Obdelava osebnih podatkov s strani varnostne službe

Datum

24.10.2024

Številka

07121-1/2024/1316

Kategorije

Evidence dejavnosti obdelave, Pogodbena obdelava podatkov, Video in avdio nadzor, Varnost osebnih podatkov

Informacijski pooblaščenec (v nadaljevanju: IP) je po e-pošti prejel vaše zaprosilo za mnenje. Navajate, da varnostna služba pri naročniku izvaja dela in naloge po pogodbi ter načrtu varovanja in pri tem za naročnika obdeluje nekatere osebne podatke (vodi evidence vstopov in izstopov zaposlenih, obiskovalcev in vozil; vodi evidence izdaje in sprejemov ključev, spremlja živo sliko videonadzornega sistema in ima omogočen vpogled v posnetke videonadzornega sistema za nazaj).

Postavili ste več vprašanj v zvezi z obdelavo osebnih podatkov.

* * *

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22, ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A, ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

Upravljavec mora glede na konkretne okoliščine presoditi, ali gre v konkretnem primeru za pogodbeno obdelavo. V pomoč so lahko smernice IP, v katerih so merila za presojo pogodbene obdelave podrobneje razložena. Na upravljavcu je tudi odgovornost za skladnost s Splošno uredbo in ZVOP-2 (npr. zaradi nesklenitve pogodbe o obdelavi). Tudi če pogodba o obdelavi ni sklenjena, mora varnostna služba spoštovati določbe Splošne uredbe, npr. osebne podatke mora ustrezno zavarovati, jih ne sme uporabljati v druge namene, itd.

Predlagamo vam, da ustrezno uredite medsebojna razmerja z naročnikom in da ga tudi opozorite, če menite, da njegova navodila kršijo predpise o varstvu osebnih podatkov.

Obrazložitev

Pri tem IP uvodoma poudarja, da izven postopka inšpekcijskega nadzora oziroma drugega upravnega postopka konkretnih obdelav osebnih podatkov ne more presojati.

Uvodoma pojasnjujemo, da je upravljavec dolžan poskrbeti za skladnost s Splošno uredbo (npr. za sklenitev pogodbe o obdelavi) in izvajanje vseh ukrepov varovanja osebnih podatkov s strani oseb, ki v njegovem imenu obdelujejo osebne podatke. Če obdelavo osebnih podatkov v imenu upravljavca izvajate kot obdelovalec, mora za to obstajati pisna pogodba ali drug ustrezen akt.

Kot smo izpostavili v Smernicah IP o pogodbeni obdelavi, ki so dostopne na: https://www.ip-rs.si/publikacije/priročniki-in-smernice/smernice-po-splošni-uredbi-o-varstvu-podatkov-gdpr/smernice-o-pogodbeni-obdelavi, je treba pri ugotavljanju, ali gre za pogodbeno obdelavo osebnih podatkov, presojati naslednje okoliščine:

-Ali lahko subjekt sam določa namen in sredstva obdelave osebnih podatkov?

-Ali je upravljavec zbirke osebnih podatkov subjektu poveril v izvajanje opravila obdelave, ki bi jih sicer lahko izvajal upravljavec sam?

-Kakšna je intenzivnost obdelave, vezanost na navodila in nadzor upravljavca nad dejanji subjekta?

-Ali ima subjekt zakonska pooblastila oziroma pravno podlago, ki bi ga deloma ali v celoti postavila za upravljavca v zvezi z osebnimi podatki upravljavca?

-Ali je primarni namen najema storitev subjekta katero od dejanj obdelave osebnih podatkov (npr. hramba) ali pa je obdelava osebnih podatkov zgolj posledica najetja storitve subjekta?

V vlogi obdelovalca bo nastopala tista pravna oziroma fizična oseba, ki bo obdelavo osebnih podatkov izvrševala: 1. izključno v imenu in za račun upravljavca osebnih podatkov, 2. bo pri tem črpala podlago za obdelavo osebnih podatkov iz upravičenj upravljavca ter 3. bo v zvezi s samimi dejanji obdelave vezana na navodila upravljavca. Če boste presodili, da gre za pogodbeno obdelavo osebnih podatkov, morate upoštevati določbo 28. člena Splošne uredbe, ki določa minimalni obseg sestavin, ki jih mora vsebovati pisen dogovor. Več o tem lahko preberete v smernicah in na povezavi: https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/ključna-področja-uredbe/pogodbena-obdelava.

Odgovori na vaša vprašanja:

1.Ali mora imeti naročnik za vsako od naštetih evidenc sprejet pravilnik, da vodi posamezno evidenco?

Vsak upravljavec mora v zvezi z vsako obdelavo osebnih podatkov voditi t.i. evidenco dejavnosti obdelave. Splošna uredba v 30. členu natančno določa, katere informacije mora evidenca dejavnosti vsebovati. Obveznost vodenja evidence vseh vrst dejavnosti obdelave, ki jih izvaja v imenu upravljavca, mora voditi tudi pogodbeni obdelovalec (drugi odstavek 30. člena Splošne uredbe). Več o tem lahko preberete na: https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/ključna-področja-uredbe/evidenca-dejavnosti-obdelave. V nekaterih primerih je treba voditi tudi dnevnik obdelave za zagotovitev sledljivosti. Več o tem lahko preberete v že izdanem mnenju IP št. 07121-1/2024/146 z dne 13. 2. 2024.

