Obdelava osebnih podatkov uporabnikov kartice za javni prevoz

Datum

07.03.2025

Številka

07121-1/2025/185

Kategorije

Informiranje posameznika, Moderne tehnologije, Občine, Obdelava osebnih podatkov otrok in mladoletnih, Ocene učinkov v zvezi z varstvom podatkov, Pravica do seznanitve z lastnimi osebnimi podatki, Pravne podlage, Privolitev, Vgrajeno in privzeto varstvo podatkov, Varnost osebnih podatkov

Pri Informacijskem pooblaščencu (IP) smo dne 13. 2. 2025 prejeli vaše zaprosilo za mnenje glede uporabe osebnih podatkov s strani izdajatelja kartice, ki se uporablja za javni prevoz. V zvezi z navedeno kartico, za izdajo katere je potreben KYC postopek in jo bodo potrebovali tudi mladoletni otroci, vas zanima ali gre za pretiran poseg v zasebnost.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22, ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba) in 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A, ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

Glavno vprašanje je, ali gre pri izdaji in uporabi kartice, ki se uporablja za javni prevoz, za pretiran poseg v zasebnost, saj je za izdajo kartice potreben postopek preverjanja identitete uporabnika, prav tako pa izdajatelj kartice pridobi osebne podatke uporabnikov (tudi mladoletnih), ki ne morejo več anonimno koristiti javnega prevoza.

Odgovornost za izbiro ustreznih rešitev za zagotavljanje varnosti osebnih podatkov ter ustreznih mehanizmov za identificiranje uporabnikov navedene kartice je na strani upravljavca, IP pa v mnenju ne more analizirati ali presojati ustreznost posameznih rešitev oziroma mehanizmov.

Upravljavec mora pred uvedbo posamezne rešitve presoditi dopustnost in sorazmernost osebnih podatkov, ki jih bo obdeloval za določene namene ter mora biti zmožen izkazati, zakaj je za dosego določenega namena (npr. za koriščenje javnega prevoza ali za identifikacijo uporabnika posebne kartice za javni prevoz) potrebna tudi obdelava vsakega osebnega podatka (npr. osebnega dokumenta, davčne številke posameznika).

Upravljavec mora v skladu s 13. členom Splošne uredbe za zagotovitev poštene in pregledne uporabe osebnih podatkov zagotoviti določene informacije o obdelavi osebnih podatkov.

Obrazložitev

IP uvodoma poudarja, da konkretnega in dokončnega odgovora o zakonitosti obdelave osebnih podatkov v okviru mnenja v nobenem primeru ne more niti ne sme podati, saj lahko IP posamezne primere obdelave konkretno presoja zgolj v okviru inšpekcijskega ali drugega upravnega postopka.

IP pojasnjuje, da je treba za vsako obdelavo osebnih podatkov najprej zagotoviti ustrezno pravno podlago. V skladu s prvim odstavkom 6. člena Splošne uredbe je obdelava osebnih podatkov zakonita le in kolikor je izpolnjen vsaj eden od naslednjih pogojev:

(a)posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov;

(b)obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe;

(c)obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca;

(d)obdelava je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe;

(e)obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu;

(f)obdelava je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok.

Obdelava osebnih podatkov uporabnikov kartice za javni prevoz mora tako temeljiti na eni izmed pravnih podlag iz zgoraj citiranega prvega odstavka 6. člena Splošne uredbe. V primeru obdelave osebnih podatkov uporabnikov kartice lahko pride v poštev pravna podlaga iz točke (a) – privolitev posameznika, pravna podlaga iz točke (b) – izvajanje pogodbe ter pravna podlaga iz točke (e) – opravljanje izvirnih nalog občine in s tem za obdelavo osebnih podatkov s strani javnih organov pri opravljanju njihovih nalog.

Poleg zagotovitve pravne podlage za obdelavo osebnih podatkov je treba spoštovati temeljna načela pri obdelavi osebnih podatkov, ki so predpisana v členu 5 Splošne uredbe, ter posameznikom zagotoviti pregledne informacije o dejavnostih obdelave, ki se izvajajo, in njihovih glavnih značilnostih.

Upravljavec mora skladno z načelom celovitosti in zaupnosti sprejeti in izvajati ustrezne tehnične in organizacijske ukrepe za zagotavljanje varnosti osebnih podatkov, kot mu jih nalaga 25. in 32. člen Splošne uredbe. IP na tem mestu opozarja na člen 25 Splošne uredbe, ki ureja zahteve glede zasebnosti prijazne zasnove tovrstnih sistemov; t.i vgrajeno in privzeto varstvo podatkov. Upravljavec naj tako v času določanja sredstev obdelave kot tudi v času same obdelave izvaja ustrezne tehnične in organizacijske ukrepe, ki so oblikovani za učinkovito izvajanje načel varstva podatkov, kot je načelo najmanjšega obsega podatkov, ter v obdelavo vključi potrebne zaščitne ukrepe, da se izpolnijo zahteve Splošne uredbe in zaščitijo pravice posameznikov. Upravljavec mora že ob samem razvoju programa (v konkretnem primeru portala za upravljanje kartice) upoštevati vsa načela varstva osebnih podatkov kakor tudi ostala določila, med drugim tudi določila glede pravic posameznikov (npr. da program omogoča izvrševanje pravice do omejitve obdelave, izvrševanje pravice do izbrisa,..).

