Digitalizacija dokumentov prosilcev za mednarodno zaščito z osebnimi podatki s pomočjo QR kode

Datum

28.05.2024

Številka

07120-1/2024/207

Kategorije

Varnost osebnih podatkov, Moderne tehnologije, Ocene učinkov v zvezi z varstvom podatkov

Pri Informacijskem pooblaščencu (IP) smo dne 22. 5. 2024 prejeli vaše zaprosilo za mnenje o skladnosti uvedbe QR kode oziroma prenosa osebnih podatkov v sistem QR kode. Načrtujete implementacijo QR kode v sistem registriranja in beleženja prisotnosti prosilcev za mednarodno zaščito. Zaradi lažjega upravljanja in poslovanja z osebnimi podatki ter prehoda na digitalno poslovanje bi v Uradu Vlade RS za oskrbo in integracijo zaradi lažje identifikacije posameznikov (vlagateljev namere in prosilcev) s strani varnostne službe in drugih strokovnih sodelavcev na Uradu, ki imajo z njimi opravka, uvedli interno identifikacijsko QR kodo. Na omenjeno kodo bi bili vezani osebni podatki posameznika, ki se jih vodi na podlagi 6. odstavka 45. člena Zakona o mednarodni zaščiti (ZMZ-1) ter fotografija, ki bi jo naredili socialni delavci v Uradu ob njihovem prihodu. Računalniški program bi zajel podatke iz registracijskega lista, kateri pride skupaj z vlagateljem namere v Urad. Oseba bi bila beležena v sistemu evidenc Urada (osebni podatki prosilcev za mednarodno zaščito 115. člen, ZMZ-1) z imenom in priimkom, datumom rojstva, državljanstvom in dodeljeno CR številko. QR koda bi bila natisnjena na manjši list-karton, ki bi vseboval QR kodo, sliko osebe, ime in priimek in državljanstvo. Omenjeno QR kodo bi moral imeti vlagatelj namere/prosilec vedno pri sebi, ko bi hotel koristiti storitve prehrane, zdravstvene in materialne oskrbe, ki mu pripada. QR kode bi se prebrale z ustreznimi bralniki (lahko so stacionarni ali mobilni), ki bi jih imele osebe zadolžene za kontrolo in nadzor.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22, ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba), 76. člena Zakona o varstvu osebnih podatkov na področju obravnavanja kaznivih dejanj (ZVOPOKD) ter 2. členom Zakona o informacijskem pooblaščencu (ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem. IP se lahko dokončno in konkretno opredeljuje do konkretnih primerov obdelav osebnih podatkov le v nadzornih postopkih.

Po mnenju IP uvedba QR kode v konkretnem primeru načeloma ni sporna z vidika zakonitosti obdelave osebnih podatkov.

IP ne more vnaprej presoditi varnostnih vidikov predlaganega sistema.

Po mnenju IP so v konkretni zadevi najverjetneje izpolnjeni pogoji za obvezno pripravo ocene učinkov v skladu s 35. členom Splošne uredbe, zlasti z vidika tveganj za varnost osebnih podatkov. Po pripravi ocene učinkov je možno tudi formalno posvetovanje z IP na podlagi 36. člena Splošne uredbe.

Obrazložitev

Uvedba QR kode v konkretnem primeru pomeni le tehnično spremenjen način obdelave osebnih podatkov, pri čemer imajo osebni podatki, nameni obdelave in njihova obdelava že zakonsko podlago. Zato načeloma ni videti, da bi bila uvedba novega sistema sporna z vidika pravnih podlag za obdelavo osebnih podatkov. To seveda velja pod pogojem, da se z novim sistemom ne uvajajo dodatni osebni podatki, dodatni nezdružljivi nameni ali dodatne obdelave (npr. novi zunanji uporabniki), ki ne bi imeli kritja v 6. ali 9. členu Splošne uredbe. Prav tako je pogoj, da zaradi novega sistema ne pride do obdelav, ki kršijo katero od splošnih načel iz prvega odstavka 5. člena Splošne uredbe, zlasti načela najmanjšega obsega podatkov iz c. točke.

IP izven nadzornih postopkov in brez poznavanja tehničnih podrobnosti sistema ne more vnaprej presoditi, ali bo novi sistem tudi varen v smislu, da bo tehnično in organizacijsko zaščiten pred spreminjanjem podatkov, uničenjem podatkov, nedostopnostjo podatkov, nerazpoložljivostjo podatkov ter nepooblaščenim dostopom do podatkov. Varnost osebnih podatkov je določena v f. točki prvega odstavka 5. člena in 32. členu Splošne uredbe.

Na naslednji povezavi so na voljo smernice IP o ocenah učinkov:

https://www.ip-rs.si/prirocniki_smernice/Smernice_o_ocenah_ucinka.pdf

Lepo vas pozdravljamo,

Pripravil

dr. Urban Brulc, univ. dipl. prav., samostojni svetovalec IP

Mojca Prelesnik, univ. dipl. prav., informacijska pooblaščenka