2.Ali mora imeti naročnik za videonadzor sprejet sklep o uvedbi videonadzora?

Upravljavec mora glede videonadzora spoštovati relevantne določbe ZVOP-2 in Splošne uredbe. Med drugim drugi odstavek 76. člena ZVOP-2 določa, da predstojnik, direktor ali drug pooblaščen posameznik osebe javnega sektorja ali osebe zasebnega sektorja kot upravljavca sprejme odločitev o uvedbi videonadzora. V pisni odločitvi morajo biti obrazloženi razlogi za uvedbo videonadzora. Več o videonadzoru in o drugih obveznostih (npr. pravni podlagi, obvestilu o izvajanju videonadzora, spremljanju žive slike itd.) lahko preberete v Smernicah glede izvajanja videonadzora, ki so dostopne na povezavi: https://www.ip-rs.si/publikacije/priročniki-in-smernice/smernice-po-splošni-uredbi-o-varstvu-podatkov-gdpr/smernice-glede-izvajanja-videonadzora. Nekaj informacij o vzpostavitvi videonadzora je dosegljivih tudi na spletni strani IP: https://www.ip-rs.si/varstvo-osebnih-podatkov/obveznosti-upravljavcev/vzpostavitev-videonadzora/.

3.Ali mora naročnik z izvajalcem, ki vodi evidence skleniti pogodbo o obdelavi osebnih podatkov? Ali mora naročnik z izvajalcem, ki upravlja z videonadzorom skleniti pogodbo o obdelavi osebnih podatkov?

Glej uvodno pojasnilo glede pogodbene obdelave. Glede na podan opis gre verjetno za pogodbeno obdelavo, vendar morate z upravljavcem glede na konkretne okoliščine opraviti presojo, ali gre za pogodbeno obdelavo osebnih podatkov, ali pa za kakšno drugo situacijo (npr. skupna upravljavca, samostojna upravljavca).

4.Kaj se zgodi, če naročnik nima sprejetega pravilnika, varnostna služba pa vodi evidence?

Kot smo pojasnili zgoraj, morata upravljavec in obdelovalec glede obdelav osebnih podatkov voditi t.i. evidenco dejavnosti obdelave. Obveznost sprejema pravilnika običajno povezujemo z ukrepi za zavarovanje osebnih podatkov. Upravljavec je odgovoren za varnost osebnih podatkov in mora sprejeti ustrezne tehnične in organizacijske ukrepe za njihovo zavarovanje. Če gre za pogodbeno obdelavo, mora upravljavec s pogodbo o pogodbeni obdelavi jasno in konkretno določeno, s katerimi ukrepi bo obdelovalec dosegel zasledovane cilje. Če ima upravljavec ukrepe opisane v notranjem aktu (npr. pravilniku), lahko namesto ponovnega opisovanja vseh postopkov in ukrepov, v pogodbi zgolj citira ta akt in navede, da je ta akt sestavni del te pogodbe ter da mora obdelovalec zagotoviti varnost osebnih podatkov v skladu z določbami takšnega akta, ki ga je treba priložiti k pogodbi. Več lahko preberete v citiranih smernicah o pogodbeni obdelavi na str. 22.

5.Kaj se zgodi, če naročnik nima sprejetega sklepa, varnostna služba pa upravlja z videonadzorom? Kaj se zgodi, če nimata sklenjene pogodbe o obdelavi osebnih podatkov, varnostna služba pa vodi evidence? Kaj se zgodi, če nimata sklenjene pogodbe o obdelavi osebnih podatkov, varnostna služba pa upravlja z videonadzorom?

Predlagamo, da preberete primera v citiranih smernicah o pogodbeni obdelavi na str. 24. Načeloma je odgovornost za zakonito obdelavo osebnih podatkov na upravljavcu, ki bi bil kaznovan npr. zaradi nesklenitve pogodbe o obdelavi osebnih podatkov. Vendar mora tudi pogodbeni obdelovalec spoštovati določbe Splošne uredbe, tudi če pogodba ni sklenjena, mora podatke npr. primerno zavarovati, imeti mora ustrezno pravno podlago za obdelavo osebnih podatkov, podatkov ne sme uporabljati za drug namen, itd.

Sklepno vas torej opozarjamo na ustrezno ureditev medsebojnega pogodbenega razmerja skladno z 28. členom Splošne uredbe ter med drugim na dolžnost opozarjanja naročnika oz. upravljavca, če bi menili, da bi njegova navodila kršila predpise o varstvu osebnih podatkov.

V upanju, da vam bodo naša napotila v pomoč, vas lepo pozdravljamo.

dr. Jelena Virant Burnik, informacijska pooblaščenka

Pripravila

Barbara Žurej, univ. dipl. prav., svetovalka pooblaščenca za preventivo