Pri določanju ustreznih ukrepov za zagotavljanje varnosti osebnih podatkov mora upravljavec upoštevati tveganja, ki jih pomeni določena obdelava osebnih podatkov, zlasti zaradi nenamernega ali nezakonitega uničenja, izgube, spremembe nepooblaščenega razkritja ali dostopa do osebnih podatkov. Odgovornost za izbiro ustreznih ukrepov za zagotavljanje varnosti osebnih podatkov je vedno na strani upravljavca, ki mora biti skladno z načelom odgovornosti izvajanje ustreznih ukrepov zmožen tudi dokazati.

IP na splošno vsem subjektom, ki razmišljajo o obdelavi osebnih podatkov z uporabo novih tehnologij, ki bi lahko glede na naravo, obseg ali okoliščine povzročila veliko tveganje za pravice in svoboščine posameznikov, priporoča, da v skladu s 35. členom Splošne uredbe izvedejo oceno učinka v zvezi z varstvom osebnih podatkov. Gre za vnaprejšnjo presojo, ali oziroma pod kakšnimi pogoji bi bila predlagana rešitev zakonita, sorazmerna, transparentna, varna itd. Zelo pomembno je izhajati iz težav, ki naj bi jih reševali z uvedbo rešitve, pri čemer je treba realno oceniti, ali se bo na tak način dejansko doseglo zasledovane cilje in ali teh ciljev ni mogoče doseči na drug način, ki bi manj posegal v pravice posameznika. IP je zato za pomoč upravljavcem glede potrebe po izdelavi ocene učinka in same izvedbe le te pripravil posebna navodila in priporočila, ki so dostopna na spletni strani IP:

https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/klju%C4%8Dna-podro%C4%8Dja-uredbe/ocena-u%C4%8Dinka-v-zvezi-z-varstvom-podatkov/

Upravljavec mora torej pred uvedbo posamezne rešitve presoditi dopustnost in sorazmernost osebnih podatkov, ki jih bo obdeloval za določene namene ter mora biti zmožen izkazati, zakaj je za dosego določenega namena potrebna tudi obdelava vsakega posameznega osebnega podatka. Upravljavec mora torej biti zmožen izkazati, zakaj je npr. za koriščenje javnega prevoza ali za identifikacijo uporabnika kartice potrebna tudi obdelava osebnega dokumenta ali davčne številke posameznika. IP ob tem dodaja, da obdelava osebnega dokumenta uporabnika kartice ni nujno nezakonita ali nesorazmerna, saj je pri obdelavi osebnih podatkov na podlagi privolitve posameznika, ki se izvaja z uporabo posebne aplikacije (v konkretnem primeru portala za upravljanje navedene kartice), treba upoštevati posebne pogoje iz 8. člena Splošne uredbe in 8. člena ZVOP-2, ki se uporabljajo za privolitev otroka v zvezi s storitvami informacijske družbe.

V tem kontekstu IP poudarja, da 8. člen ZVOP-2 določa pogoje za veljavnost privolitev, ki bi jih izrazili otrok in mladoletnik pri uporabi storitev informacijske družbe (npr. pri uporabi portala za upravljanje kartice) in sicer določa, da je privolitev otroka za uporabo storitev informacijske družbe, ki se ponujajo neposredno otrokom oziroma za katere se lahko verjetno domneva, da jih bodo uporabljali otroci, veljavna, če je otrok star 15 let ali več. Če je otrok mlajši od 15 let, je privolitev veljavna le, če jo da ali odobri eden od staršev otroka, njegov skrbnik ali oseba, ki ji je podeljena starševska skrb. V primerih, ko pogoji poslovanja izvajalca storitev informacijske družbe predpisujejo višjo starost otroka za uporabo teh storitev, se upošteva starost iz navedenih pogojev poslovanja izvajalca.

Drugi odstavek 8. člena ZVOP- 2 še določa, da privolitev otroka ne sme biti pogojena s pretiranimi pogoji s strani upravljavca, tako da bi otrok moral posredovati več osebnih podatkov, kot je potrebno za namen opravljanja takšne dejavnosti. V zvezi z obdelavo osebnih podatkov mladoletnih oseb vas napotujemo še na izdan priročnik IP z naslovom »Moji podatki moja stvar«, ki naslavljajo številna vprašanja varstva osebnih podatkov otrok in mladostnikov:

https://www.ip-rs.si/fileadmin/user_upload/Pdf/brosure/brosura_mlajsa_populacija.pdf

V zvezi z zbiranjem in obdelavo osebnih podatkov ter s tem povezanim zagotavljanjem poštene in pregledne obdelave osebnih podatkov IP še opozarja, da mora upravljavec v skladu s 13. členom Splošne uredbe posameznikom ob zbiranju osebnih podatkov zagotoviti vse v tem členu predpisane informacije. Posameznik se bo na podlagi takšnih informacij seznanil s tem, komu daje svoje osebne podatke, za kakšne namene in na kakšni pravni podlagi se bodo njegovi osebni podatki obdelovali, kdo bodo uporabniki njegovih osebnih podatkov, koliko čase se bodo hranili, itd, pa tudi s tem, ali je zagotovitev osebnih podatkov zakonska ali pogodbena obveznost ali pa obveznost, ki je potrebna za sklenitev pogodbe, ter ali mora posameznik, na katerega se nanašajo osebni podatki, zagotoviti osebne podatke ter kakšne so morebitne posledice, če se taki podatki ne zagotovijo.

Navedene informacije iz 13. člena Splošne uredbe morajo biti čim bolj jasne, pregledne in posameznikom razumljive ter lahko dostopne. IP je za pomoč upravljavcem pri obveščanju posameznikov glede obdelave osebnih podatkov pripravil posebno rubriko, ki je dostopna na spletni strani IP: