Uveljavljanje ZVOP-2

Datum

15.02.2023

Številka

07121-1/2023/190

Kategorije

Delovna razmerja, Video in avdio nadzor

Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaše zaprosilo za mnenje glede praktičnega uveljavljanja novega Zakona o varstvu osebnih podatkov (ZVOP-2).

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22; v nadaljevanju: ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, 51/07 – ZustS-A; ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

Obdelave osebnih podatkov vaših zaposlenih, ki jih navajate v vašem zaprosilu za mnenje, po mnenju IP najverjetneje ne spadajo pod okvir rednega in sistematičnega spremljanja posameznikov. Ob tem IP poudarja, da dokončno oceno lahko poda šele v konkretnem inšpekcijskem ali drugem upravnem postopku.

Videonadzor javnih površin je urejen v 80. členu ZVOP-2, kjer so jasno določeni pogoji, v skladu s katerimi se takšen videonadzor lahko izvaja.

Obdelava oziroma dostop do osebnih podatkov znotraj upravljavca je načeloma stvar odločitve vodstva ter posledično notranje organizacije upravljavca in ureditve v internih aktih. Upravljavec osebnih podatkov mora pri obdelavi osebnih podatkov upoštevati temeljna načela iz 5. člena Splošne uredbe. Ob tem mora upravljavec z ustreznimi tehničnimi in organizacijskimi ukrepi poskrbeti tudi za ustrezno varnost osebnih podatkov v skladu z določili 24. in 32. člena Splošne uredbe.

Obrazložitev

IP uvodoma poudarja, da v okviru neobvezujočega mnenja ne more podajati celovite ocene predvidenih dejanj obdelave osebnih podatkov v konkretnem primeru. Dokončno presojo zakonitosti obdelave osebnih podatkov lahko IP poda le v konkretnem inšpekcijskem ali drugem upravnem postopku. Odgovornost za zakonito in pošteno obdelavo osebnih podatkov je na upravljavcu osebnih podatkov.

IP pojasnjuje, da ZVOP-2 v prvem odstavku 22. člena določa, da zaradi učinkovitejšega izvajanja 2. in 3. oddelka IV. poglavja Splošne uredbe upravljavci po tem zakonu vodijo dnevnik obdelave, kadar se v avtomatiziranih sistemih obdelave osebnih podatkov izvajajo obsežne obdelave posebnih vrst osebnih podatkov, ali kadar gre za redno in sistematično spremljanje posameznikov, ali kadar je z oceno učinka ugotovljeno tveganje, ki ga je mogoče učinkovito upravljati z vodenjem dnevnika obdelave, ali če tako določa zakon, o naslednjih dejanjih obdelave osebnih podatkov: zbiranje; spreminjanje; vpogled; razkritje, vključno s prenosi; izbris; druga dejanja obdelave, ki jih določa zakon. Pojma rednega in sistematičnega spremljanja posameznikov ZVOP-2 nadalje ne opredeljuje. Iz obrazložitve vladnega gradiva sicer izhaja, da se v okviru tega pojma posebej nadzira obdelave osebnih podatkov v zvezi s profiliranjem posameznika. Prav tako pojma rednega in sistematičnega spremljanja posameznikov ne opredeljuje niti Splošna uredba, je pa v njeni uvodni izjavi št. 24 omenjen pojem „spremljanja vedenja posameznikov, na katere se nanašajo osebni podatki“, ki jasno vključuje vse oblike sledenja posameznikom in oblikovanja njihovega profila na internetu, tudi zaradi oglaševanja na podlagi vedenjskih vzorcev. Ob tem IP dodaja, da pojem spremljanja ni omejen na spletno okolje, zato bi bilo treba sledenje na internetu obravnavati le kot primer spremljanja vedenja posameznikov, na katere se nanašajo osebni podatki.

Pojem rednega in sistematičnega spremljanja se v okviru Splošne uredbe pojavlja tudi v kontekstu pooblaščenih oseb za varstvo podatkov (ang. DPO). V skladu s prvim odstavkom 37. člena namreč upravljavec in obdelovalec imenujeta pooblaščeno osebo za varstvo podatkov med drugim tudi, kadar temeljne dejavnosti upravljavca ali obdelovalca zajemajo dejanja obdelave, pri katerih je treba zaradi njihove narave, obsega in/ali namenov posameznike, na katere se nanašajo osebni podatki, redno in sistematično obsežno spremljati. Evropski nadzorni organi za varstvo osebnih podatkov so pripravili podrobne smernice, ki so v pomoč pri presojanju položaja pooblaščene osebe in iz njih izhaja, da pojem „redno“ pomeni eno ali več od naslednjega: poteka ali nastopa v določenih intervalih in določenem obdobju; izvaja se večkrat ali se ponavlja ob določenem času; izvaja se stalno ali periodično. Pojem sistematično pa pomeni eno ali več od naslednjega: izvaja se v skladu s sistemom; je vnaprej določeno, organizirano ali metodično; poteka kot del splošnega načrta zbiranja podatkov; izvaja se kot del strategije.

