Vprašanja, povezana z ZVOP-2

Datum

16.02.2023

Številka

07121-1/2023/193

Kategorije

Potrjevanje - Certifikacija, Evidence dejavnosti obdelave, Ocene učinkov v zvezi z varstvom podatkov, Pogodbena obdelava podatkov, Video in avdio nadzor, Varnost osebnih podatkov

Informacijski pooblaščenec (v nadaljevanju: IP) je po e-pošti prejel vaša vprašanja, povezana z ZVOP-2. Opisujete, da ima podjetje 10 zaposlenih in obdeluje osebne podatke, ki se nanašajo predvsem na kadrovske podatke, podatke o kandidatih za delo in podatke o obstoječih strankah. Izvajate videonadzor zunanjih poslovnih prostorov za namene varovanja lastnine, podjetje pa namerava občasno tudi snemati svoje zaposlene pri delu na terenu oz. na deloviščih za namen objave promocijskih videov in fotografij na spletnih družbenih omrežjih, spletni strani, na tiskanem koledarju in v medijih. Za potrebe varovanja delovne opreme in strojev na oddaljenih deloviščih, kjer delavci niso stalno prisotni, želi podjetje snemati tudi druge javne površine, kjer se opravlja delo.

Sprašujete naslednje:

1.Ali mora podjetje voditi evidenco oz. dnevnik dejavnosti obdelave podatkov?

2.Ali lahko podjetje znotraj podjetja določi več obdelovalcev podatkov?

3.Ali je potrebna ocena učinka?

4.Ali mora podjetje izdelati kodeks ravnanja in ali je zavezano za potrjevanje skladnosti?

5.Ali mora podjetje na dogodkih, ki jih organizira, pridobiti soglasja udeležencev dogodkov za snemanje, fotografiranje in objavo posnetkov oz. fotografij, če je dogodek povsem odprte narave?

6.Kako je s snemanjem delovišč na javnih krajih, kjer podjetje opravlja delo? Ali lahko snemanje na teh krajih izvaja v lastni organizaciji ali mora za to najeti varnostno službo? Kako je z oceno učinka v tem primeru?

***

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22, ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A, ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

1.Upravljavec mora tudi v primeru, če zaposluje manj kot 250 oseb, voditi evidenco dejavnosti obdelave glede obdelav, ki npr. ne predstavljajo občasne obdelave (npr. glede redne obdelave osebnih podatkov zaposlenih).

2.Upravljavec sam odloča o tem, ali bo za konkretne obdelave osebnih podatkov angažiral enega ali več obdelovalcev osebnih podatkov. Prav tako določi, katere so pooblaščene osebe v podjetju, ki smejo dostopati do osebnih podatkov zaradi opravljanja svojih delovnih nalog in obveznosti.

3.Ocena učinka je obvezna v nekaterih primerih, ki jih lahko preverite v Seznamu dejanj obdelav osebnih podatkov (priloga smernic Ocene učinkov na varstvo osebnih podatkov).

4.Pristop k kodeksom ravnanja oziroma certificiranju nista obvezna, gre za prostovoljni orodji za zagotovitev skladnosti s Splošno uredbo.

5.Za snemanje oz. fotografiranje posameznikov na dogodku mora upravljavec zagotoviti ustrezno pravno podlago, ki je praviloma soglasje, v izjemnem primeru so to lahko tudi zakoniti interesi upravljavca.

6.Snemanje delovnih prostorov je lahko dopustno, če se izvaja za zakonsko določene namene in poteka skladno z določbami Splošne uredbe in ZVOP-2. Zaposlene je dopustno snemati oz. fotografirati za namene objave promocijskih gradiv ipd. zgolj zaradi uresničevanja pravic in obveznosti, ki izhajajo iz delovnega razmerja oziroma iz narave delovnega razmerja ali če delavec poda svoje soglasje.

Obrazložitev

Pri tem IP uvodoma poudarja, da izven postopka inšpekcijskega nadzora oziroma drugega upravnega postopka konkretnih obdelav osebnih podatkov ne more presojati.

Uvodoma pojasnjujemo, da mora za zakonito obdelavo osebnih podatkov obstajati pravna podlaga skladno s prvim odstavkom 6. člena Splošne uredbe, npr.:

(a)posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov;

(b)obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe;

(c)obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca;

(d)obdelava je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe;

(e)obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu;

(f)obdelava je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok.

