Ustreznost obdelave OP v okviru projektne naloge

Datum

05.08.2024

Številka

07120-1/2024/281

Kategorije

Informiranje posameznika, Posredovanje osebnih podatkov, Statistika in raziskovanje

Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaše zaprosilo za mnenje glede obdelave osebnih podatkov pri izvajanju raziskave – projektne naloge.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba o varstvu podatkov), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, 177/20, v nadaljevanju: ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju: ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.

IP ne nudi storitve pregleda ali vnaprejšnje odobritve različnih obrazcev, storitev, aplikacij ali drugih rešitev, ki jih uvajajo posamezni upravljavci, z vidika njihove skladnosti z veljavnimi predpisi.

Obrazložitev

IP uvodoma poudarja, da lahko podaja neobvezujoča mnenja in pojasnila, ne sme pa izven konkretnih nadzornih ali drugih upravnih postopkov preverjati primernosti izbrane pravne podlage ali namenov oziroma obsega obdelave osebnih podatkov v konkretnem primeru. IP tako ne nudi storitve pregleda ali vnaprejšnje odobritve različnih obrazcev, storitev, aplikacij, ocen ali drugih rešitev, ki jih uvajajo posamezni upravljavci, z vidika njihove skladnosti z veljavnimi predpisi. IP kot nadzorni organ na področju varstva osebnih podatkov v okviru neobvezujočega mnenja tako ne more presojati skladnosti izbrane pravne podlage ter metodologije oziroma predvidenega načina izvedbe projektne naloge, ki ste ju opisali v vašem zaprosilu za mnenje.

IP splošno pojasnjuje, da mora vsaka obdelava osebnih podatkov potekati transparentno in skladno z določbami Splošne uredbe. Ta v prvem odstavku 6. člena določa, da je obdelava osebnih podatkov zakonita le in kolikor je za konkretni namen obdelave izpolnjen eden od naslednjih pogojev:

a) posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov;

(b) obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe;

(c) obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca;

(d) obdelava je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe;

(e) obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu;

(f) obdelava je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok.

IP pojasnjuje, da bi eventualno morda lahko prišle v poštev določbe 68. do 70. člena ZVOP-2, če gre za obdelave za namene raziskovanja. V skladu z drugim, tretjim in četrtim odstavkom 69. člena ZVOP-2 je sicer posredovanje osebnih podatkov za raziskovalne namene dopustno, če so kumulativno izpolnjeni naslednji pogoji:

a. gre za obdelavo osebnih podatkov v raziskovalne namene;

b. obdelavo podatkov izvaja raziskovalna organizacija ali raziskovalec v smislu 68. člena ZVOP-2, ki izkazuje izpolnjevanje pogojev glede uporabe etičnih načel in metodologije s področja raziskovanja;

c. prošnji za podatke je priložen opis raziskave in glede na okoliščine konkretnega primera tudi ocena učinka in zaključki posvetovanja z nadzornim organom;

d. ni podan noben izmed primerov iz četrtega odstavka 69. člena ZVOP-2 za zavrnitev posredovanja podatkov.

Splošna uredba ne ureja natančno, katere vrste obdelav podatkov pomenijo obdelavo v raziskovalne namene. Uvodna opomba št. 159 Splošne uredbe določa, da bi bilo treba obdelavo osebnih podatkov v znanstvenoraziskovalne namene razlagati široko, tako da vključuje tudi tehnološki razvoj, predstavitvene dejavnosti, temeljne raziskave, uporabne raziskave in zasebno financirane raziskave, pa tudi študije, izvedene v javnem interesu na področju javnega zdravja.

ZVOP-2 v prvem odstavku 68. člena uvaja dodatni pogoj glede dostopa do podatkov v raziskovalne namene, saj se ureditev iz 69. in 70. člena uporablja le za organizacije in posameznike, ki pri svojem delovanju uporabljajo etična načela in metodologijo s področja raziskovanja. Na izjemo glede obdelave osebnih podatkov v raziskovalne namene se tako lahko sklicujejo le organizacije (na primer univerze in inštituti) in posamezniki (na primer doktorski študenti), ki pri svojem delu sledijo uveljavljenim metodološkim in etičnim standardom znanstvenega raziskovanja, kar lahko glede na okoliščine konkretnega primera dokazujejo na različne načine, na primer s predložitvijo mnenja etične komisije, dokazilom o tem, da organizacijo zavezujejo določena zunanja ali notranja pravila na tem področju, s predložitvijo ustreznega protokola raziskave ali z zavezujočo enostransko izjavo. Vendar pa IP izpostavlja, da gre za izjemo glede dostopa do podatkov, zato jo je treba razlagati ozko.

Posredovanje podatkov ni dolžnost upravljavca in jo lahko v določenih primerih tudi zavrne, na primer če raziskovalna organizacija zaprosilu za podatke ni priložila (ustreznega) opisa raziskave ali če oceni, da zahtevani osebni podatki niso primerni za izvedbo raziskave ali da nameni oziroma cilji raziskave ne upravičujejo posega v pravice posameznikov (vsi razlogi za zavrnitev so navedeni v četrtem odstavku 69. člena ZVOP-2). Presoja izpolnjenosti pogojev iz drugega, tretjega in četrtega odstavka 69. člena ZVOP-2 je v pristojnosti upravljavcev, ki so tudi odgovorni za zakonitost posredovanja osebnih podatkov. V petem odstavku 69. člena ZVOP-2 je določeno, da upravljavec in izvajalec raziskave posameznikov, na katere se nanašajo podatki, ne obveščata o obdelavah njihovih osebnih podatkov, razen če drug zakon določa drugače. Upravljavec osebnih podatkov o posredovanju osebnih podatkov izvajalcu raziskave obvesti javnost z objavo na svojih spletnih straneh. Objava obsega navedbo naslova raziskave, namene oziroma cilje raziskave, navedbo kategorij posameznikov in vrst osebnih podatkov, posredovanih izvajalcu raziskave.

