Varstvo osebnih podatkov

Datum

25.04.2023

Številka

07120-1/2023/242

Kategorije

Delovna razmerja, Evidence dejavnosti obdelave, Snemanje sej in javnih dogodkov, Šolstvo, Video in avdio nadzor, Varnost osebnih podatkov

Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaše zaprosilo za mnenje glede številnih vprašanj s področja varstva osebnih podatkov.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22; v nadaljevanju: ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, 51/07 – ZUstS-A; ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

Za vsako obdelavo osebnih podatkov je treba zagotoviti ustrezno pravno podlago.

Pojem obdelava pomeni vsako dejanje ali niz dejanj, ki se izvaja v zvezi z osebnimi podatki ali nizi osebnih podatkov z avtomatiziranimi sredstvi ali brez njih, kot je zbiranje, beleženje, urejanje, strukturiranje, shranjevanje, prilagajanje ali spreminjanje, priklic, vpogled, uporaba, razkritje s posredovanjem, razširjanje ali drugačno omogočanje dostopa, prilagajanje ali kombiniranje, omejevanje, izbris ali uničenje.

Pojma dnevnik obdelave iz 22. člena ZVOP-2 nikakor ne gre enačiti z evidenco dejavnosti obdelave iz 30. člena Splošne uredbe.

V skladu s prehodno določbo 120. člena ZVOP-2 morajo upravljavci vodenje dnevnikov obdelave uskladiti z 22. členom ZVOP-2 v dveh letih od uveljavitve tega zakona. Upravljavci morajo ne glede na to še vedno izvajati svoje obveznosti v zvezi z varnostjo obdelave osebnih podatkov v skladu z 32. členom Splošne uredbe.

Za izvajanje videonadzora prvenstveno veljajo iste določbe Splošne uredbe kot za obdelavo osebnih podatkov na splošno, določbe ZVOP-2 pa urejajo posamezne posebnosti glede izvajanja videonadzora.

Obrazložitev

IP uvodoma poudarja, da v okviru neobvezujočega mnenja ne more odločati o tem, ali je v konkretnem primeru podana izpolnjeni pogoji za obdelavo osebnih podatkov, temveč lahko zgolj opozori na pogoje, ki morajo biti izpolnjeni, da je določena obdelava osebnih podatkov zakonita. Konkretno presojo pa lahko oziroma mora opraviti izključno upravljavec osebnih podatkov, ki nosi tudi odgovornost za tovrstno opravljeno presojo. IP v okviru neobvezujočega mnenja prav tako ne more presojati ustreznosti določene rešitve z vidika skladnosti z obstoječimi predpisi s področja varstva osebnih podatkov. IP tako ne more konkretno dogovarjati na posamezna vaša vprašanja, poleg tega so številna od teh vprašanj zelo splošna in premalo jasna. Presojo o ustreznosti lahko izvede le v okviru konkretnega inšpekcijskega postopka. V nadaljevanju IP zato podaja splošna pojasnila, na podlagi katerih lahko tisti, ki podatke obdeluje, ugotavlja skladnost svojega ravnanja s predpisi s področja varstva osebnih podatkov.

IP uvodoma poudarja tudi, da je za vsako obdelavo osebnih podatkov treba zagotoviti ustrezno pravno podlago. V nasprotnem primeru osebnih podatkov ni dovoljeno obdelovati (pojem obdelave pomeni vsako dejanje ali niz dejanj, ki se izvaja v zvezi z osebnimi podatki ali nizi osebnih podatkov z avtomatiziranimi sredstvi ali brez njih, kot je zbiranje, beleženje, urejanje, strukturiranje, shranjevanje, prilagajanje ali spreminjanje, priklic, vpogled, uporaba, razkritje s posredovanjem, razširjanje ali drugačno omogočanje dostopa, prilagajanje ali kombiniranje, omejevanje, izbris ali uničenje). To velja tako za obdelave znotraj upravljavca (v konkretnem primeru visokošolskih zavodov) kot tudi razkrivanje ali posredovanje osebnih podatkov drugim subjektom (npr. za potrebe zunanjega nadzora).

