Obdelava OP v vizumskem postopku

Datum

02.02.2023

Številka

07120-1/2023/40

Kategorije

Uradni postopki, Profiliranje in avtomatizirano odločanje, Ocene učinkov v zvezi z varstvom podatkov

Na podlagi vašega zaprosila podajamo mnenje Informacijskega pooblaščenca (IP) glede predlagane obdelave podatkov v okviru pilotnega projekta petih držav članic EU za digitalno analizo pristnosti dokumentov v viznem postopku z uporabo … digitalne rešitve na podlagi principa umetne inteligence z zunanjim izvajalcem … . Kot navajate, je po vaši oceni podlaga za obdelavo osebnih podatkov za namen preverjanja pristnosti in resničnosti dokumentov v vizumskem postopku točka e) prvega odstavka 6. člena Splošne uredbe o varstvu podatkov. Obdelava je namreč nujna za izvajanje zakonskih pristojnosti na podlagi Vizumskega zakonika (Uredba (ES) št. 810/2009 Evropskega parlamenta in Sveta z dne 13. julija 2009 o vizumskem zakoniku Skupnosti) za kratkoročne vizume in Zakona o tujcih za dolgoročne vizume in dovoljenja za prebivanje. Na podlagi navedenih materialnih pravnih podlag je pristojni organ pri odločanju v postopku za izdajo vizuma oziroma dovoljenja za prebivanje dolžan presojati tudi, ali so predloženi dokumenti v postopku pristni in da niso prenarejeni.

Navajate, da bo poleg obdelave za namen preverjanja pristnosti, potekala tudi obdelava za namen razvoja algoritma samega, ki pa je stranskega pomena. Algoritem namreč ne bo deloval na principu primerjave osebnih podatkov, pač pa bo algoritem na podlagi večjega števila verodostojnih in ponarejenih dokumentov zaznaval metrična odstopanja. Hkrati pa bi prekritje osebnih podatkov na dokumentih onemogočilo dosego obeh namenov – tako preverjanja pristnosti kot učenja algoritma. Za dosego namena učenja algoritma se osebni podatki sicer obdelujejo do nekaj tednov, preden se lahko zbrišejo.

Menite, da bi pravno podlago za obdelavo osebnih podatkov za namen razvoja algoritma lahko predstavljal četrti odstavek 6. člena ZVOP-2. Navajate, da oceno vpliva obdelave osebnih podatkov pripravljajo nizozemski partnerji, pri tem pa od partneric projekta pričakujejo informacije o možnih rešitvah, skladnih z nacionalnimi zakonodajami.

IP v mnenju ne more podajati presoj ustreznosti predmetnega algoritma in izbire pravne podlage za obdelavo, saj iz predstavljenega gradiva ni povsem jasno razvidno, kateri osebni podatki točno naj bi se obdelovali in kdo naj bi bil upravljavec. Ob tem opozarjamo na zahteve drugega odstavka 6. člena ZVOP-2, ki velja tudi za zakone, ki so pravna podlaga v povezavi z e) točko prvega odstavka 6. člena Splošne uredbe. Iz vašega dopisa pa ne razberemo, kateri osebni podatki točno naj bi se zbirali, zato ne moremo presoditi, ali gre za podatke in namene, katerih obdelavo opredeljuje Zakon o tujcih oz. Vizumski zakonik, ali gre za širši nabor podatkov.

Ob tem izpostavljamo tudi, da gre vsekakor za primer, ko je treba izvesti pred začetkom obdelave oceno učinkov v zvezi z varstvom podatkov in glede na to, da bo verjetno eden od upravljavcev tudi bodisi vaše ministrstvo, bodisi kateri drug državni organ ali subjekt javnega sektorja iz Republike Slovenije, bi vsekakor morala biti ta ocena učinkov izvedena tudi v tem delu, tako z vidika preverjanja pravne podlage, kot tudi celovitejše analize zakonitosti obdelav ter naslavljanja vseh tveganj in zlasti posledic za pravice posameznikov, nevarnost diskriminacije ipd. v okviru vizumskih postopkov. Pri tem je treba zlasti tudi upoštevati zahteve 22. člena Splošne uredbe in posledice, ki jih bo imela takšna obdelava za posameznika.

