Obvestilo o izvajanju videonadzora in odgovornost za kršitve

Datum

27.02.2023

Številka

07120-1/2023/246

Kategorije

Informiranje posameznika, Inšpekcijski postopki, Video in avdio nadzor

Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaše zaprosilo za mnenje glede obvestil o videonadzoru. Zanima vas:

1.Ali je res potrebno v obvestilo o izvajanju videonadzora, oziroma na spletni strani upravljalca zajeti tudi podatke, ki jih obsega drugi odstavek 13. člena Splošne uredbe? V pojasnilih o izvajanju videonadzora na spletni strani (https://www.ip-rs.si/varstvo-osebnih-podatkov/obveznosti-upravljavcev/vzpostavitev-videonadzora) je namreč navedeno, da mora obvestilo o videonadzoru vsebovati informacije iz prvega in drugega odstavka 13. člena (v tekstu je navedeno: »Poleg informacij iz prvega in drugega odstavka 13. člena Splošne uredbe…« medtem, ko ZVOP-2 v 76. členu (poleg ostalih določil) govori le o določbah prvega odstavka 13. člena Splošne uredbe (v besedilu: »poleg informacij iz prvega odstavka 13. člena Splošne uredbe…«.

2.ZVOP-2 v petem odstavku 76. člena določa, da lahko namesto nekaterih informacij v obvestilu o izvajanju videonadzora to obvestilo vsebuje URL naslov spletne strani. Zanima vas, ali zadostuje URL domače spletne strani (primeroma: https://www.ip-rs.si) kjer lahko uporabnik z uporabo kazala ali zavihkov najde relevantno podstran, ali mora URL vsebovati točen naslov (primeroma: https://www.ip-rs.si/o-pooblaščencu/informacije-javnega-značaja/informacije-o-obdelavi-osebnih-podatkov)? Zadeva je zelo pomembna zato, ker lahko zahteva po natančnem naslovu pomeni veliko omejitev pri posodabljanju spletnih strani in lahko zaradi dolžine predstavlja težavo pri izdelavi obvestil o izvajanju videonadzora.

3.Zanima vas tudi, ali določila 100. člena ZVOP-2 razlagamo tako, da je za kršitve določil 76. člena odgovoren upravljavec osebnih podatkov ali tudi izvajalec. Pojasnili ste, da namreč v veliki večini primerov nastopate kot izvajalec videonadzora in ne morete biti prepričani o tem, da je upravljavec poskrbel za pisno odločitev o uvedbi videonadzora. Hkrati ste se pri oblikovanju obvestil o izvajanju videonadzora prisiljeni zanašati na sodelovanje upravljavcev. Ali je vaša družba po mnenju IP na podlagi določil 100. člena ZVOP-2 lahko odgovorna, če na primer upravljavec vaši družbi kot izvajalcu videonadzora zagotovi, da bo na svoji spletni strani objavil vsebino po petem odstavku 76. člena ZVOP-2, pa tega ne stori ali spletna stran kasneje preneha obstajati, izvajalec pa je temu prilagodil obvestilo o izvajanju videonadzora, ki je po prenehanju obstoja spletne strani upravljalca, pomanjkljivo?

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22; v nadaljevanju: ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, 51/07 – ZustS-A; ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

ad 1

Glede načela preglednosti oziroma obveščanja posameznika se je z uporabo Splošne uredbe izoblikovala praksa, da je pri obdelavah osebnih podatkov posameznike treba obvestiti z vsemi informacijami tako po prvem kot tudi po drugem odstavku 13. člena Splošne uredbe, ne glede na pravno podlago za obdelavo podatkov.

ad 2

Na obvestilu o izvajanju videonadzora je lahko naveden naslov spletnega mesta, vendar pa morajo biti informacije o obdelavi osebnih podatkov na glavni (domači) spletni strani zelo enostavno dostopne (npr. v glavi ali nogi glavne spletne strani), po možnosti z največ enim dodatnim klikom na povezavo do informacij in ne »skrite« v različnih izbirnikih in navigaciji spletne strani.

ad 3

Odgovornost za skladnost z določbami Splošne uredbe in ZVOP-2 je v prvi vrsti na upravljavcu osebnih podatkov, v določenih delih, kjer se obveznosti nalagajo neposredno obdelovalcu, pa lahko tudi (ali samo) na obdelovalcu.

Odgovornost za kršitve se vedno ugotavlja v vsakem primeru posebej in upoštevaje vse konkretne okoliščine primera, vendar pa že po naravi stvari izhaja, da je za nekatere kršitve lahko odgovoren samo upravljavec in ne (tudi) obdelovalec.