IP uvodoma pojasnjuje, da pojma dnevnik obdelave iz 22. člena ZVOP-2 nikakor ne gre enačiti z evidenco dejavnosti obdelave iz 30. člena Splošne uredbe. ZVOP-2 v 22. členu določa obveznost vodenja dnevnika obdelave, njegovo vsebino, namen uporabe in rok hrambe. Dnevniki obdelave so namenjeni zagotavljanju t.i. sledljivosti (revizijski sledi) dejanj obdelave osebnih podatkov v realnem času, ki omogočajo kasnejšo analizo v primeru ugotavljanja zakonitosti obdelave, zagotavljanje celovitosti in varnosti podatkov ter za odpravljanje napak v delovanju informacijskega sistema. Zagotavljati morajo (najmanj) vrsto dejanja obdelave (sem spadajo tudi vpogledi), datum in čas obdelave, identifikacijo osebe, ki je izvedla dejanje obdelave, ter identifikacijo uporabnikov osebnih podatkov, da je mogoče naknadno ugotoviti točno identiteto teh oseb. Vsak posamezni upravljavec pa lahko ob upoštevanju ocene učinka določi dodatne vsebine dnevnika obdelave. Upravljavec in obdelovalec nadzornemu organu ali drugemu zakonsko določenemu pristojnemu organu na njegovo zahtevo omogočita dostop do dnevnika obdelave (četrti odstavek 22. člena ZVOP-2).

22. člen ZVOP-2 tako določa, da upravljavci po tem zakonu zaradi učinkovitejšega izvajanja 2. in 3. oddelka IV. poglavja Splošne uredbe vodijo dnevnik obdelave:

1. kadar se v avtomatiziranih sistemih obdelave osebnih podatkov izvajajo obsežne obdelave posebnih vrst osebnih podatkov, ali

2. kadar gre za redno in sistematično spremljanje posameznikov, ali

3. kadar je z oceno učinka ugotovljeno tveganje, ki ga je mogoče učinkovito upravljati z vodenjem dnevnika obdelave, ali

4. če tako določa zakon.

IP meni, da je vodenje dnevnika obdelave v teh primerih obvezno. Ker pa je podrobnejše organizacijske, tehnične in logično tehnične postopke ter ukrepe za varnost osebnih podatkov v sistemskem zakonu zelo težko določiti, saj so odvisni od različnih okoliščin, v katerih se obdelujejo posamezni osebni podatki, in ker Splošna uredba ukrepov za zagotovitev varnosti obdelave ne predpisuje taksativno, lahko upravljavci dnevnike obdelave vodijo tudi na podlagi ocene tveganj iz 32. člena Splošne uredbe, seveda pod pogojem, da gre za ustrezen ukrep. IP dodaja še, da morajo v skladu s prehodno določbo 120. člena ZVOP-2 upravljavci vodenje dnevnikov obdelave uskladiti z 22. členom ZVOP-2 v dveh letih od uveljavitve tega zakona. Seveda pa morajo upravljavci ne glede na to še vedno izvajati svoje obveznosti v zvezi z varnostjo obdelave osebnih podatkov v skladu z 32. členom Splošne uredbe, ki prav tako vključujejo obveznost zagotavljanja sledljivosti obdelav, če to zahtevajo tveganja konkretne obdelave.

Evidenca dejavnosti obdelave iz 30. člena Splošne uredbe je dokument, ki ga morajo voditi upravljavci in obdelovalci osebnih podatkov z namenom, da dokažejo svojo skladnost s predpisi na področju varstva osebnih podatkov. Evidence dejavnosti obdelave je treba voditi v pisni (vključno z elektronsko) obliki tako, da jih je mogoče na zahtevo IP predložiti v pregled. Vsebina takšne evidence je za upravljavce predpisana v prvem odstavku, za obdelovalce pa v drugem odstavku 30. člena Splošne uredbe.

