Skladnost transkripcije na srečanjih v aplikaciji Teams

Datum

07.11.2024

Številka

07121-1/2024/1387

Kategorije

Informiranje posameznika, Pravne podlage, Varnost osebnih podatkov

Informacijski pooblaščenec (v nadaljevanju IP) je po e-pošti prejel vaše zaprosilo za mnenje. Opisujete, da lahko v aplikaciji Teams organizator srečanja ali soavtor prične s transkripcijo v živo. Prepis je prikazan v realnem času in vključuje ime govornika in čas povedanega. Udeleženci vidijo obvestilo, da se izvaja transkripcija in se lahko odločijo, da skrijejo svoje identitete v napisih in prepisih srečanja. Po srečanju je transkripcija na voljo v dogodku srečanja v koledarju, organizatorji srečanja ali soavtorji pa jo lahko prenesejo kot datoteko .docx ali .vvt in jo prenesejo v klepet, kjer bo na voljo udeležencem srečanja. Sprašujete, kakšno je mnenje IP o skladnosti uporabe transkripcije s Splošno uredbo, saj aplikacija omogoča zapis povedanega brez soglasja drugih udeležencev sestanka, prav tako pa se porajajo skrbi o verodostojnosti samih prepisov.

***

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22, ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A, ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

IP meni, da mora za vsako obdelavo osebnih podatkov (kamor štejemo tudi npr. prepis oz. zapisnik sestanka, ki je nastal s transkripcijo in vsebuje osebne podatke posameznikov) obstajati ustrezna pravna podlaga skladno s prvim odstavkom 6. člena Splošne uredbe. Posameznikom je pred obdelavo njihovih podatkov treba podati ustrezne informacije po 13. členu Splošne uredbe. V zvezi z aplikacijo vam predlagamo, da zagotovite ustrezno zavarovanje osebnih podatkov, med drugim na način, da preučite nastavitve aplikacije in po potrebi udeležencem podate primerna navodila (npr. glede zakritja identitete, morebitne objave zapisnika, itd.).

Obrazložitev

Pri tem IP uvodoma poudarja, da izven postopka inšpekcijskega nadzora oziroma drugega upravnega postopka konkretnih obdelav osebnih podatkov ne more presojati. Prav tako v okviru mnenja ne more presojati ustreznosti določene programske rešitve, niti ne more vnaprej potrjevati posameznih rešitev z vidika skladnosti z obstoječimi predpisi s področja varstva osebnih podatkov. Presojo o ustreznosti lahko izvede le v okviru konkretnega inšpekcijskega postopka. Zakonitost obdelav osebnih podatkov pri delovanju konkretne aplikacije se torej lahko ugotovi le v okviru konkretnega inšpekcijskega postopka.

Pojasnjujemo, da mora biti za vsako obdelavo osebnih podatkov podana ustrezna pravna podlaga skladno s prvim odstavkom 6. člena Splošne uredbe:

(a) posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov;

(b) obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe;

(c) obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca;

(d) obdelava je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe;

(e) obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu;

(f) obdelava je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok.

Pri tem opozarjamo, da se točka (f) ne uporablja za obdelavo s strani javnih organov pri opravljanju njihovih nalog.

Za vsako obdelavo osebnih podatkov (kamor štejemo tudi zapisnike sestankov, ki vsebujejo osebne podatke udeležencev), mora torej obstajati ustrezna pravna podlaga po zgoraj citiranem prvem odstavku 6. člena Splošne uredbe (npr. soglasje posameznikov, zakoniti interesi, itd.). Bolj natančnih usmeritev vam IP glede na podane informacije ne more podati. Vsekakor morajo biti posamezniki pred začetkom take obdelave o njej seznanjeni skladno s 13. členu Splošne uredbe. Tako morajo npr. prejeti informacije o: upravljavcu (s kontaktnimi podatki upravljavca in njegovega predstavnika, če obstaja) ter kontakt pooblaščene osebe za varstvo podatkov (če je imenovana); namenih ter pravni podlagi za obdelavo osebnih podatkov; uporabnikih osebnih podatkov; obdobju hrambe osebnih podatkov; pravicah posameznika, itd. Več informacij glede obveščanja posameznikov je dostopnih na: https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/ključna-področja-uredbe/obveščanje-posameznikov-o-obdelavi-osebnih-podatkov.

Upravljavec mora poskrbeti tudi za ustrezno zavarovanje osebnih podatkov, pri čemer mu predlagamo, da preuči nastavitve aplikacije in po potrebi udeležencem poda ustrezna navodila, npr. glede zakritja svoje identitete, glede obveznosti, da se zapisnik sestanka pred morebitno objavo ali posredovanjem ustrezno anonimizira, če je to potrebno, itd.

Odgovore na morebitna druga vprašanja lahko poiščete tudi v že izdanih mnenjih IP, ki jih lahko poiščete s pomočjo iskalnikov na www.ip-rs.si/vop, npr. glede objavljanja zapisnikov mnenje št. 07121-1/2020/344 z dne 10. 3. 2020.

Upamo, da smo vam s podanimi napotili uspeli pomagati.

dr. Jelena Virant Burnik,

informacijska pooblaščenka

Pripravil:

Barbara Žurej, univ. dipl. prav., svetovalka pooblaščenca za preventivo