Ob tem opozarjamo, da se točka (f) ne uporablja za obdelavo s strani javnih organov pri opravljanju njihovih nalog.

a)vodenje evidence oz. dnevnik dejavnosti obdelave podatkov

Kot smo podrobneje pojasnili v mnenju št. 07121-1/2022/950 z dne 5. 9. 2022, upravljavcu ni treba voditi evidence dejavnosti obdelave, če zaposluje manj kot 250 oseb, razen če je verjetno, da obdelava, ki jo izvaja, predstavlja tveganje za pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki, če obdelava ni občasna ali obdelava vključuje posebne vrste podatkov ali osebne podatke v zvezi s kazenskimi obsodbami in prekrški. Če upravljavec redno obdeluje osebne podatke v zvezi z zaposlenimi, tovrstna obdelava ne more šteti za občasno obdelavo in bi morala biti vključena v evidenco dejavnosti obdelave. Upravljavec pa pri tem vodi evidenco dejavnosti obdelave zgolj glede obdelav, ki npr. ne predstavljajo občasne obdelave (npr. glede redne obdelave osebnih podatkov zaposlenih).

V zvezi z novostmi po ZVOP-2 opozarjamo na dolžnost zagotavljanja sledljivosti obdelave, to je vodenja dnevnika obdelave, ki ni vezana na število zaposlenih oseb, temveč skladno s prvim odstavkom 22. člena ZVOP-2 upravljavci vodijo dnevnik obdelave, kadar se v avtomatiziranih sistemih obdelave osebnih podatkov izvajajo obsežne obdelave posebnih vrst osebnih podatkov, ali kadar gre za redno in sistematično spremljanje posameznikov, ali kadar je z oceno učinka ugotovljeno tveganje, ki ga je mogoče učinkovito upravljati z vodenjem dnevnika obdelave, ali če tako določa zakon, o naslednjih dejanjih obdelave osebnih podatkov: zbiranje, spreminjanje, vpogled, razkritje, vključno s prenosi, izbris ter druga dejanja obdelave, ki jih določa zakon. Glede na vaša vprašanja izpostavljamo tudi določbo dvanajstega odstavka 76. člena ZVOP-2, ki določa, da mora upravljavec videonadzornega sistema za vsak vpogled ali uporabo posnetkov zagotoviti možnost naknadnega ugotavljanja, kateri posnetki so bili obdelani, kdaj in kako so bili uporabljeni ali komu so bili posredovani, kdo je izvedel ta dejanja obdelave, kdaj in s kakšnim namenom ali na kateri pravni podlagi. Te podatke hrani v dnevniku obdelave iz 22. člena tega zakona dve leti po koncu leta, ko so nastali.

b)določitev več obdelovalcev podatkov

V zvezi z vašim vprašanjem ni jasno, ali ste dejansko imeli v mislih obdelovalce osebnih podatkov po Splošni uredbi, ali sprašujete katere osebe so pooblaščene za obdelavo osebnih podatkov znotraj upravljavca. Pojasnjujemo, da mora vsak upravljavec glede na konkretne naloge in delovne obveznosti zaposlenih določiti osebe, ki so pooblaščene, da obdelujejo določene osebne podatke. Določiti mora ustrezne dostopne pravice in jih ažurno tudi pregledovati (spremeniti, odvzeti, itd.). Osebne podatke je treba zavarovati tudi pred nepooblaščenim dostopom tretjih oseb.

Angažirate lahko enega ali več obdelovalcev osebnih podatkov, ki obdelujejo podatke v vašem imenu in po vaših navodilih, skladno s pogodbo, ki mora vsebovati minimalne zahteve, določene v 28. členu Splošne uredbe. Več o pogodbeni obdelavi osebnih podatkov lahko preberete na povezavi: https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/ključna-področja-uredbe/pogodbena-obdelava. Na povezavi je pojasnjeno tudi, katere so novosti po ZVOP-2.

c)ocena učinka

Upravljavec pred obdelavo opravi oceno učinka predvidenih dejanj obdelave na varstvo osebnih podatkov, kadar je možno, da bi lahko vrsta obdelave, zlasti z uporabo novih tehnologij, ob upoštevanju narave, obsega, okoliščin in namenov obdelave povzročila veliko tveganje za pravice in svoboščine posameznikov. Ocena učinka je lahko obvezna glede določenih obdelav osebnih podatkov. Katere so te obdelave, lahko preverite na  Seznamu dejanj obdelav osebnih podatkov, za katere velja zahteva po izvedbi ocene učinka v zvezi z varstvom osebnih podatkov po 4. odstavku člena 35 Uredbe (EU) 2016/679, ki je priloga k smernicam Ocene učinkov na varstvo osebnih podatkov in je dostopen na: https://www.ip-rs.si/fileadmin/user_upload/Pdf/Ocene_ucinkov/Seznam_dejanj_obdelav_osebnih_podatkov__za_katere_velja_zahteva_po_izvedbi_ocene_ucinka_v_zvezi_z_varstvom_osebnih_podatkov.pdf.