Evidenca dejavnosti obdelave je v primerjavi z dnevnikom obdelave torej širši dokument, ki zagotavlja celovit pregled nad dejavnostmi obdelave osebnih podatkov na strani tistega, ki obdeluje osebne podatke (kdo, kaj, zakaj, kako itd.), medtem ko je dnevnik obdelave orodje, ki se uporablja v realnem času za spremljanje določenih dejavnosti obdelave. Glede na to IP meni, da se z dnevnikom obdelave ne more nadomestiti evidenca dejavnosti obdelave, saj gre za dve različni obveznosti.

Več o evidenci dejavnosti obdelave si lahko preberete na spletni strani IP: https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/ključna-področja-uredbe/evidenca-dejavnosti-obdelave, več o dnevniku obdelave pa na: https://www.ip-rs.si/varstvo-osebnih-podatkov/obveznosti-upravljavcev/zavarovanje-oz-varnost-osebnih-podatkov.

IP pojasnjuje, da ZVOP-2 v prvem odstavku 22. člena določa, da zaradi učinkovitejšega izvajanja 2. in 3. oddelka IV. poglavja Splošne uredbe upravljavci po tem zakonu vodijo dnevnik obdelave, kadar se v avtomatiziranih sistemih obdelave osebnih podatkov izvajajo obsežne obdelave posebnih vrst osebnih podatkov, ali kadar gre za redno in sistematično spremljanje posameznikov, ali kadar je z oceno učinka ugotovljeno tveganje, ki ga je mogoče učinkovito upravljati z vodenjem dnevnika obdelave, ali če tako določa zakon, o naslednjih dejanjih obdelave osebnih podatkov: zbiranje; spreminjanje; vpogled; razkritje, vključno s prenosi; izbris; druga dejanja obdelave, ki jih določa zakon. Pojma rednega in sistematičnega spremljanja posameznikov ZVOP-2 nadalje ne opredeljuje. Iz obrazložitve vladnega gradiva sicer izhaja, da se v okviru tega pojma posebej nadzira obdelave osebnih podatkov v zvezi s profiliranjem posameznika. Prav tako pojma rednega in sistematičnega spremljanja posameznikov ne opredeljuje niti Splošna uredba, je pa v njeni uvodni izjavi št. 24 omenjen pojem „spremljanja vedenja posameznikov, na katere se nanašajo osebni podatki“, ki jasno vključuje vse oblike sledenja posameznikom in oblikovanja njihovega profila na internetu, tudi zaradi oglaševanja na podlagi vedenjskih vzorcev. Ob tem IP dodaja, da pojem spremljanja ni omejen na spletno okolje, zato bi bilo treba sledenje na internetu obravnavati le kot primer spremljanja vedenja posameznikov, na katere se nanašajo osebni podatki.

Pojem rednega in sistematičnega spremljanja se v okviru Splošne uredbe pojavlja tudi v kontekstu pooblaščenih oseb za varstvo podatkov (ang. DPO). V skladu s prvim odstavkom 37. člena namreč upravljavec in obdelovalec imenujeta pooblaščeno osebo za varstvo podatkov med drugim tudi, kadar temeljne dejavnosti upravljavca ali obdelovalca zajemajo dejanja obdelave, pri katerih je treba zaradi njihove narave, obsega in/ali namenov posameznike, na katere se nanašajo osebni podatki, redno in sistematično obsežno spremljati. Evropski nadzorni organi za varstvo osebnih podatkov so pripravili podrobne smernice, ki so v pomoč pri presojanju položaja pooblaščene osebe. Iz njih izhaja, da pojem »redno« pomeni eno ali več od naslednjega: poteka ali nastopa v določenih intervalih in določenem obdobju; izvaja se večkrat ali se ponavlja ob določenem času; izvaja se stalno ali periodično. Pojem sistematično pa pomeni eno ali več od naslednjega: izvaja se v skladu s sistemom; je vnaprej določeno, organizirano ali metodično; poteka kot del splošnega načrta zbiranja podatkov; izvaja se kot del strategije.