Obrazložitev

ad 1

Kot pravilno ugotavljate četrti in peti odstavek 76. člena ZVOP-1 navaja le prvi odstavek 13. člena Splošne uredbe, vendar pa je treba upoštevati, da se Splošna uredba neposredno uporablja in obenem spoštovati načelo primarnosti evropskega prava. Glede načela preglednosti oziroma obveščanja posameznika se je z uporabo Splošne uredbe izoblikovala praksa, da je pri obdelavah osebnih podatkov posameznike treba obvestiti z vsemi informacijami tako po prvem kot tudi po drugem odstavku 13. člena Splošne uredbe, ne glede na pravno podlago za obdelavo podatkov. Na to napotujejo tudi smernice Evropskega odbora za varstvo podatkov (Smernice 3/2019 o obdelavi osebnih podatkov z video napravami, točka 117, dostopne na: https://edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines_201903_video_devices_sl_0.pdf). Smernice EDPB prav tako omogočajo t.i. slojevit pristop, kateremu sledi tudi ZVOP-2, t.j. da se določene, bolj podrobne informacije objavijo na enostavno dostopnem mestu (npr. na spletni strani).

Več podrobnosti o zagotavljanju preglednosti najdete tudi v Smernicah o preglednosti v skladu z Uredbo 2016/679 (WP260), ki jih je Evropski odbor za varstvo podatkov potrdil 25. maja 2018. V skladu z odstavkom 26 omenjenih smernic se 13. člen Splošne uredbe o varstvu podatkov uporablja tudi, če „[…] posameznik, na katerega se nanašajo osebni podatki [zbira podatke] z opazovanjem (npr. z uporabo avtomatiziranih naprav za zbiranje podatkov ali programsko opremo za zbiranje podatkov, kot so kamere […])“.

ad 2

Glede samega naslova spletne strani (URL), ZVOP-2 ne določa natančnih zahtev ali omejitev; vaši pomisleki glede posodabljanja posameznih spletnih strani, čemur bi lahko dodali tudi pomislek glede zelo dolgih povezav, so na mestu, menimo pa, da je lahko neveden tudi glavni naslov spletnega mesta, vendar pa morajo biti informacije o obdelavi osebnih podatkov zelo enostavno dostopne (npr. v glavi ali nogi glavne spletne strani), po možnosti z največ enim dodatnim klikom na ustrezno povezavo in ne »skrite« v različnih izbirnikih in navigaciji spletne strani.

ad 3

Odgovornost za skladnost z določbami Splošne uredbe in ZVOP-2 je v prvi vrsti na upravljavcu osebnih podatkov, v določenih delih, kjer se obveznosti nalagajo neposredno obdelovalcu, pa lahko tudi obdelovalec. Ko govorimo o izvajanju videonadzora je naročnika takšne storitve treba šteti za upravljavca, ponudnika, kot je recimo vaša družba, pa za obdelovalca. Odgovornosti in pravice enega in drugega morajo biti urejene v pogodbi, ki mora ustrezati zahtevam 28. člena Splošne uredbe.

Odgovornost za kršitve se vedno ugotavlja v vsakem primeru posebej in upoštevaje vse konkretne okoliščine primera, vendar pa že po naravi stvari izhaja, da je za nekatere kršitve lahko odgovoren samo upravljavec in ne (tudi) obdelovalec. Takšen primer je recimo dolžnost glede sprejema pisne odločitve o uvedbi videonadzora, kar je dolžnost upravljavca in ne obdelovalca, in je upravljavec niti ne more poveriti obdelovalcu, saj mora med drugim sam utemeljiti razloge, iz katerih uvaja videonadzor. Podobno velja za pripravo in objavo obvestila o izvajanju videonadzora na spletni strani upravljavca, saj je tudi to po naravi stvari dolžnost upravljavca in obdelovalec praviloma niti ne razpolaga z vsemi informacijami za ustrezno pripravo obvestila ali dostopnimi pravicami za urejanje spletnih strani upravljavca.

Določene naloge pa upravljavec lahko poveri obdelovalcu, npr. namestitev (fizičnih) obvestil o izvajanju videonadzora, ki jih je vsebinsko opredelil oziroma določil upravljavec. Upravljavec sicer lahko za to pooblasti svojega obdelovalca, vendar bo v primeru kršitve moral izkazati, da je to dejansko storil, torej poveril to nalogo obdelovalcu oz. ga za to pooblastil ter da je obdelovalec tisti, ki poverjene naloge ni opravil.

Odgovornost za kršitev se tako ugotavlja v vsakem primeru posebej in je ni primerno posploševati. Dodatno opozarjajmo še, da lahko obdelovalec osebne podatke obdeluje samo po dokumentiranih navodilih upravljavca - točka a) prvega odstavka 28. člena Splošne uredbe.

Lepo vas pozdravljamo,

Mojca Prelesnik, univ. dipl. prav., Informacijska pooblaščenka

Pripravil

mag. Andrej Tomšič, namestnik informacijske pooblaščenke