Pogoj nekaznovanosti za izdajo dostopne dovolilnice v Luko Koper

obrnili ste se na Informacijskega pooblaščenca RS (v nadaljevanju IP) s svojim zaprosilom za mnenje, v katerem pojasnjujete, da Luka Koper, d.d. zahteva od poslovnih partnerjev, da za podaljšanje izdanih dovolilnic za gibanje na območju Luke Koper, posredujejo Luki Koper originalna potrdila (1) da zoper osebo ne teče kazenski postopek in (2) o nekaznovanosti. Navedeni potrdili predstavljata nujni pogoj za podaljšanje dovolilnice. Zanima vas, ali je takšna zahteva skladna s pravili varstva osebnih podatkov. V prilogi ste posredovali dodatna pojasnila Luke Koper, ki so dostopna tudi na njihovi spletni strani.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba o varstvu podatkov), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašimi vprašanji.

IP v okviru neobvezujočega mnenja ne more soditi o upravičenosti Luke Koper do zbiranja potrdil o nekaznovanosti in potrdil, da posameznik ni obtožen za kaznivo dejanje, saj lahko to stori le ob upoštevanju vseh okoliščin primera v konkretnem inšpekcijskem postopku. IP v zvezi s tem že vodi inšpekcijski postopek, ki še ni zaključen.

Glede na ugotovitve, pa bi eventualno lahko pravni temelj za zbiranje tovrstnih potrdil predstavljala bodisi točka 6 (1) (c) (če to zahtevajo posebni predpisi) bodisi točka 6 (1) (f) Splošne uredbe, ki dopušča obdelavo, če obstaja zakoniti interes upravljavca in z njegovim izvrševanjem ni pretirano poseženo v zasebnost posameznika.

O b r a z l o ž i t e v:

Iz Dodatnega obvestila Luke Koper z dne 22.11.2018 izhaja:

»Luka Koper d.d. oziroma pristanišče, s katerim družba upravlja, je objekt posebnega pomena za obrambo in gospodarstvo Republike Slovenije ter objekt kritične infrastrukture. Vrsta dokumentov in predpisov posebno pozornost namenja zagotavljanju varnosti koprskega pristanišča. Ključni predpis, ki opredeljuje varnostne ukrepe in hkrati daje pravno podlago za obdelavo osebnih podatkov zaradi zagotavljanja varnosti pristanišča je Uredba Evropskega parlamenta in Sveta (ES) št. 725/2004 z dne 31. marca 2004 o povečanju zaščite na ladjah in v pristaniščih ter Direktiva Evropskega parlamenta in Sveta 2005/65/ES z dne 26. oktobra 2005 o krepitvi varnosti v pristaniščih. V skladu z navedenimi predpisi je Luka Koper d.d. v varnostnem načrtu opredelila tudi določene varnostne ukrepe, med katerimi je tudi varnostno preverjanje. Varnostno preverjanje se opravlja tudi s pomočjo predložitve Potrdil o nekaznovanosti ter Izpisa iz kazenske evidence. V primerih, kadar je oseba v kazenskem postopku, obsojena za kaznivo dejanje ali zalotena pri kaznivem dejanju se lahko dovolilnica prekliče ali pa zavrne njena izdaja. Pomemben pravni akt je tudi Pravilnik o notranjem redu Luke Koper d.d. (2011), ki daje podlago, da Področje pristaniške varnosti (služba varovanja) pred izdajo dovolilnice zahteva tudi druga dodatna dokazila. Osebne podatke, ki jih Področje pristaniške varnosti obdeluje obravnavamo in varujemo v skladu z GDPR, ZVOP ter internimi akti Luke Koper d.d..«

IP pojasnjuje, da zahteva za posredovanje potrdil o nekaznovanosti in potrdil o ne-obtožbi za kaznivo dejanje, predstavlja obdelavo osebnih podatkov, za katero mora obstajati ustrezna pravna podlaga. Pravne podlage za obdelavo osebnih podatkov so navedene v členu 6(1) Splošne uredbe. Po členu 6(1)(c) je obdelava osebnih podatkov dopustna, če obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca.

Iz evropskih predpisov, ki jih navaja Luka Koper, ne izhaja izrecna zahteva, da bi moral upravljavec pristanišča za varnostno preverjanje vedno in za vsako pristanišče ugotavljati tudi predkaznovanost oziroma neudeležbo v kazenskem postopku. Hkrati pa glede na določbe teh predpisov ni pa izključeno, da bi lahko v določenih primerih upravljavec imel to obveznost zaradi zagotavljanja varnosti. Predpisa, ki jih navaja upravljavec v dodatnem pojasnilu sta naslednja:

• Uredba Evropskega parlamenta in Sveta (ES) št. 725/2004 z dne 31. marca 2004 o povečanju zaščite na ladjah in v pristaniščih,

• Direktiva Evropskega parlamenta in Sveta 2005/65/ES z dne 26. oktobra 2005 o krepitvi varnosti v pristaniščih (Direktiva 2005/65/ES) in na njeni podlagi izdane Uredba o izvajanju zaščitnih ukrepov na ladjah in v pristaniščih (Uradni list RS, št. 64/04, 41/07 in 68/12).