Informacijski pooblaščenec (v nadaljevanju: IP) na podlagi 5. točke prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/23, v nadaljevanju: ZVOP-2), 58. člena Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba) ter 2. člena Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju: ZInfP) uvodoma poudarja, da ne more v mnenju presojati o ustreznosti in dopustnosti konkretnih obdelav osebnih podatkov ali metodologij, v vašem primeru IP ni pristojen za potrjevanje pravne točnosti podanih ocen zakonitosti obdelav in primernosti uporabe opisanega algoritma. Prav tako se ne moremo opredeljevati do ustreznosti izbranih pravnih podlag, saj so pojasnila zelo splošna, ni razvidno, kdo bo(do) upravljavec/upravljavci morebitnih posameznih (novo nastalih) zbirk, katere vrste osebnih podatkov točno se bodo obdelovale v okviru algoritma. Razbrati je namreč, da ne bo šlo za zbirke, kot jih opredeljuje Vizumski zakonik in Zakon o tujcih, torej morda tudi za zbiranje dodatnih podatkov iz dokumentov, ki jih oba zakonska predpisa ne predvidevata.

Zato IP ne more podati ocene ustreznosti opisanega pristopa. Lahko pa pojasnimo, da ne kaže, da bi glede na navedeno prišla v opisanem primeru za morebitno množično obdelavo osebnih podatkov posameznikov iz ciljne skupine v poštev pravna podlaga 4. odstavka 6. člena ZVOP-2. Ta obdelava predvideva, da se izjemoma lahko obdelujejo tisti osebni podatki, ki so nujno potrebni za izvrševanje zakonitih pristojnosti, nalog ali obveznosti javnega sektorja, če se s to obdelavo ne poseže v upravičen interes posameznika, na katerega se osebni podatki nanašajo. Opisan primer, pa se nanaša na množično obdelavo osebnih podatkov vseh prosilcev za vizum v času trajanja projekta, pri čemer v ničemer ne pojasnjujete, kako naj bi bilo ocenjeno, ali opisana obdelava ne poseže v upravičen interes posameznika oz. kako bo za to poskrbljeno. Niti ne navajate, kako naj bi bila prepoznana, analizirana in naslovljena morebitna tveganja, ki jih opisana obdelava in uporaba algoritma vsekakor bo imela za posameznika npr. tipičen tak primer bi bil, če bo algoritem nek dokument napačno prepoznal, kot ponarejen in bo posledično posamezniku neupravičeno zavrnjena vloga za vizum.

Vsekakor pride lahko ob določenih pogojih v poštev možnost obdelav na podlagi e) točke prvega odstavka 6. člena Splošne uredbe, vendar iz vaših navedb ni razbrati točno za katere podatke in, iz katerih predpisov (Zakon o tujcih in Vizumski zakonih tega izrecno ne določata) naj bi izhajala pravna podlaga, saj ne gre za samostojno pravno podlago, ampak za pravno podlago, ki jo države članice ustrezno uredijo v področnih predpisih. V kolikor gre pri izvajanju nalog za obdelavo vrst osebnih podatkov, kategorij posameznikov in za namene, ki so opredeljeni v posameznih področnih predpisih, pa bi lahko prišla v poštev podlaga bodisi c) ali e) točke prvega odstavka 6. člena Splošne uredbe. Vsekakor pa morate, ko boste ugotovili odgovore na vsa zgoraj navedena vprašanja pri zbiranju podatkov poskrbeti tudi, da posameznikom ob zbiranju posredujete tudi vse informacije iz 13. člena Splošne uredbe.

Glede na navedeno predlagamo, da od partnerjev … pridobite več informacij in predlagate, da se vas konkretneje seznani s podatkovnimi tokovi, vrstami obdelav in podatkov ter konkretnimi nameni obdelave in delitve vlog ter odgovornosti posameznih deležnikov. Zelo verjetno je namreč, da bi pri tovrstnih obdelavah lahko šlo za skupno upravljavstvo. Ko boste pridobili dodatne informacije boste najbrž lažje opredelili konkretneje podatkovne tokove, vrste obdelav in podatkov, katerih kategorij posameznikov naj bi izvajali in za katere konkretne namene (glede na posamezne vrste podatkov), kdo so upravljavci, kako bi zajemali te podatke, kam bi jih hranili, za koliko časa in od koga ter kdo in kako bi tem posameznikom zagotovil ustrezne informacije o obdelavi.

V informacijo posredujemo tudi mnenje IP št. 07120-1/2022/335 na temo sodelovanja z zunanjimi ponudniki pri zajemu biometričnih podatkov, ki je objavljeno na naši spletni strani in bi lahko bilo relevantno tudi v opisanem projektu (https://www.ip-rs.si/mnenja-gdpr/zunanji-ponudniki-storitev-1664770478).

Lepo vas pozdravljamo in vam želimo uspešno izvedbo projekta ter smo po potrebi v nadaljevanju na voljo za dodatna pojasnila.

Mojca Prelesnik, univ. dipl. prav.,

informacijska pooblaščenka

Pripravil:

Alenka Jerše, univ. dipl. prav., namestnica informacijske pooblaščenke

dr. Jelena Virant Burnik, Informacijska pooblaščenka