Ugotavljanje identitete oseb na ogledu nepremičnine

Datum

23.09.2025

Številka

07121-1/2025/1151

Kategorije

Stanovanjsko in nepremičninsko pravo

Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaše zaprosilo za mnenje glede obdelave osebnih podatkov posameznikov, prisotnih pri ogledu nepremičnin.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22, 40/25 – ZInfV-1; ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba o varstvu podatkov) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, 51/07 – ZUstS-A; ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

IP v okviru neobvezujočega mnenja ne more presojati zakonitosti obdelav osebnih podatkov, ki jih navajate v vašem zaprosilu za mnenje, niti njihove skladnosti s temeljnimi načeli varstva osebnih podatkov.

Zakonodajalec je v specialnih zakonih že sam predpisal stroge ukrepe v zvezi z zbiranjem oziroma kopiranjem osebnih dokumentov in omejil njihovo obdelavo na najmanjšo, torej nujno potrebno mero.

Upravljavec mora poskrbeti za ustrezno zavarovanje osebnih podatkov in jih obdelovati v skladu s temeljnimi načeli varstva osebnih podatkov.

Obrazložitev

IP uvodoma poudarja, da lahko podaja neobvezujoča mnenja in pojasnila, ne sme pa izven konkretnih nadzornih ali drugih upravnih postopkov preverjati zakonitosti in primernosti obdelave osebnih podatkov v konkretnem primeru. IP zato v nadaljevanju podaja splošna pojasnila.

IP splošno pojasnjuje, da Splošna uredba v 6. členu določa različne pravne podlage za zakonito obdelavo osebnih podatkov. Obdelava je tako zakonita le in kolikor je za konkretni namen obdelave in konkretne osebne podatke izpolnjen eden od naslednjih pogojev:

(a)posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov;

(b)obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe;

(c)obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca;

(d)obdelava je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe;

(e)obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu;

(f)obdelava je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok.

IP nadalje pojasnjuje, da ZVOP-2 v prvem odstavku 94. člena določa, da smejo upravljavec, obdelovalec ali uporabnik za namen identifikacije posameznika, ali za namen zagotavljanja točnosti in posodobljenosti osebnih podatkov, vpogledati v njegove uradne identifikacijske dokumente. Drugi odstavek istega člena določa, da sme upravljavec, ki izvaja z zakonom predpisano nalogo, za namen identifikacije posameznika tudi prepisati, kopirati ali drugače obdelati podatke iz njegovih uradnih identifikacijskih dokumentov. IP ob tem pojasnjuje, da drugi odstavek 94. člena ZVOP-2 lahko torej predstavlja pravno podlago za kopiranje in druge oblike obdelave (npr. hrambo) osebnih podatkov iz uradnih identifikacijskih dokumentov v povezavi z ustreznim področnim predpisom, ki v tem primeru določa naloge upravljavca, ki zahtevajo tovrstno obdelavo osebnih podatkov.

IP nadalje pojasnjuje, da kopiranje osebne izkaznice podrobneje ureja Zakon o osebni izkaznici (Uradni list RS, št. 35/11, 41/21, 199/21, 17/25; v nadaljevanju: ZOIzk-1), ki v 4. členu določa, da smejo upravljavci zbirk osebnih podatkov osebne izkaznice kopirati samo v primerih, ki jih določa zakon (v takšnih primerih torej ni treba dodatno pridobiti še privolitve imetnika osebne izkaznice). Izjemoma je kopiranje osebne izkaznice dopustno že na podlagi določb ZOIzk-1 brez izrecne podlage v drugem področnem zakonu. Tako lahko osebno izkaznico poleg njenega imetnika kopirajo notarji in finančne družbe, ki opravljajo finančne storitve, če jo potrebujejo za dokazovanje istovetnosti državljana. Osebno izkaznico je za vnaprej določene namene dovoljeno kopirati tudi na podlagi pisne privolitve imetnika osebne izkaznice.

Iz povzetih zakonskih določb izhajajo stroge omejitve uporabe osebne izkaznice. Prvenstveno je za namen ugotavljanja istovetnosti predviden le vpogled (oziroma po potrebi tudi prepis), kopiranje pa le ob strožjih pogojih, pri čemer je izrecno prepovedano nadaljnje kopiranje kopije osebne izkaznice, ob kopiranju osebne izkaznice pa je treba z ustrezno oznako na kopiji zagotoviti, da se kopija osebne izkaznice ne bo uporabljala za druge namene.

Podobno stroga ureditev velja tudi za potne listine v skladu z določbami Zakona o potnih listinah (Uradni list RS, št. 29/11 – UPB,112/24 – ZNDM-2I, 15/25 - ZPL; v nadaljevanju: ZPLD-1). Ta v 4.a členu določa, da smejo potne listine kopirati upravljavci zbirk osebnih podatkov samo v primerih, ki jih določa zakon. Potno listino v skladu z drugim odstavkom navedenega člena lahko poleg njenega imetnika kopirajo notarji in finančne družbe, ki opravljajo finančne storitve, če jo potrebujejo za dokazovanje istovetnosti državljana v konkretnem postopku. V skladu s tretjim odstavkom pa je potno listino za vnaprej določene namene dovoljeno kopirati tudi na podlagi pisne privolitve imetnika potne listine. V primerih, ki niso opisani v drugem in tretjem odstavku 4.a člena ZPLD-1, je za ugotavljanje istovetnosti, državljanstva oziroma kontrolo točnosti podatkov, dopusten vpogled v potno listino imetnika; kadar je to potrebno, pa tudi prepis osebnih podatkov z nje. Skladno z določbo sedmega odstavka 4.a člena ZPLD-1 je kopijo potne listine prepovedano hraniti v elektronski obliki.

