izbor ustrezne pravne podlage za posamezno obdelavo je obveznost upravljavca (v konkretnem primeru društva), ki mora pri tem upoštevati konkretne okoliščine in namene obdelave.

Pred uvedbo GPS tehnologije je upravljavec dolžan posameznike seznaniti s tem, da se v njihovih vozilih za določen namen (ki ga opredeli upravljavec) uporablja GPS tehnologija, jih seznaniti z napravo, načinom njenega delovanja, namenom njene namestitve, obsegom zbranih osebnih podatkov, rokom njihove hrambe, primeri in nameni, za katere bodo zbrani podatki uporabljeni, ter drugimi informacijami o obdelavi v skladu s 13. členom Splošne uredbe.

Preveriti je treba, ali za upravljavca velja zahteva po izvedbi ocene učinka v zvezi z varstvom osebnih podatkov, v vsakem primeru pa je izdelava takšne ocene priporočljiva.

Obrazložitev

IP uvodoma poudarja, da lahko podaja neobvezujoča mnenja in pojasnila, ne sme pa izven konkretnih inšpekcijskih postopkov preverjati primernosti izbrane pravne podlage ali namenov oziroma obsega obdelave osebnih podatkov v konkretnem primeru. IP kot nadzorni organ na področju varstva osebnih podatkov v okviru mnenja tako ne more presojati skladnosti konkretnega ravnanja iz vašega zaprosila za mnenje s pravili varstva osebnih podatkov in podajati konkretne odgovore na vaša posamezna vprašanja. Tako v tem okviru tudi ne more dokončno presojati o dopustnosti uvedbe sledenja vozil s strani konkretnega društva, ampak v nadaljevanju podaja splošna pojasnila.

IP uvodoma pojasnjuje, da je vgradnja in uporaba sledilne opreme v vozilih dopustna ob upoštevanju določenih pogojev in zagotovitvi ustreznih varovalk za zmanjšanje posega v zasebnost posameznika (v konkretnem primeru uporabnika oziroma voznika vozila). IP ob tem pojasnjuje še, da osebni podatki predstavljajo skladno s prvo točko 4. člena Splošne uredbe katero koli informacijo v zvezi z določenim ali določljivim posameznikom; določljiv posameznik je tisti, ki ga je mogoče neposredno ali posredno določiti, zlasti z navedbo identifikatorja, kot je ime, identifikacijska številka, podatki o lokaciji, spletni identifikator, ali z navedbo enega ali več dejavnikov, ki so značilni za fizično, fiziološko, genetsko, duševno, gospodarsko, kulturno ali družbeno identiteto tega posameznika. Osebni podatki so torej vsi podatki, ki posredno ali neposredno kažejo na posameznike. Skladno z navedeno definicijo je pravni objekt varstva osebnih podatkov lahko le posameznik (v konkretnem primeru uporabnik oziroma voznik vozila), torej fizična oseba.

IP splošno pojasnjuje, da je treba za vsako obdelavo osebnih podatkov najprej zagotoviti ustrezno pravno podlago. V skladu s 6. členom Splošne uredbe je obdelava osebnih podatkov zakonita le in kolikor je izpolnjen vsaj eden od naslednjih pogojev:

(a) posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov;

(b) obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe;

(c) obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca;

(d) obdelava je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe;

(e) obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu;

(f) obdelava je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok.

Izbor ustrezne pravne podlage za posamezno obdelavo je obveznost upravljavca (v konkretnem primeru torej društva), ki mora pri tem upoštevati konkretne okoliščine in namene obdelave. IP ob tem pojasnjuje, da poseben zakon, ki bi urejal področje uporabe GPS naprav, v Republiki Sloveniji ne obstaja. Glede na navedbe v vašem zaprosilu za mnenje IP izpostavlja pravno podlago zakonitega interesa (točka (f) prvega odstavka 6. člena Splošne uredbe. Glede morebitne uporabe pravne podlage zakonitih interesov IP pojasnjuje, da je predhodno absolutno treba opraviti predhodno oceno zakonitega interesa, v kateri se pošteno in celovito oceni zakonitost interesa, negativne in škodljive vplive na pravice in svoboščine posameznike ter možne varovalke, ki lahko vplivajo na razmerje med zakonitimi interesi in vplivi na posameznika.

