Videonadzor na šoli in posodobitev pravilnika

Datum

08.03.2024

Številka

07120-1/2024/94

Kategorije

Video in avdio nadzor, Varnost osebnih podatkov

Informacijski pooblaščenec (v nadaljevanju: IP) je po e-pošti prejel vaše zaprosilo za mnenje v zvezi z videonadzorom na šoli. Navajate, da so kamere že od leta 2007 postavljene na hodnikih, v jedilnici in avli, ob vhodu v šolo in v garderobi (tu so garderobne omarice, kjer se učenci preobujejo), vendar so že več let izklopljene. Leta 2013 ste pripravili Pravilnik o zavarovanju osebnih podatkov. Prosite nas, da vam sporočimo, katere člene bi morali popraviti ter ali bi sploh morali imeti pravilnik. Navajate tudi, da bi želeli v garderobi ponovno aktivirati kamere (zaradi poškodb in uničenja šolskega inventarja) in sprašujete, na kaj morate biti pozorni ter ali zadostuje besedilo 34. člena pravilnika.

* * *

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22, ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A, ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

Za izvajanje videonadzora mora upravljavec zagotoviti primerno pravno podlago skladno z ZVOP-2 oz. Splošno uredbo. Pri izvajanju videonadzora morajo upravljavci izpolniti tudi druge zahteve, določene v ZVOP-2 in Splošni uredbi, med drugim objaviti obvestilo o videonadzoru.

Ne glede na to, da ZVOP-2 izrecno ne zahteva sprejem internega pravilnika, vam njegov sprejem oz. posodobitev priporočamo, saj bo v praksi upravljavec sicer težko dokazal ustrezno raven zagotavljanja varnosti skladno z ZVOP-2 in s Splošno uredbo. Konkretnih določb IP v okviru nezavezujočega mnenja ne more komentirati, zato vam podajamo splošna pojasnila in napotila na gradiva, ki so vam lahko v pomoč.

Obrazložitev

Uvodoma poudarjamo, da IP izven postopka inšpekcijskega nadzora oziroma drugega upravnega postopka konkretnih obdelav osebnih podatkov ne more presojati. Konkretnih določb pravilnika IP v nezavezujočem mnenju ne more komentirati, zato vam v nadaljevanju podajamo splošna pojasnila in napotila.

Poudarjamo, da mora za izvajanje videonadzora obstajati ustrezna pravna podlaga skladno z ZVOP-2 oz. Splošno uredbo. ZVOP-2 poleg splošnih določb o videonadzoru (76. člen) ureja tudi videonadzor dostopa v uradne službene oz. poslovne prostore (77. člen), videonadzor znotraj delovnih prostorov (78. člen), videonadzor v prevoznih sredstvih, namenjenih javnemu potniškemu prometu (79. člen) in videonadzor na javnih površinah (80. člen). V vseh drugih primerih mora obstajati pravna podlaga skladno s prvim odstavkom 6. člena Splošne uredbe:

(a) posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov;

(b) obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe;

(c) obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca;

(d) obdelava je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe;

(e) obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu;

(f) obdelava je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok.

Pri tem opozarjamo, da se točka (f) ne uporablja za obdelavo s strani javnih organov pri opravljanju njihovih nalog.

Glede snemanja šolskih omaric opozarjamo, da deseti odstavek 76. člena ZVOP-2 določa, da videonadzora ni dovoljeno izvajati v dvigalih, sanitarijah, prostorih za preoblačenje, hotelskih sobah in drugih podobnih prostorih, v katerih posameznik utemeljeno pričakuje višjo stopnjo zasebnosti. V kolikor se torej otroci pri garderobnih omaricah, kjer želite uvesti videonadzor, preoblačijo (npr. oblečejo in slečejo svoja oblačila ipd.) je v teh prostorih videonadzor izrecno prepovedan. Tudi če se v tem prostoru zgolj odlagajo vrhnja oblačila, bi za snemanje omaric po mnenju IP morala obstajati ustrezna pravna podlaga. Več o tem lahko preberete v mnenju št. 07120-1/2023/270 z dne 10. 5. 2023.

Pri izvajanju videonadzora mora upravljavec zadostiti tudi drugim zahtevam iz ZVOP-2 oz. Splošne uredbe, npr. o izvajanju videonadzora mora objaviti obvestilo o izvajanju videonadzora (vključno z informacijami o obdelavi osebnih podatkov po 13. členu Splošne uredbe), sprejeti ustrezne ukrepe za zavarovanje osebnih podatkov, voditi dnevnik obdelave ter evidenco dejavnosti obdelave, po potrebi tudi urediti razmerje s pogodbenim obdelovalcem, itd.

Opozarjamo tudi, da je pri resničnih, vendar izklopljenih kamerah vseeno treba spoštovati vse pogoje za zakonito izvajanje videonadzora (teh kamer ne moremo šteti kot t.i. slepe kamere). V primeru, da pravna podlaga za izvajanje videonadzora ne obstaja, vam predlagamo, da te kamere odstranite.

Glede sprejema pravilnika v ZVOP-2 za razliko od ZVOP-1 ni določena izrecna obveznost, da morajo upravljavci v svojih aktih predpisati postopke in ukrepe za zavarovanje osebnih podatkov, vendar mora upravljavec sprejeti primerne ukrepe za zavarovanje osebnih podatkov, skladno z 32. členom Splošne uredbe. Skladno z načelom odgovornosti mora biti tudi zmožen dokazati skladnost s Splošno uredbo. Upravljavec bo tako v praksi težko izkazal ustrezno raven zagotavljanja varnosti, če nima sprejetih in v praksi uveljavljenih konkretnih pravil na tem področju. Zaradi navedenega vam vsekakor priporočamo, da sprejeti pravilnik ustrezno posodobite. V pomoč so vam lahko gradiva IP, v katerih lahko preberete, katere so obveznosti upravljavca po Splošni uredbi oz. ZVOP-2, npr.:

- Ključne novosti ZVOP-2: https://www.ip-rs.si/zakonodaja/zakon-o-varstvu-osebnih-podatkov/zvop-2,

- Varnost osebnih podatkov: https://www.ip-rs.si/varstvo-osebnih-podatkov/obveznosti-upravljavcev/zavarovanje-oz-varnost-osebnih-podatkov,

- Vzpostavitev in izvajanje videonadzora: https://www.ip-rs.si/varstvo-osebnih-podatkov/obveznosti-upravljavcev/vzpostavitev-videonadzora,

- Zagotovite varnost osebnih podatkov: https://upravljavec.si/zagotovite-varnost/,

- Smernice »Zavarovanje osebnih podatkov«: https://www.ip-rs.si/fileadmin/user_upload/Pdf/smernice/Smernice_o_zavarovanju_OP.pdf,

- Smernice glede izvajanja videonadzora: https://www.ip-rs.si/publikacije/priročniki-in-smernice/smernice-po-splošni-uredbi-o-varstvu-podatkov-gdpr/smernice-glede-izvajanja-videonadzora ter

- nezavezujoča mnenja IP, ki so dostopna z iskalnikom na https://www.ip-rs.si/mnenja-zvop-2/, npr. mnenje št. 07121-1/2024/163 z dne 15. 2. 2024 ter št. 07120-1/2023/520 z dne 7. 12. 2023.

V upanju, da vam bodo naša napotila v pomoč, vas lepo pozdravljamo.

Mojca Prelesnik, univ. dipl. prav.,

informacijska pooblaščenka

Pripravil:

Barbara Žurej, univ. dipl. prav., svetovalka pooblaščenca za preventivo