Obveznosti posameznikov pri obdelavi osebnih podatkov

Datum

04.01.2024

Številka

07121-1/2023/1625

Kategorije

Zakon o varstvu osebnih podatkov na področju obravnavanja kaznivih dejanj - ZVOPOKD, Policijski postopki

Pri Informacijskem pooblaščencu (IP) smo dne 28. 12. 2023 prejeli vaše zaprosilo za mnenje glede obveznosti posameznikov pri obdelavi osebnih podatkov. Zanima vas, se je stranka v policijskem postopku dolžna ravnati po določilih ZVOP-2 glede imen in ostalih določljivih podatkov policistov, pri čemer vas zanima uporaba osebnih podatkov za druge namene in ne za upravičene namene kot so pritožba na postopek in podobno.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22, ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A, ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

1.1. Tako Splošna uredba kot tudi ZVOP-2 se uporabljata za obdelavo osebnih podatkov v celoti ali delno z avtomatiziranimi sredstvi in za drugačno obdelavo kakor z avtomatiziranimi sredstvi za osebne podatke, ki so del zbirke ali so namenjeni oblikovanju dela zbirke. Njuna uporaba pa je v nekaterih primerih izključena, na primer če gre za obdelave osebnih podatkov, ki jih izvajajo posamezniki (fizične osebe) med potekom popolnoma osebne ali domače dejavnosti (2(2)(c) člen Splošne uredbe in drugi odstavek 3. člena ZVOP-2).

2.2. Niti Splošna uredba, niti ZVOP-2 ne določata natančneje, kaj prištevamo med osebne ali domače dejavnosti, v skladu s sodno prakso Sodišča Evropske unije pa je treba ta pojem interpretirati ozko.

3.3. Kadar posameznik obdeluje osebne podatke v celoti ali delno z avtomatiziranimi sredstvi ali pa gre za osebne podatke, ki so del zbirke ali so namenjeni oblikovanju dela zbirke, ter ni podana katera izmed izjem iz 2(2) člena Splošne uredbe oziroma 3. člena ZVOP-2, se tudi za takšno obdelavo podatkov uporabljajo pravila Splošne uredbe in ZVOP-2.

Obrazložitev

IP uvodoma pojasnjuje, da izven postopka inšpekcijskega nadzora oziroma drugega upravnega postopka nima zakonskih pooblastil za presojo zakonitosti konkretnih obdelav osebnih podatkov in morebitnih kršitev pravic posameznikov, na katere se podatki nanašajo. V nadaljevanju vam zato podajamo zgolj splošna pojasnila in pravna izhodišča v zvezi z vašim dopisom.

IP uvodoma izpostavlja, da področje varstva osebnih podatkov v Republiki Sloveniji ureja tako zakonodaja EU kot tudi nacionalna zakonodaja: na ravni EU je področje urejeno predvsem v Splošni uredbi o varstvu podatkov (Splošna uredba, ki jo večkrat naslavljamo z angleško kratico GDPR – General Data Protection Regulation), nacionalno zakonodajo s področja varstva osebnih podatkov pa sestavljata Zakon o varstvu osebnih podatkov (ZVOP-2), ki ureja večji del obdelav osebnih podatkov s strani oseb javnega in zasebnega sektorja, ter Zakon o varstvu osebnih podatkov na področju obravnavanja kaznivih dejanj (ZVOPOKD), ki se uporablja za obdelave osebnih podatkov, ki jih pri svojem delu obdeluje policija, državna tožilstva, Uprava Republike Slovenije za probacijo, Uprava Republike Slovenije za izvrševanje kazenskih sankcij in drugi državni organi Republike Slovenije, ki so zakonsko določeni kot pristojni za področja preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali izvrševanja kazenskih sankcij (prvi odstavek 1. člena ZVOPOKD). Obdelavo osebnih podatkov s strani posameznikov, ki so stranke v policijskih postopkih, tako poleg ZVOP-2 ureja tudi Splošna uredba, ki na primer določa pravne podlage za obdelavo osebnih podatkov, načela varstva osebnih podatkov in pravice posameznikov pri obdelavi podatkov, ki se nanje nanašajo.