Ob tem IP opozarja tudi na načelo najmanjšega obsega podatkov, ki določa, da morajo biti pod pogojem, da obstaja pravna podlaga, osebni podatki, ki se obdelujejo, ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo. Navedeno načelo pomeni, da je potrebno obdelovati samo toliko osebnih podatkov uporabnikov oziroma voznikov tovornjakov, kolikor je nujno potrebno za izpolnitev namena v konkretnem primeru.

IP nadalje pojasnjuje, da mora upravljavec (društvo) pred uvedbo GPS tehnologije presoditi dopustnost in utemeljenost namena, zaradi katerega želi uvesti takšno tehnologijo. Poleg tega mora presoditi tudi njegovo primernost in sorazmernost; ali bi isti namen lahko zadovoljivo dosegli tudi z uvedbo ukrepov, ki manj posegajo v zasebnost, svobodo gibanja in dostojanstvo posameznikov (uporabnikov oziroma voznikov). Pred uvedbo GPS tehnologije je upravljavec dolžan posameznike seznaniti s tem, da se v društvenih vozilih za določen namen (ki ga opredeli upravljavec) uporablja GPS tehnologija, jih seznaniti z napravo, načinom njenega delovanja, namenom njene namestitve, obsegom zbranih osebnih podatkov, rokom njihove hrambe, primeri in nameni, za katere bodo zbrani podatki uporabljeni, ter drugimi informacijami o obdelavi v skladu s 13. členom Splošne uredbe. Konkretni uporabniki oziroma vozniki morajo biti torej pred uporabo vozil seznanjeni z navedenimi informacijami. Način samega obveščanja je v domeni upravljavca, ki mora ob tem upoštevati konkretne okoliščine obdelave. Načeloma je najbolj primerno, da upravljavec v ustreznem organizacijskem aktu predpiše ustrezna navodila, postopke in ukrepe. Z vsebino takšnega akta morajo biti seznanjeni vsi posamezniki, ki bodo uporabljali vozila, v katera se bo namestila takšna tehnologija (torej tako člani društva kot zunanji uporabniki). Društvo bi moralo torej v konkretnem primeru (seveda ob obstoju ustrezne pravne podlage za uvedbo GPS tehnologije) poskrbeti, da so vsi uporabniki oziroma vozniki pred uporabo vozil seznanjeni z navedenimi informacijami.

Ob tem mora upravljavec poskrbeti tudi za zavarovanje zbirke osebnih podatkov, ki nastane na podlagi uporabe GPS tehnologije. Gre za organizacijske in tehnične ukrepe, ki jih določa Splošna uredba v 24. in 32. členu. IP opozarja tudi na zahtevo po vgrajenem in privzetem varstvu osebnih podatkov (25. člen Splošne uredbe). Ta terja, da se tako v sami zasnovi sistema (vgrajeno), kot tudi pri njegovi uporabi (privzeto), spoštuje načela varstva osebnih podatkov iz 5. člena Splošne uredbe (npr. načelo najmanjšega obsega podatkov, načelo omejitve shranjevanja, itd.).

IP sicer splošno vsem subjektom, ki razmišljajo o uvedbi GPS tehnologije, priporoča, da v skladu s 35. členom Splošne uredbe izvedejo oceno učinka v zvezi z varstvom osebnih podatkov. IP je na temo ocene učinkov izdelal Smernice o ocenah učinkov na varstvo podatkov, ki so dostopne na spletni strani:

Gre za vnaprejšnjo presojo, ali oziroma pod kakšnimi pogoji bi bila uporaba GPS naprav zakonita, sorazmerna, transparentna, varna itd. Zelo pomembno je izhajati iz težav, ki naj bi jih reševali z uvedbo GPS tehnologije, pri čemer je treba realno oceniti, ali se bo na tak način dejansko doseglo zasledovane cilje (kot navedeno zgoraj, te opredeli upravljavec - v konkretnem primeru društvo) in ali teh ciljev ni mogoče doseči na drug način (npr. z uporabo drugih sredstev za dosego cilja), ki bi manj posegal v pravice posameznika.