Omenjene smernice določajo tudi, da primeri dejavnosti, ki se lahko štejejo za redno in sistematično spremljanje posameznikov, na katere se nanašajo osebni podatki: upravljanje telekomunikacijskega omrežja, zagotavljanje telekomunikacijskih storitev, ponovno ciljanje prek e-pošte, dejavnosti trženja, ki temeljijo na podatkih, oblikovanje profilov in točkovanje za namene ocene tveganja (npr. zaradi kreditnega točkovanja, določitve zavarovalnih premij, preprečevanja goljufij, odkrivanja pranja denarja), sledenje geografskemu položaju, na primer z mobilnimi napravami, programi zvestobe, oglaševanje na podlagi vedenjskih vzorcev, spremljanje podatkov o dobrem počutju, telesni pripravljenosti in zdravju prek nosljivih naprav, sistem televizije zaprtega kroga, povezane naprave, npr. pametni števci, pametni avtomobili, avtomatizacija doma itd.

Iz navedenega po mnenju IP izhaja, da obdelave osebnih podatkov vaših zaposlenih, ki jih navajate v vašem zaprosilu za mnenje, najverjetneje ne spadajo pod okvir rednega in sistematičnega spremljanja posameznikov. Ob tem IP ponavlja, da dokončno oceno lahko poda šele v konkretnem inšpekcijskem ali drugem upravnem postopku.

Glede videonadzora IP pojasnjuje, da je videonadzor javnih površin urejen v 80. členu ZVOP-2, kjer so jasno določeni pogoji, v skladu s katerimi se takšen videonadzor lahko izvaja - kadar je to potrebno zaradi obstoja resne in utemeljene nevarnosti za življenje, osebno svobodo, telo ali zdravje ljudi, varnost premoženja upravljavca ali varovanje tajnih podatkov upravljavca ali obdelovalca v prenosu in teh namenov ni mogoče doseči z drugimi sredstvi, ki manj posegajo v pravice iz prvega odstavka 1. člena ZVOP-2. Videonadzor javnih površin je dovoljen tudi za namene varovanja varovanih oseb ter posebnih objektov in okolišev objektov, ki jih varuje policija, Slovenska vojska, pristojni organi za področje varnosti države, pravosodna policija, oziroma varovanja drugih prostorov, zgradb ali območij, ki jih je treba varovati na podlagi zakona, in sicer samo v obsegu in trajanju, potrebnem za doseganje namena. Če navedeni pogoji niso izpolnjeni, se videonadzor javnih površin ne sme izvajati. IP zato svetuje, da v primeru, da ni izpolnjen kateri od navedenih pogojev, prilagodite postavitev konkretne kamere na način, da ne bo snemala javne površine.

IP pojasnjuje še, da je obdelava oziroma dostop do osebnih podatkov znotraj upravljavca načeloma stvar odločitve vodstva ter posledično notranje organizacije upravljavca in ureditve v internih aktih. Upravljavec osebnih podatkov mora pri obdelavi osebnih podatkov upoštevati temeljna načela iz 5. člena Splošne uredbe. V skladu z načelom najmanjšega obsega podatkov iz točke (e) tega člena mora biti obdelava osebnih podatkov (npr. dostopanje zaposlenih do osebnih podatkov) omejena na to, kar je potrebno za namene, za katere se ti podatki obdelujejo. To pomeni, da je pri določanju pravic dostopa treba vzeti v obzir naloge, naravo dela in delovne obveznosti posamičnega zaposlenega. Za posamezno vrsto osebnih podatkov je tako treba pretehtati, kateri izmed zaposlenih se morajo seznaniti s temi podatki glede na namene, za katere se obdelujejo. Če tako posamezni zaposleni, izhajajoč iz pogodbe o zaposlitvi, internih navodil, notranje sistemizacije ali drugih internih aktov, za svoje delo v okviru pristojnosti vaše družbe neizogibno potrebujejo dostop do podatkov, ki jih navajate v vašem zaprosilu za mnenje, je dopustno, da se jim tak dostop omogoči za izvrševanje njihovih delovnih zadolžitev. Ob tem mora upravljavec z ustreznimi tehničnimi in organizacijskimi ukrepi poskrbeti tudi za ustrezno varnost osebnih podatkov v skladu z določili 24. in 32. člena Splošne uredbe.

IP sklepno ponavlja, da v okviru neobvezujočega mnenja ne more konkretno presojati ustreznosti notranje ureditve upravljavca, temveč je naloga upravljavca oziroma njegovega vodstva, da opravi presojo, kdo od zaposlenih utemeljeno potrebuje dostop do določenih osebnih podatkov in na podlagi te ocene ustrezno določi dostopne pravice ter ustrezno poskrbi tudi za zagotavljanje varnosti osebnih podatkov.

Lepo vas pozdravljamo,

Pripravil

Matej Sironič, Svetovalec pooblaščenca za varstvo osebnih podatkov

Mojca Prelesnik, univ. dipl. prav., Informacijska pooblaščenka