Tako Splošna uredba kot tudi ZVOP-2 sama določata, za katere obdelave podatkov se uporabljata oziroma katera področja so iz njunega področja uporabe izključena. To vprašanje Splošna uredba ureja v 2. členu, ZVOP-2 pa v 3. členu. Oba pravna akta se uporabljata za obdelavo osebnih podatkov v celoti ali delno z avtomatiziranimi sredstvi in za drugačno obdelavo kakor z avtomatiziranimi sredstvi za osebne podatke, ki so del zbirke ali so namenjeni oblikovanju dela zbirke. Njuna uporaba pa je v nekaterih primerih izključena, na primer če gre za obdelave osebnih podatkov, ki jih izvajajo posamezniki (fizične osebe) med potekom popolnoma osebne ali domače dejavnosti (2(2)(c) člen Splošne uredbe in drugi odstavek 3. člena ZVOP-2), ki nima povezav s poklicno ali komercialno dejavnostjo (Splošna uredba, Uvodna opomba 18).

Niti Splošna uredba, niti ZVOP-2 ne določata natančneje, kaj prištevamo med osebne ali domače dejavnosti. V Uvodni opombi 18 Splošne uredbe pa so kot primeri osebne ali domače dejavnosti navedeni korespondenca, seznam naslovov ali dejavnosti na socialnih omrežjih in na spletu v okviru tovrstnih dejavnosti. V skladu s sodno prakso Sodišča Evropske unije je treba pojem osebne ali domače dejavnosti interpretirati ozko, zato na primer ne vključuje objave osebnih podatkov na spletu, saj s tem osebni podatki postanejo dostopni neopredeljenemu številu oseb (Sodba Sodišča z dne 6. novembra 2003 v zadevi C-101/01, Bodil Lindqvist, točka 47). Prav tako ni mogoče šteti, da gre za obdelavo podatkov za osebno ali domačo dejavnost pri video nadzornemu sistemu, ki je usmerjen (lahko le delno) v javni prostor (Sodba Sodišča z dne 11. decembra 2014 v zadevi C-212/13, František Ryneš zoper Úřad pro ochranu osobníchúdajů, točka 33). Več o izjemi domače obdelave in drugih vprašanjih glede obdelave podatkov pri video nadzoru si lahko preberete v smernicah Evropskega odbora za varstvo podatkov (Smernice 3/2019 o obdelavi osebnih podatkov z video napravami, dostopno na naslovu: https://edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines_201903_video_devices_sl_0.pdf) in smernicah Informacijskega pooblaščenca (dostopno na naslovu: https://www.ip-rs.si/publikacije/priročniki-in-smernice/smernice-po-splošni-uredbi-o-varstvu-podatkov-gdpr/smernice-glede-izvajanja-videonadzora).

Kadar posameznik obdeluje osebne podatke v celoti ali delno z avtomatiziranimi sredstvi ali pa gre za osebne podatke, ki so del zbirke ali so namenjeni oblikovanju dela zbirke, ter ni podana katera izmed izjem iz 2(2) člena Splošne uredbe oziroma 3. člena ZVOP-2, se tudi za takšno obdelavo podatkov uporabljajo pravila Splošne uredbe in ZVOP-2. Obdelava osebnih podatkov mora v takšnih primerih temeljiti na ustrezni pravni podlagi ob upoštevanju temeljnih načel varstva osebnih podatkov, posameznikom pa morajo biti zagotovljene tudi pravice v skladu z relevantno zakonodajo.

Obdelava osebnih podatkov je zakonita le, če temelji na ustrezni pravni podlagi iz 6(1) člena Splošne uredbe:

(a)posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov;

(b)obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe;

(c)obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca;

(d)obdelava je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe;

(e)obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu;

(f)obdelava je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok.

Če gre za prosto dostopne informacije javnega značaja, bi zakonsko podlago za obdelavo osebnih podatkov, v smislu 6(1)(c) člena Splošne uredbe o varstvu podatkov, lahko predstavljal tudi Zakon o dostopu do informacij javnega značaja (Uradni list RS, št. 51/06 – uradno prečiščeno besedilo, 117/06 – ZDavP-2, 23/14, 50/14, 19/15 – odl. US, 102/15 in 7/18, v nadaljnjem besedilu ZDIJZ). ZDIJZ vsakomur omogoča prost dostop in ponovno uporabo informacij javnega značaja, s katerimi razpolagajo državni organi, organi lokalnih skupnosti, javne agencije, javni skladi in druge osebe javnega prava, nosilci javnih pooblastil in izvajalci javnih služb (1. člen ZDIJZ).

V upanju, da ste dobili odgovor na vaša vprašanja, vas lepo pozdravljamo.

Pripravila

dr. Pika Šarf, Svetovalka IP za mednarodne odnose

Mojca Prelesnik, univ. dipl. prav., informacijska pooblaščenka