IP splošno pojasnjuje, da je treba konkretno opredeliti podatkovne tokove, katere vrste obdelav in podatkov katerih kategorij posameznikov naj bi se izvajale in za katere konkretne namene (glede na posamezne vrste podatkov), kdo so upravljavci, kako bi pridobili te podatke in od koga ter kdo in kako bi tem posameznikom zagotovil ustrezne informacije o obdelavi. Prav tako morate glede na to opredeliti vloge posameznih vključenih organizacij v procesu zbiranja in obdelave (upravljavci, pogodbeni obdelovalci, skupni upravljavci) ter pravne podlage za zbiranje, ukrepe varovanja podatkov, rok njihove hrambe in podobno. IP posebej opozarja tudi na zahtevo po vgrajenem in privzetem varstvu osebnih podatkov (25. člen Splošne uredbe o varstvu podatkov). Ta terja, da se tako v sami zasnovi projekta (vgrajeno), kot tudi pri njegovi uporabi (privzeto), spoštuje načela varstva osebnih podatkov iz 5. člena Splošne uredbe o varstvu podatkov (npr. načelo najmanjšega obsega podatkov, načelo omejitve shranjevanja, itd.).

IP nadalje pojasnjuje, da mora upravljavec (delodajalec) pred uvedbo GPS tehnologije presoditi dopustnost in utemeljenost namena, zaradi katerega želi uvesti takšno tehnologijo. Poleg tega mora presoditi tudi njegovo primernost in sorazmernost; ali bi isti namen lahko zadovoljivo dosegli tudi z uvedbo ukrepov, ki manj posegajo v zasebnost, svobodo gibanja in dostojanstvo zaposlenih. Pred uvedbo GPS tehnologije je upravljavec dolžan zaposlene seznaniti s tem, da se v njihovih vozilih za določen namen (ki ga opredeli upravljavec) uporablja GPS tehnologija, jih seznaniti z napravo, načinom njenega delovanja, namenom njene namestitve, obsegom zbranih osebnih podatkov, rokom njihove hrambe, primeri in nameni, za katere bodo zbrani podatki uporabljeni, ter drugimi informacijami o obdelavi v skladu s 13. členom Splošne uredbe. Najbolj primerno je, da upravljavec v ustreznem organizacijskem aktu predpiše ustrezna navodila, postopke in ukrepe. Z vsebino takšnega akta morajo biti seznanjeni vsi posamezniki, v katerih vozila se bo namestila takšna tehnologija.

Ob tem mora poskrbeti tudi za druge obveznosti (zavarovanje zbirke osebnih podatkov, ki nastane na podlagi uporabe GPS tehnologije, izvedba ocene učinka, …). IP pojasnjuje tudi, da je več informacij o varstvu osebnih podatkov pri uporabi GPS naprav na voljo tudi v smernicah, ki jih je pripravil IP in so dostopne na spletni strani IP: https://www.ip-rs.si/prirocniki_smernice/Smernice_o_ocenah_ucinka.pdf.

Glede vašega vprašanja o uporabi zasebnega mobilnega telefona IP splošno pojasnjuje, da glede obdelave osebnih podatkov delavcev veljajo načeloma enaka pravila za delodajalce v zasebnem in javnem sektorju, pri čemer so za ugotavljanje zakonitosti konkretne obdelave pomembni posamezni področni predpisi, zlasti Zakon o delovnih razmerjih (ZDR-1; Uradni list RS, št. 21/13, 78/13 – popr., 47/15 – ZZSDT, 33/16 – PZ-F, 52/16, 15/17 – odl. US, 22/19 – ZPosS, 81/19, 203/20 - ZIUPOPDVE, 119/21 - ZČmlS-A, 202/21 - odl. US, 15/22, 54/22 – ZUPŠ-1, 114/23, 136/23 - ZIUZDS) in Zakon o evidencah na področju dela in socialne varnosti (ZEPDSV; Uradni list RS, št. 40/06, 50/23). ZDR-1 v 48. členu določa, da se lahko osebni podatki delavcev zbirajo, obdelujejo, uporabljajo in posredujejo tretjim osebam samo, če je to določeno s tem ali drugim zakonom ali če je to potrebno zaradi uresničevanja pravic in obveznosti iz delovnega razmerja ali v zvezi z delovnim razmerjem. Nadalje v tretjem odstavku 48. člena določa, da se morajo osebni podatki delavcev, za zbiranje katerih ne obstoji več zakonska podlaga, takoj zbrisati in prenehati uporabljati.

Upoštevajoč določbe ZDR-1 lahko torej delodajalec osebne podatke delavca obdeluje samo, če ima za to podlago v zakonu ali če je to potrebno zaradi uresničevanja pravic in obveznosti iz delovnega razmerja ali v zvezi z delovnim razmerjem. Pri tem so mišljene pravic in obveznosti obeh, tako delavca kot delodajalca. Delodajalec mora natančno izkazati, zakaj je potrebna takšna obdelava osebnih podatkov delavca. Pri tem mora delodajalec v skladu s 46. členom ZDR-1 varovati in spoštovati delavčevo osebnost ter upoštevati in ščititi delavčevo zasebnost. Delodajalec mora torej paziti tudi na spoštovanje zasebnosti in dostojanstva delavca, odgovornost delodajalca pa narašča z intenzivnostjo posega v zasebnost.

Lepo vas pozdravljamo.

Pripravil

Matej Sironič, Svetovalec pooblaščenca za varstvo osebnih podatkov

dr. Jelena Virant Burnik, Informacijska pooblaščenka