IP nadalje pojasnjuje, da je v skladu s prvim odstavkom 35. člena Splošne uredbe temeljni kriterij za vprašanje, kdaj je ocena učinkov obvezna, zlasti ocena, ali bo obdelava povzročila veliko tveganje za pravice in svoboščine posameznikov. Dodatni kriteriji so opredeljeni v tretjem odstavku istega člena. Ob tem je treba preveriti tudi, ali gre morda za obliko obdelave iz Seznama dejanj obdelav osebnih podatkov, za katere velja zahteva po izvedbi ocene učinka v zvezi z varstvom osebnih podatkov po 4. odstavku 35. člena Splošne uredbe in ko je torej predhodna izvedba ocene učinka v zvezi z varstvom osebnih podatkov obvezna. IP je pripravil tak seznam in ga objavil na spletni strani:

Glede na navedbe v vašem zaprosilu za mnenje je po mnenju IP verjetno, da je v konkretnem primeru izdelava ocene učinka obvezna, saj predvidena obdelava izpolnjuje (vsaj) kriterije iz točk 7 (nesorazmerje moči) in 8 (inovativna uporaba novih in obstoječih tehnologij). IP ob tem priporoča, da se v okviru ocene učinka še posebej skrbno obdelajo pravna podlaga in namen(i) obdelave ter obravnavajo tveganja in ukrepi za njihovo zamejitev. Posebno pozornost je treba nameniti tudi spoštovanju načela najmanjšega obsega podatkov ter sorazmernosti, torej ali res ni mogoče namenov, ki naj bi se jih zasledovalo, doseči z milejšimi ukrepi, ki bi manj posegali v pravice posameznika. Kvalitetno izdelana ocena učinka bo podala odgovore na številna vprašanja v zvezi z uvedbo GPS sistema in omogočila odločitev o (ne)dopustnosti uvedbe tega ukrepa oziroma morebitnih potrebnih prilagoditvah pred njegovo uvedbo.

V zvezi z obdelavo osebnih podatkov v okviru društva IP pojasnjuje, da je glede tega sprejel tolmačenje, da kadar društva izvajajo dejavnosti, ki jih določajo pravila delovanja društva (statut in drugi temeljni oziroma interni akti društva), potem obdelava osebnih podatkov praviloma poteka na podlagi zgoraj citirane točke (b) oziroma točke (f) prvega odstavka 6. člena Splošne uredbe.

Več o tem si lahko preberete v smernicah IP z naslovom »Društva in varstvo osebnih podatkov«, ki so dosegljive na spletni strani:

https://www.ip-rs.si/fileadmin/user_upload/Pdf/smernice/Drustva_in_varstvo_osebnih_podatkov.pdf

IP ob tem pojasnjuje tudi, da je sprejel načelno mnenje glede ustreznih pravnih podlag za obdelavo osebnih podatkov v društvih (mnenje IP št. 0712-1/2018/622, z dne 15. 3. 2018). Iz navedenega mnenja med drugim torej izhaja, da je pravna podlaga za obdelavo osebnih podatkov članov društva za namen delovanja društva praviloma podana v določbah členov 6(1)(b) ali 6(1)(f) Splošne uredbe. Navedeni pravni podlagi prideta v poštev zlasti v povezavi s pravili delovanja društva, ki jih določajo temeljni ter drugi akti, Zakon o društvih (Uradni list RS, št. 64/11 - UPB, 21/18 – ZNOrg; v nadaljevanju: ZDru-1) in drugi predpisi (v nadaljevanju: pravila za delovanje društva). IP namreč članstvo v društvu razume kot skupek pravic in obveznosti, ki jih član sprejme z včlanitvijo, pravice in obveznosti pa določajo prej navedena pravila za delovanje društva, ki veljajo za člane. Pravno razmerje med članom in društvom je za potrebe varstva osebnih podatkov treba razmeti kot pogodbeno razmerje oziroma razmerje, preko katerega se uresničuje zakoniti interes za delovanje društva. Če določeno dejanje obdelave osebnih podatkov v društvu pomeni izvajanje dejavnosti društva, ki je v skladu s pravili delovanja društva, potem je praviloma zagotovljena tudi pravna podlaga za obdelavo v skladu z navedenima določbama 6(1)(b) ali 6(1)(f) Splošne uredbe, ali povedano drugače, obdelava osebnih podatkov v društvu se šteje za zakonito, če se osebni podatki obdelujejo za namene zakonitega delovanja društva in je torej odvisna od nalog in dejavnosti, ki jih določajo pravila za delovanje društva. Pri društvih se osebni podatki članov torej lahko obdelujejo brez njihove privolitve, če društva obdelujejo podatke v zvezi s svojo dejavnostjo, kar lahko člani upravičeno pričakujejo (npr. vabljenje na seje društva, obračun članarine itd.). Kadar pa gre za dejavnost obdelave podatkov, ki je člani ne bi mogli upravičeno pričakovati (ker npr. to ni predvideno z notranjimi akti), potem je obdelava osebnih podatkov praviloma dopustna na podlagi njihove privolitve.

