Videonadzor skupnih prostorov dveh podjetij

Datum

24.04.2024

Številka

07121-1/2024/487

Kategorije

Skupni upravljavci, Video in avdio nadzor

Informacijski pooblaščenec (v nadaljevanju IP) je prejel vaš dopis, v katerem navajate, da imate v vašem podjetju A vzpostavljen videonadzorni sistem. V bližnji prihodnosti nameravate prenesti del dejavnosti in zaposlene na podjetje B, ki bo to dejavnost še vedno opravljalo v poslovnih prostorih podjetja A. Ena izmed kamer se nahaja pri vhodu v skladišče, kjer bo podjetje B skladiščilo izdelke. Zanima vas, ali lahko podjetje A omogoči dostop do prenosa žive slike in dostopa do arhiva pooblaščeni osebi v podjetju B ter kako to urediti - s pogodbo o obdelavi OP in pogodbo o dostopu do videonadzornega sistema?

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22, v nadaljevanju: ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba), 76. člena Zakona o varstvu osebnih podatkov na področju obravnavanja kaznivih dejanj (Uradni list RS, št. 177/20, v nadaljevanju: ZVOPOKD) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A, v nadaljevanju: ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim zgoraj navedenim dopisom.

IP meni, da se dve ali več podjetij, ki se dogovorijo o skupnem izvajanju videonadzoru določenih skupnih poslovnih prostorov, praviloma štejejo kot skupni upravljavci, ki skupaj določijo namene in načine obdelave osebnih podatkov. Skupni upravljavci morajo skladno s 26. členom Splošne uredbe na pregleden način z medsebojnim dogovorom določiti dolžnosti vsakega od njih z namenom izpolnjevanja vseh obveznosti, ki jih upravljavcem nalaga Splošna uredba.

Obrazložitev

IP uvodoma poudarja, da izven konkretnih nadzornih ali drugih upravnih postopkov ne more presojati konkretnih obdelav osebnih podatkov in podajati konkretnih stališč v zvezi s posameznimi vprašanji s področja varstva osebnih podatkov, pač pa lahko v okviru mnenj poda zgolj splošna pojasnila, priporočila in usmeritve v zvezi z obdelavo osebnih podatkov, odgovornost za zakonito in pošteno obdelavo osebnih podatkov pa je vedno na upravljavcu osebnih podatkov.

IP pojasnjuje, da Splošna uredba opredeljuje upravljavca kot fizično ali pravno osebo, javni organ, agencijo ali drugo telo, ki samo ali skupaj z drugimi določa namene in sredstva obdelave. Obdelava lahko v določenih primerih torej poteka tako, da je udeleženih več upravljavcev, ki skupaj določijo namen in način obdelave osebnih podatkov. Do takšnih primerov pride npr., ko zakon naloge upravljavcev razdeli med več subjektov, pri skupnih nagradnih igrah, pri skupni informacijski bazi ali promociji izdelkov, pri skupnem izvajanju videonadzora, pri vzpostavitvi skupnih platform, itd. V takih primerih govorimo o skupnih upravljavcih.

V primeru skupnih upravljavcev mora imeti vsak upravljavec za obdelavo osebnih podatkov, denimo za njihovo pridobivanje, hrambo, uporabo ali drugačno obdelavo, zakonito in ustrezno pravno podlago. Po prvem odstavku 6. člena ZVOP-2 se lahko osebni podatki obdelujejo le takrat in v obsegu, kadar je to v skladu s pravnimi podlagami za obdelavo osebnih podatkov iz prvega odstavka 6. in 9. člena Splošne uredbe (privolitev, pogodba, zakonska obveznost, zakoniti interesi itd.). V primeru izvajanja videonadzora morajo upravljavci izpolniti še posebne zahteve, ki so določene v 76. do 80. členu ZVOP-2.

Več pojasnil in informacij glede izvajanja videonadzora, npr. glede pogojev za zakonito izvajane videonadzora, obvestil o izvajanju videonadzora in drugih obveznosti upravljavcev po ZVOP-2 oz. Splošni uredbi, lahko preberete v Smernicah glede izvajanja videonadzora, ki so dostopne na spletni strani IP, na povezavi: https://www.ip-rs.si/publikacije/priročniki-in-smernice/smernice-po-splošni-uredbi-o-varstvu-podatkov-gdpr/smernice-glede-izvajanja-videonadzora, nekaj informacij o vzpostavitvi videonadzora lahko preberete tudi na spletni strani IP: https://www.ip-rs.si/varstvo-osebnih-podatkov/obveznosti-upravljavcev/vzpostavitev-videonadzora/ ter v preostalih, že izdanih nezavezujočih mnenjih IP, ki so dostopna z iskalnikom na www.ip-rs.si/vop.

Skupno upravljavstvo definira 26. člen Splošne uredbe, ki v prvem odstavku določa, da dva ali več upravljavcev, ki skupaj določijo namene in načine obdelave, so skupni upravljavci. Skupni upravljavci na pregleden način z medsebojnim dogovorom določijo dolžnosti vsakega od njih z namenom izpolnjevanja obveznosti v skladu s to uredbo, zlasti v zvezi z uresničevanjem pravic posameznika, na katerega se nanašajo osebni podatki, in nalogami vsakega od njih glede zagotavljanja informacij iz členov 13 in 14, razen če in kolikor so dolžnosti vsakega od upravljavcev določene s pravom Unije ali pravom države članice, ki velja za upravljavce. Z dogovorom se lahko določi kontaktna točka za posameznike, na katere se nanašajo osebni podatki. Drugi odstavek nadalje še določa, da dogovor iz odstavka 1 ustrezno odraža vlogo vsakega od skupnih upravljavcev in njegovo razmerje do posameznikov, na katere se nanašajo osebni podatki. Bistveno vsebino dogovora se da na voljo posamezniku, na katerega se nanašajo osebni podatki. V tretjem odstavku je še določeno, da posameznik, na katerega se nanašajo osebni podatki, lahko ne glede na pogoje dogovora iz odstavka 1 uresničuje svoje pravice v skladu s to uredbo glede vsakega od upravljavcev in proti vsakemu od njih.

Pri izvajanju videonadzora skupnih prostorov, za kar se uporablja skupna infrastruktura in nastaja skupna zbirka osebnih podatkov, praviloma prihaja do skupnega upravljanja, ugotavljanje, ali gre v določenem primeru za skupno upravljanje ali ne pa je odvisno od presoje, ali je pri določeni obdelavi osebnih podatkov (videonadzor predstavlja posebno obliko obdelave osebnih podatkov) udeleženih več upravljavcev, ki skupaj določijo namen in način obdelave osebnih podatkov. Pri tem velja izpostaviti, da skupni upravljavci nimajo nujno vedno enakih vlog ali enakovredno porazdeljenih odgovornosti. Tako so lahko skupni upravljavci vključeni v določene stopnje obdelave osebnih podatkov in v različnem obsegu. Tudi nameni in sredstva niso vedno nujno enaki, morajo pa biti skupno določeni. Delitev odgovornosti morajo skupni upravljavci določiti z dogovorom, ki mora jasno odražati vloge in odgovornosti vsakega skupnega upravljavca, še posebej glede vprašanja izvrševanja pravic posameznikov in obveščanja posameznikov o obdelavi osebnih podatkov.

V primeru, ko gre za skupno upravljavstvo, morajo skupni upravljavci skupaj opredeliti pravno podlago za obdelavo osebnih podatkov ter definirati, kakšna bo njegova vloga v zvezi z osebnimi podatki, ki se bodo obdelovali. Na podlagi tako definirane pravne podlage in določitve vlog posameznih upravljavcev je za tem možno pristopiti k sklepanju medsebojnega dogovora, v katerih se bodo opredelile pravice, dolžnosti in odgovornosti vsakega od upravljavcev z namenom, da se zagotovi izvajanje vseh obveznosti v skladu s Splošno uredbo in ZVOP-2. V takšnem dogovoru bi moralo biti npr. v primeru skupnega izvajanja videonadzora na pregleden način, poleg dogovora v zvezi z zagotavljanjem splošnih načel v zvezi z obdelavo osebnih podatkov (5. člen Splošne uredbe), zagotavljanjem varnosti osebnih podatkov (32. člen Splošne uredbe) in vodenja dnevnika obdelav (22. člen ZVOP-2), itd., določeno tudi, kdo bo poskrbel za izpolnjevanje splošnih obveznosti iz 76. člena ZVOP-2 in drugih obveznosti, ki so glede na prostore, kjer se izvaja videonadzor, določene v 77. do 80. členu ZVOP-2, kdo, v katerih primerih in pod kakšnimi pogoji bo lahko pregledoval shranjene posnetke, kdo, v katerih primerih in pod kakšnimi pogoji bo lahko spremljal neposredno dogajanje pred kamerami, itd., poleg tega pa je treba zadostiti tudi zahtevam 26. člena Splošne uredbe. Zato bi moral takšen dogovor odražati tudi vlogo oz. odgovornosti vsakega od skupnih upravljavcev v zvezi z uresničevanjem pravic posameznika, na katerega se nanašajo osebni podatki. Zlasti je treba dogovoriti, kdo in kako bo uresničeval pravice posameznikov po Splošni uredbi (pravica dostopa, popravka, omejitve, izbrisa, ugovora, prenosljivosti, avtomatizirane obdelave) ter posameznike obveščal glede obdelave osebnih podatkov (kdo in na kakšen način bo zagotovil informacije izvajanju videonadzora iz 76. člena ZVOP-2 ter informacije o obdelavi iz 13. oz. 14. člena Splošne uredbe).

Več pojasnil o skupnih upravljavcih, vključno s priporočili IP glede medsebojnega dogovora, si lahko preberete na spletni strani IP, na naslovu: https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/ključna-področja-uredbe/skupni-upravljavci.

Lepo vas pozdravljamo.

Pripravil

Jože Bogataj, namestnik informacijske pooblaščenke

Mojca Prelesnik, univ. dipl. prav., informacijska pooblaščenka