Kot izhaja iz točke (c) tretjega odstavka 35. člena Splošne uredbe, se ocena učinkov v zvezi z varstvom (osebnih) podatkov zlasti zahteva med drugim tudi v primeru obsežnega sistematičnega spremljanja javno dostopnega območja. IP je tako v zgoraj navedenem seznamu v 3. točki med primeri sistematičnega nadzora nad posameznikom brez njegovega zavedanja, za katere bo izvedba ocene učinkov obvezna, določil tudi videonadzor javnih površin. Več o tem lahko preberete tudi v mnenju IP št. 07121-1/2021/1133 z dne 21. 6. 2021. Vsekakor je ocena učinka lahko zelo koristno orodje za upravljavca pri identifikaciji tveganj, ki jih lahko predstavlja obdelava osebnih podatkov ter sprejemu ustreznih ukrepov na njihovo obvladovanje in jo lahko opravite tudi, če ni obvezna.

O novostih glede ocene učinka po ZVOP-2 lahko preberete na: https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/ključna-področja-uredbe/ocena-učinka-v-zvezi-z-varstvom-podatkov/#a3. Tako se lahko npr. v skladu z določbo 22. člena ZVOP-2, ki določa dnevnik obdelave, z oceno učinka ugotovi tveganje, ki ga je mogoče učinkovito upravljati z vodenjem dnevnika obdelave, kakor tudi morebitne dodatne vsebine dnevnika obdelave (drugi odstavek 22. člena ZVOP-2).

d)kodeks ravnanja in potrjevanje skladnosti

V zvezi z vašim vprašanjem, ali mora podjetje izdelati kodeks ravnanja in ali je zavezano za potrjevanje skladnosti, vam pojasnjujemo, da gre za prostovoljni orodji. Kodeksi se načeloma sprejmejo v določenem sektorju, da bi se zagotovilo skladno obdelavo osebnih podatkov s Splošno uredbo. Sprejmejo jih združenja oz. druga telesa, ki predstavljajo vrste upravljavcev in obdelovalcev (npr. trgovinska združenja, združenja bank, zavarovalnic, zveze neprofitnih organizacij), upravljavci oz. obdelovalci pa se prostovoljno zavežejo k uporabi kodeksa. Več o kodeksih lahko preberete na: https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/ključna-področja-uredbe/kodeksi-ravnanja.

Splošna uredba določa, da države članice, nadzorni organi, odbor in Komisija zlasti na ravni Unije spodbujajo vzpostavitev mehanizmov certificiranja za varstvo podatkov ter pečatov in označb za varstvo podatkov za izkazovanje, da so dejanja obdelave s strani upravljavcev in obdelovalcev v skladu s Splošno uredbo. Določa tudi, da je certificiranje prostovoljno. Države članice morajo zagotoviti, da so telesa za certificiranje akreditirana s strani nadzornega organa ali nacionalnega akreditacijskega organa. Mehanizmi certificiranja se bodo vzpostavili na podlagi nedavno sprejetega ZVOP-2. Telesa, ki bodo izvajala potrjevanje pa bo na podlagi njihove vloge akreditirala Slovenska akreditacija, IP bo kot nadzorni organ upravljal seznam potrjevalnih mehanizmov in ga sproti objavljal na spletni strani.

e)snemanje in fotografiranje na javnih dogodkih

Pojasnjujemo, da je fotografija skladno s Splošno uredbo varovan osebni podatek tedaj, ko je oseba jasno in nedvoumno razvidna in bi se jo dalo na ta način identificirati, prepoznati in določiti ali, ko se hkrati s fotografijo obdelujejo tudi drugi osebni podatki o posamezniku. Dodatno pa prvi odstavek 2. člena Splošne uredbe določa, da se uredba uporabi tedaj, ko se obdelava v celoti ali delno izvaja z avtomatiziranimi sredstvi, in za obdelavo osebnih podatkov, ki so del zbirke ali so namenjeni oblikovanju dela zbirke, ki se ne izvaja z avtomatiziranimi sredstvi. Podobno velja tudi za posnetke -  če je ločljivost shranjenih posnetkov dovolj velika in je posameznike na njih mogoče prepoznati ter s snemanjem nastane zbirka osebnih podatkov (posnetkov), takšno snemanje lahko predstavlja obdelavo osebnih podatkov.

Glede snemanja oz. fotografiranja na dogodku »odprte« narave je treba zagotoviti pravno podlago skladno s Splošno uredbo, npr. soglasje udeležencev. Kot smo pojasnili npr. v mnenju št. 0712-1/2019/2315 z dne 13. 10. 2019, kadar zaradi posebnih okoliščin (npr. snemanje dogodka na javnem kraju, ki se ga udeleži veliko ljudi) ni mogoče zbrati privolitev, lahko pride v poštev tudi podlaga po točki (f) prvega odstavka 6. člena Splošne uredbe - zakoniti interesi upravljavca, če ste udeležence ustrezno seznanili, da se dogodek fotografira oz. snema. Ob tem je treba zagotoviti tudi ustrezno obveščenost posameznikov skladno s 13. členom Splošne uredbe (npr. kdo je upravljavec osebnih podatkov, namen obdelave, itd.). Izbor pravne podlage mora ustrezati vsem okoliščinam konkretnega primera, odgovornost za izbiro pa nosi upravljavec.