Iz navedenih dokumentov na splošno izhaja zahteva, da mora upravljavec zagotavljati varnost na način, da sprejme varnostno oceno in na njeni podlagi varnostni načrt, v katerem opredeli tudi pogoje za varnostno preverjanje. To torej zakonske obveznosti upravljavca pristanišča in te lahko eventualno, če to zahteva varnostna ocena, varnostni načrt in pogoji za varnostno preverjanje vključujejo tudi zahtevo po predložitvi potrdila o nekaznovanosti. Glede na navedeno IP v okviru mnenja ne more dokončno presoditi, ali bi lahko v konkretnem primeru šlo za obdelavo na podlagi točke (c) člena 6 (1) Splošne uredbe.

Luka Koper, d.d., kot izvajalec gospodarske javne službe sodi v zasebni in ne v javni sektor – zato podlaga za obdelavo osebnih podatkov tudi ne more izhajati iz točke 6 (1) (e) (obdelava, ki je potrebna za izvajanje naloge v javnem interesu).

Eventualno pa bi lahko pravna podlaga za zbiranje omenjenih potrdil izhajala tudi iz člena 6 (1) (f) Splošne uredbe. Ta določa, da je obdelava dopustna, kadar je obdelava potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok. Navedena pravna polaga sloni na zakonitih interesih upravljavca, ki morajo biti uravnoteženi z upravičenostjo posega v zasebnost posameznika glede na zasledovan cilj (v konkretnem primeru – varnost v pristanišču). Pojasnjujemo, da ko upravljavci obdelujejo osebne podatke na podlagi člena 6 (1) (f) Splošne uredbe imajo posamezniki, katerih osebni podatki se obdelujejo, možnost, da neposredno pri upravljavcu (Luki Koper) ugovarjajo obdelavi osebnih podatkov, skladno s členom 21 Splošne uredbe. Več o pravici do ugovora, si lahko preberete na spletni strani, ki jo je IP pripravil v okviru EU projekta za pomoč posameznikom pri uveljavljanju njihovih pravic po Splošni uredbi – tiodlocas.si (https://tiodlocas.si/zelim-ugovarjati-obdelavi-mojih-podatkov/).

Ali so v konkretnem primeru izpolnjeni pogoji za »uravnotežen poseg« v pravico do zasebnosti oziroma ali gre za obdelavo, ki izhaja iz obveznosti po zgolj omenjeni uredbi EU, pa IP v okviru neobvezujočega mnenja ne more in ne sme oceniti, saj je to odvisno od konkretnih razlogov za tako odločitev Luke Koper in vseh okoliščin primera, ki so tudi predmet presoje v inšpekcijskem postopku, ki ga vodi IP.

Navedeni konkretni razlogi (ali zakoniti interes upravljavca) oziroma vrsta pravne podlage bi glede na področno ureditev morali izhajati iz varnostne ocene, varnostnega načrt in se nadalje odražati v zahtevah glede varnostnega preverjanja. S temi konkretnimi razlogi oziroma s pravno podlago, pa bi morali biti posamezniki tudi seznanjeni, (tako zahtevata člena 13 in 14 Splošne uredbe). Člena 13 in 14 Splošne uredbe namreč izrecno zahtevata, da se posameznika seznani z informacijami o pravni podlagi. Kadar pa obdelava temelji na točki (f) člena 6(1), mora upravljavec posameznika seznaniti tudi z zakonitimi interesi, za uveljavljanje katerih si prizadeva upravljavec ali tretja oseba. IP glede navedene določbe tudi meni, da mora biti tovrstno pojasnilo ustrezno konkretizirano in da splošna napotitev na akt ali dokument, ki predpisuje varnostne zahteve, ne zadošča za transparentno obdelavo osebnih podatkov.

Kot navedeno, IP v okviru mnenja ne more na splošno soditi, ali v konkretnem primeru obstaja pravna podlaga za pridobivanje potrdil o nekaznovanosti in potrdil, da oseba ni udeležena v kazenskem postopku. O tem pa lahko pojasnimo, da je za utemeljitev potrebnosti ukrepa glede na poseg v zasebnost, treba upoštevati vsa splošna načela varstva osebnih podatkov, določena v členu 5 Splošne uredbe. Slednja zahtevajo tudi, da so osebni podatki zbrani za določene, izrecne in zakonite namene („omejitev namena“) in da se zbira le tiste podatke, ki so ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo („najmanjši obseg podatkov“). Zadostitev tem načelom je ključna za utemeljitev sorazmernosti posega v zasebnost, še posebej to velja v primeru obdelave osebnih podatkov na podlagi točke (f) (člena 6(!) Splošne uredbe o varstvu podatkov).

Vsekakor pa IP ocenjuje, da bi moralo iz internih aktov jasno izhajati, v katerih primerih je pridobivanje potrdil o nekaznovanosti in potrdil, da oseba ni udeležena v kazenskem postopku zahtevano in torej, kdaj je to ustrezen in primeren ukrep za zasledovanje zakonitega cilja – zahtevane varnosti pristanišča.

Kot zgoraj poudarjeno, IP v okviru neobvezujočega mnenja ne more soditi o upravičenosti Luke Koper do zbiranja potrdil v originalni obliki. To pa bo storil v konkretnem inšpekcijskem postopku, ki ga v zvezi s tem že vodi.