Omenjene smernice določajo tudi, da primeri dejavnosti, ki se lahko štejejo za redno in sistematično spremljanje posameznikov, na katere se nanašajo osebni podatki: upravljanje telekomunikacijskega omrežja, zagotavljanje telekomunikacijskih storitev, ponovno ciljanje prek e-pošte, dejavnosti trženja, ki temeljijo na podatkih, oblikovanje profilov in točkovanje za namene ocene tveganja (npr. zaradi kreditnega točkovanja, določitve zavarovalnih premij, preprečevanja goljufij, odkrivanja pranja denarja), sledenje geografskemu položaju, na primer z mobilnimi napravami, programi zvestobe, oglaševanje na podlagi vedenjskih vzorcev, spremljanje podatkov o dobrem počutju, telesni pripravljenosti in zdravju prek nosljivih naprav, sistem televizije zaprtega kroga, povezane naprave, npr. pametni števci, pametni avtomobili, avtomatizacija doma itd. Glede obsežne obdelave IP pojasnjuje, da Splošna uredba ne opredeljuje, kaj pomeni obsežna obdelava, niti ne določa nikakršnih številčnih kriterijev v zvezi s količino obdelanih podatkov niti v zvezi s številom zadevnih posameznikov. Navedene smernice pa priporočajo, naj se pri določanju, ali se obdelava izvaja v velikem obsegu, v vsakem primeru upoštevajo zlasti naslednji dejavniki:

-število zadevnih posameznikov, na katere se nanašajo osebni podatki – bodisi kot določeno število ali delež ustrezne populacije;

-količina podatkov in/ali obseg različnih podatkovnih postavk, ki se obdelujejo;

-trajanje ali stalnost dejavnosti obdelave podatkov in

-geografska razsežnost dejavnosti obdelave.

Iz navedenega po mnenju IP izhaja, da bi obdelave osebnih podatkov študentov, ki jih navajate v vašem zaprosilu za mnenje, lahko spadale pod okvir rednega in sistematičnega spremljanja posameznikov. Ob tem IP ponavlja, da dokončno oceno lahko poda šele v konkretnem inšpekcijskem ali drugem upravnem postopku.

IP pojasnjuje tudi, da avtomatizirani sistemi predstavljajo sisteme, ki temeljijo na obdelavi osebnih podatkov z avtomatiziranimi sredstvi, avtomatizirano sprejemanje odločitev pa pomeni izključno avtomatizirano odločanje izključno s tehnološkimi sredstvi brez človekovega posredovanja, ki lahko temelji na profilih, ni pa nujno. Za človekovo posredovanje se šteje le nadzor nad odločitvijo, ki ima dejansko nek pomen in je izveden s strani nekoga, ki ima avtoriteto in pristojnost, da odločitev tudi spremeni. Posebne vrste osebnih podatkov (prej veljavni ZVOP-1 jih je imenoval občutljivi osebni podatki) predstavljajo tisti osebni podatki, ki razkrivajo rasno ali etnično poreklo, politično mnenje, versko ali filozofsko prepričanje ali članstvo v sindikatu, genetski podatki, biometrični podatki za namene edinstvene identifikacije posameznika, podatki v zvezi z zdravjem ali podatki v zvezi s posameznikovim spolnim življenjem ali spolno usmerjenostjo.

IP nadalje pojasnjuje, da je Zakon o visokem šolstvu (ZVis) področni predpis, ki ureja statusna vprašanja visokošolskih zavodov, pogoje za opravljanje visokošolske dejavnosti, opredeljuje javno službo v visokem šolstvu in ureja način njenega financiranja. V X. poglavju ureja tudi evidence z osebnimi podatki študentov, ki jih vodijo visokošolski zavodi, ter (med drugim) določa tudi njihovo vsebino in rok hrambe podatkov v teh evidencah. Sprejem ZVOP-2 na veljavnost teh določb nima nikakršnega vpliva in tako roki hrambe osebnih podatkov, določeni v ZVis, veljajo tudi po sprejemu ZVOP-2.