Glede same objave fotografij oz. posnetkov bi lahko prišel v poštev tretji odstavek 93. člena ZVOP-2, ki določa, da sme oseba javnega ali zasebnega sektorja za namene obveščanja javnosti obdelovati, vključno z objavo, osebna imena, nazive, fotografije in videoposnetke posameznikov, pridobljene na dogodkih, ki jih v okviru svojih nalog, pristojnosti ali dejavnosti organizira ta oseba, če posameznik te obdelave ni prepovedal. Navedeno je treba po mnenju IP razumeti na način, da mora za snemanje oz. fotografiranje obstajati ustrezna pravna podlaga, kot je navedeno zgoraj in v kolikor gre za fotografiranje oz. snemanje javnega dogodka, je lahko nadaljnja obdelava fotografij oz. posnetkov zakonita, če so bili posamezniki ustrezno obveščeni o fotografiranju oz. snemanju (in seveda posameznik objave ni prepovedal).

f)snemanje delovišč

Snemanje delovnih prostorov delodajalca je dopustno skladno z 78. členom ZVOP-2 in sicer se lahko videonadzor znotraj delovnih prostorov izvaja le, kadar je to nujno potrebno za varnost ljudi ali premoženja ali preprečevanje ali odkrivanje kršitev na področju iger na srečo ali za varovanje tajnih podatkov ali poslovnih skrivnosti, teh namenov pa ni mogoče doseči z milejšimi sredstvi. Videonadzor se lahko izvaja le glede tistih delov prostorov in v obsegu, kjer je treba varovati navedene interese. Prepovedano je snemati delovna mesta, kjer delavec po navadi dela, razen če je to nujno v skladu s prvim odstavkom 78. člena ZVOP-2. Neposredno spremljanje dogajanja pred kamerami je dopustno le, če ga izvaja izrecno pooblaščeno osebje upravljavca. Delodajalec mora zaposlene pred začetkom izvajanja videonadzora vnaprej pisno obvestiti o njegovem izvajanju in se pred uvedbo videonadzora posvetovati z reprezentativnimi sindikati pri delodajalcu in svetom delavcev oziroma delavskim zaupnikom. Pojasnjujemo tudi, da je konkretna odločitev o načinu izvajanja videonadzora stvar upravljavca – torej ali ga bo izvajal sam ali z obdelovalcem osebnih podatkov (npr. preko zunanje varnostne službe).

Odločanje o nujnosti in potrebnosti uvedbe videonadzora mora torej slediti zgoraj navedenim namenom, upravičenost pa mora delodajalec vedno presojati od primera do primera. Delodajalec bi moral torej v vsakem primeru izrecno ugotoviti, ali obstaja milejši ukrep, ki bi omogočal, da zaposleni ne bi bili podvrženi snemanju, saj gre za invazivni poseg v zasebnost delavca. Katere druge obveznosti po Splošni uredbi oz. ZVOP-2 mora izpolnjevati upravljavec, pa lahko preberete na: https://www.ip-rs.si/varstvo-osebnih-podatkov/obveznosti-upravljavcev/vzpostavitev-videonadzora.

Glede snemanja zaposlenih za namen objave promocijskih videov in fotografij na spletnih družbenih omrežjih, spletni strani, na tiskanem koledarju in v medijih poudarjamo, da je objava fotografij ali posnetkov zaposlenih dopustna le, če je to nujno zaradi uresničevanja pravic in obveznosti, ki izhajajo iz delovnega razmerja oziroma iz narave delovnega razmerja ali če je podana privolitev zaposlenega. Posamezniki morajo biti tudi obveščeni o obdelavi osebnih podatkov po 13. členu Splošne uredbe, npr. kakšen je namen in pravna podlaga za obdelavo osebnih podatkov. Več o tem lahko preberete v smernicah Varstvo osebnih podatkov v delovnih razmerjih, ki so dostopne na: https://www.ip-rs.si/fileadmin/user_upload/Pdf/smernice/Smernice_-_Varstvo_OP_v_delovnih_razmerjih_verzija_1.1_koncna.pdf, več o informiranju posameznikov o obdelavi osebnih podatkov pa je na voljo na zavihku https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/ključna-področja-uredbe/obveščanje-posameznikov-o-obdelavi-osebnih-podatkov.

Lepo pozdravljeni.

Mojca Prelesnik, univ. dipl. prav.,

informacijska pooblaščenka

Pripravila:

Barbara Žurej, univ. dipl. prav.,

svetovalka pooblaščenca za preventivo