Upoštevati je treba, da osebna izkaznica in potni list oziroma njuna kopija vsebuje posnetek obraza posameznika, ki ima že biometrične značilnosti. Zaradi nevarnosti zlorab in kraj identitete pa je treba pri vsaki odločitvi o morebitnem zbiranju biometričnih podatkov ravnati izjemno previdno, kar je tudi eden od razlogov, da je zakonodajalec v omenjenih specialnih zakonih že sam predpisal stroge ukrepe v zvezi z zbiranjem oziroma kopiranjem osebnih dokumentov in omejil njihovo obdelavo na najmanjšo, torej nujno potrebno mero. IP tako povzema, da torej ne obstaja absolutna prepoved kopiranja osebnih dokumentov, je pa kopiranje strogo urejeno v področni zakonodaji.

IP ob tem splošno opozarja tudi na načelo najmanjšega obsega podatkov, ki določa, da morajo biti pod pogojem, da obstaja pravna podlaga, osebni podatki, ki se obdelujejo, ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo. Navedeno načelo pomeni, da je potrebno obdelovati samo toliko osebnih podatkov, kolikor je nujno potrebno za dosego zakonitega namena obdelave. V vsakem konkretnem primeru bi bilo treba torej izkazati (to je obveznost upravljavca), zakaj je za dosego želenega namena treba hraniti kopijo osebnega dokumenta oziroma zakaj istega namena ni mogoče doseči z vpogledom v osebni dokument ali prepisom podatkov z njega. IP glede na navedbe v vašem zaprosilu za mnenje meni, da bi najverjetneje za želeni namen obdelave osebnih podatkov v konkretnem primeru (ugotavljanje identitete na ogledu prisotnih posameznikov) najverjetneje zadostoval že sam vpogled v osebni dokument ali prepis podatkov z njega, ne vidi pa pravne podlage niti potrebe za kopiranje osebnih dokumentov, saj se tovrstna obdelava osebnih podatkov zdi pretirana oziroma nesorazmerna glede na namen obdelave. Ob tem IP poudarja, da konkretno presojo obstoja pravne podlage in sorazmernosti lahko oziroma mora opraviti izključno upravljavec osebnih podatkov, ki nosi tudi odgovornost za tovrstno opravljeno presojo.

IP dodaja, da je treba v primeru ogleda službenih prostorov upoštevati tudi 85. člen ZVOP-2, ki določa, da lahko oseba javnega ali zasebnega sektorja za zagotavljanje varnosti ljudi in premoženja, varovanja tajnih podatkov ter reda v njenih prostorih ali prostorih, ki jih ima v uporabi (v nadaljnjem besedilu: službeni prostori), od posameznika, ki namerava vstopiti ali izstopiti iz tega prostora, zahteva navedbo vseh ali nekaterih osebnih podatkov iz drugega odstavka tega člena in razlog vstopa ali izstopa. Po potrebi lahko osebne podatke preveri tudi z vpogledom v uradni identifikacijski dokument.

IP izpostavlja tudi določbo (e) točke prvega odstavka 5. člena Splošne uredbe, ki določa, da morajo biti osebni podatki hranjeni v obliki, ki dopušča identifikacijo posameznikov, na katere se nanašajo, le toliko časa, kolikor je potrebno za namene, za katere se obdelujejo; daljše obdobje se lahko hranijo le, če bodo obdelani zgolj za namene arhiviranja v javnem interesu, za znanstveno- ali zgodovinskoraziskovalne namene ali statistične namene. Osebni podatki prisotnih na ogledu se torej lahko hranijo le toliko časa, dokler je to potrebno za dosego namena, zaradi katerega so se pridobili.

IP poudarja, da mora upravljavec posamezniku ob pridobitvi njegovih osebnih podatkov podati tudi nekatere informacije o obdelavi osebnih podatkov iz 13. člena Splošne uredbe, npr. kakšen je namen in pravna podlaga za obdelavo osebnih podatkov, komu osebne podatke posreduje, koliko časa se bodo osebni podatki hranili itd. Več informacij o obveščanju posameznikov o obdelavi osebnih podatkov je dostopnih na spletni strani IP:

https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/ključna-področja-uredbe/obveščanje-posameznikov-o-obdelavi-osebnih-podatkov

IP sklepno povzema, da je za vsako obdelavo osebnih podatkov treba torej najprej zagotoviti ustrezno pravno podlago. Izbor ustrezne pravne podlage za posamezno obdelavo je stvar ocene konkretnih okoliščin, odgovornost za izbiro pa nosi upravljavec. Prav tako mora upravljavec poskrbeti za ustrezno zavarovanje osebnih podatkov v skladu s 24. in 32. členom Splošne uredbe in jih obdelovati v skladu s temeljnimi načeli varstva osebnih podatkov.

Lepo vas pozdravljamo,

Pripravil:

Matej Sironič, Svetovalec pooblaščenca I

dr. Jelena Virant Burnik, Informacijska pooblaščenka