Videonadzor ureja 3. poglavje II. dela ZVOP-2 (76.-80. člen). V tem okviru ureja splošne določbe o videonadzoru in varstvu osebnih podatkov, videonadzor dostopa v uradne službene in poslovne prostore, videonadzor znotraj delovnih prostorov, videonadzor v prevoznih sredstvih, namenjenih javnemu potniškemu prometu in videonadzor javnih površin. IP ob tem opozarja, da za izvajanje videonadzora prvenstveno veljajo iste določbe Splošne uredbe kot za obdelavo osebnih podatkov na splošno, določbe ZVOP-2 pa urejajo posamezne posebnosti glede izvajanja videonadzora. Videonadzor je tako dopusten pod pogojem, da za izvajanje takšnega videonadzora obstaja katera od pravnih podlag iz prvega odstavka 6. člena Splošne uredbe. Ta določa, da je obdelava osebnih podatkov zakonita le in kolikor je izpolnjen vsaj eden od naslednjih pogojev:

(a) posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov;

(b) obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe;

(c) obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca;

(d) obdelava je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe;

(e) obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu;

(f) obdelava je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok.

Glede obdelave osebnih podatkov zaposlenih IP pojasnjuje, da je, čeprav ZVOP-2 razlikuje med javnim in zasebnim sektorjem, področje delovnega prava specialno urejeno za oba sektorja v posebnih zakonih, predvsem v Zakonu o delovnih razmerjih (ZDR-1; Uradni list RS, št. 21/13, 78/13 – popr., 47/15 – ZZSDT, 33/16 – PZ-F, 52/16, 15/17 – odl. US, 22/19 – ZPosS, 81/19, 203/20 – ZIUPOPDVE, 119/21 – ZČmlS-A, 202/21 – odl. US, 15/22, 54/22 – ZUPŠ-1) in Zakonu o evidencah na področju dela in socialne varnosti (ZEPDSV; Uradni list RS, št. 40/06). Zaradi izrazite neenakosti moči strank v delovnopravnih razmerjih oziroma zaradi varstva delavca, ki je v razmerju do delodajalca zagotovo šibkejša stranka, je zakonodajalec to področje uredil strožje, zaradi česar na tem področju praviloma niti v zasebnem sektorju ne dopušča avtonomije strank v smislu, da bi delodajalec lahko brez podlage v zakonu od delavca zahteval katerekoli osebne podatke ali jih obdeloval na drugi pravni podlagi (npr. privolitev, pogodba, …). Delavec lahko namreč tudi na delovnem mestu utemeljeno pričakuje določeno stopnjo zasebnosti.

ZDR-1 v 48. členu določa, da se lahko osebni podatki delavcev zbirajo, obdelujejo, uporabljajo in posredujejo tretjim osebam samo, če je to določeno s tem ali drugim zakonom ali če je to potrebno zaradi uresničevanja pravic in obveznosti iz delovnega razmerja ali v zvezi z delovnim razmerjem. Nadalje v tretjem odstavku 48. člena določa, da se morajo osebni podatki delavcev, za zbiranje katerih ne obstoji več zakonska podlaga, takoj zbrisati in prenehati uporabljati.

Upoštevajoč določbe ZDR-1 lahko torej delodajalec osebne podatke delavca obdeluje samo, če ima za to podlago v zakonu ali če je to potrebno zaradi uresničevanja pravic in obveznosti iz delovnega razmerja ali v zvezi z delovnim razmerjem. Pri tem so mišljene pravic in obveznosti obeh, tako delavca kot delodajalca. Slednji mora torej izkazati, da je fotografiranje in javna objava fotografije delavca potrebna zaradi uresničevanja pravic in obveznosti iz delovnega razmerja, ali v zvezi z delovnim razmerjem, sicer tega od delavca ne sme zahtevati. Ob tem IP opozarja na načelo najmanjšega obsega podatkov, ki določa, da morajo biti pod pogojem, da obstaja pravna podlaga, osebni podatki, ki se obdelujejo, ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo. Navedeno načelo pomeni, da je potrebno obdelovati samo toliko osebnih podatkov, kolikor je nujno potrebno za dosego zakonitega namena obdelave.