Večina društev sicer deluje v skladu z določbami ZDru-1, ki v prvem in drugem odstavku 1. člena določa, da je društvo samostojno in nepridobitno združenje, ki ga ustanoviteljice oziroma ustanovitelji skladno s tem zakonom ustanovijo zaradi uresničevanja skupnih interesov. Društvo si samo določi namen in cilje, dejavnost oziroma naloge ter način delovanja, odločitve o upravljanju društva pa neposredno ali posredno sprejemajo člani društva. Ta vprašanja mora urejati temeljni akt društva, posameznik pa lahko postane član društva pod pogoji, ki jih društvo določi v temeljnem aktu. S temeljnim aktom torej društvo določi način sodelovanja članov društva pri upravljanju društva ter njihove posebne pravice in dolžnosti. Obvezno vsebino temeljnega akta opredeljuje 9. člen ZDru-1, ki v prvem odstavku določa, kaj mora določati temeljni akt društva (med drugim tudi pogoje in način včlanjevanja ter prenehanja članstva), v tretjem odstavku pa določa, da lahko društvo s temeljnim aktom uredi tudi druga vprašanja, pomembna za upravljanje in delovanje društva. ZDru-1 nadalje v prvem odstavku 12. člena določa, da člani društva ter pooblaščene osebe pravnih oseb, članic društva, sodelujejo pri upravljanju društva neposredno ali posredno po predstavnikih, izvoljenih organih oziroma zastopniku društva na način, določen s temeljnim aktom. Priporočljivo je torej, da društva v svojih aktih čim bolj natančno predpišejo, katere osebne podatke članov bodo obdelovala in za kakšen namen. Z akti morajo biti na primeren način obveščeni tudi člani.

Glede dostopa do podatkov, ki se nanašajo na člane in dejavnost društva, IP pojasnjuje, da je to odvisno od nalog in s tem povezanih pravic in dolžnosti posameznih članov, organov in članov s funkcijami, ki so določene v pravilih za delovanje društva in je zato to predmet notranje organizacije društva. Pravila varstva osebnih podatkov v zvezi s tem zahtevajo, da se osebni podatki v društvu obdelujejo varno, skladno s 24. in 32. členom Splošne uredbe, zlasti tako, da se prepreči neupravičen dostop, razkritje, izguba ali uničenje podatkov, ipd. V okvir skladnosti za varno obdelavo osebnih podatkov sodi tudi interna določitev dostopa do zbirk glede na naravo nalog posameznih članov ali organov v društvu, zato mora društvo v internih aktih oziroma pravilih za delovanje društva samo določiti, kateri organi oziroma člani s funkcijami so odgovorni za posamezne zbirke osebnih podatkov in kateri člani, organi, oziroma člani s funkcijami imajo zaradi narave njihovega dela oziroma opravljanja njihovih nalog dostop do določenih zbirk in osebnih podatkov. Ob tem pa IP opozarja, da so vsi tisti, za katere bi se presodilo, da se v okviru društva lahko seznanijo z določenimi osebnimi podatki, seveda dolžni te podatke varovati in jih ne smejo posredovati naprej brez ustrezne pravne podlage ali celo obdelovati za druge namene.

IP sklepno ponavlja, da v okviru mnenja ne more presojati ustreznosti posameznih rešitev oziroma ravnanja posameznih zavezancev, ampak to lahko presoja le v okviru konkretnega nadzornega oziroma drugega upravnega postopka, ko so znane vse konkretne okoliščine posameznega primera. Presoja glede zakonitosti obdelave oziroma obstoja pravne podlage za posamezno obdelavo je torej primarno na vsakem upravljavcu posebej. Upravljavec (v konkretnem primeru torej društvo) je torej v vsakem posameznem primeru odgovoren za zakonitost ter sorazmernost obdelav osebnih podatkov, ki jih izvaja.

Lepo vas pozdravljamo.

Pripravil:

Matej Sironič, Svetovalec pooblaščenca I

dr. Jelena Virant Burnik, Informacijska pooblaščenka