Ob tem IP izpostavlja, da je obdelava delavčevih osebnih podatkov na podlagi njegove osebne privolitve dopustna le izjemoma pod pogojem, da njena zavrnitev nima nikakršnih posledic na delovno razmerje oziroma na delavčev pravni položaj. Namreč privolitev zaposlenega bi zaradi očitno neenakopravnega položaja delodajalca in delavca po mnenju IP težko šteli za prostovoljno v smislu Splošne uredbe, ki daje posameznikom večjo moč odločanja, komu in pod kakšnimi pogoji dovolijo obdelavo svojih osebnih podatkov. IP je pripravil podrobno razlago glede veljavne privolitve:

https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/kljucna-podrocja-uredbe/privolitev/

V zvezi z dogodki, ki bi jih organizirali, IP pojasnjuje, da je pripravil Smernice za organizatorje dogodkov, ki vsebujejo številne informacije o tem, kako ustrezno obdelovati osebne podatke v tem okviru. Smernice so dostopne na spletni strani IP:

https://www.ip-rs.si/fileadmin/user_upload/Pdf/smernice/Smernice%20za%20organizatorje%20dogodkov_2.0%20(ZVOP-2).pdf

Ob tem IP dodaja, da tretji odstavek 93. člena ZVOP-2 določa, da sme oseba javnega ali zasebnega sektorja za namene obveščanja javnosti obdelovati, vključno z objavo, osebna imena, nazive, fotografije in videoposnetke posameznikov, pridobljene na dogodkih, ki jih v okviru svojih nalog, pristojnosti ali dejavnosti organizira ta oseba, če posameznik te obdelave ni prepovedal. Če torej na dogodku, ki ga organizirate (npr. seminar, konferenca ipd.) zajamete fotografije udeležencev ali pa dogodek posnamete, lahko to tudi objavite, ob tem pa morate paziti, da:

-so bili posamezniki pred tem ustrezno obveščeni o obdelavi osebnih podatkov;

-gre za namen obveščanja javnosti;

-to ne velja, če so posamezniki takšno uporabo ali objavo prepovedali.

Če ne gre za situacijo, ki jo obravnava 93. člen ZVOP-2 (npr. da gre za druge vrste osebnih podatkov, za drugačne vrste dogodkov ali namene) pa je treba za obdelavo osebnih podatkov pri organizaciji dogodkov zagotoviti ustrezno pravno podlago v skladu z zgoraj opisanim 6. členom Splošne uredbe.

IP dodaja, da je glede številnih vprašanj iz vašega zaprosila za mnenje (med drugim tudi glede snemanja izpitov) izdal številna mnenja, ki so dostopna na spletni strani IP:

https://www.ip-rs.si/mnenja-zvop-2/

Iz teh mnenj izhaja tudi, da samo snemanje izpitov načeloma ni dovoljeno in bi morda lahko prišlo v poštev le v res posebnih oziroma izjemnih okoliščinah.

IP sklepno ponovno poudarja, da je za vsako obdelavo osebnih podatkov treba zagotoviti ustrezno pravno podlago. Odločitev glede njene izbire mora opraviti izključno upravljavec osebnih podatkov (v konkretnem primeru visokošolski zavod), ki nosi tudi odgovornost za tovrstno opravljeno presojo.

IP na koncu dodaja še, da je v sodelovanju z Ministrstvom RS za pravosodje pripravil in izvedel sklop štirih brezplačnih seminarjev za javni sektor o novem ZVOP-2 po njegovem sprejemu. IP bo nadaljeval s spodbujanjem ozaveščenosti in razumevanja upravljavcev in javnosti o tveganjih, pravilih, zaščitnih ukrepih in pravicah v zvezi z obdelavo ter v ta namen tudi v bodoče izvajal izobraževanja in usposabljanja, njegove nadaljnje aktivnosti po posameznih področjih pa so odvisne tudi od interesa posameznih zavezancev s področja varstva osebnih podatkov.

Lepo vas pozdravljamo.

Pripravil

Matej Sironič, Svetovalec pooblaščenca za varstvo osebnih podatkov

Mojca Prelesnik, univ. dipl. prav., Informacijska pooblaščenka