Zbiranje osebnih podatkov na javnem prostoru
+ -Številka: 07121-1/2020/1219
Kategorije: Pravne podlage
Informacijski pooblaščenec (v nadaljevanju IP) je po e-pošti prejel vaše zaprosilo za mnenje. Navedli ste, da v soboto načrtujete manjšo prireditev na zunanjem javnem prostoru. Gre za 2-urni nastop glasbene skupine, ki bo odprt ter dostopen vsem. Nov ukrep vlade dovoljuje zbiranje nad 10 oseb, če se vodi evidenca (ime, priimek, stalno prebivališče) udeležencev. Zanima vas, ali je dovoljeno na javni prireditvi, na javnem zunanjem prostoru, spraševati in zapisovati zgoraj navedene osebne podatke ljudi, ki bodo prišli na dogodek? Navajate tudi, da je prireditev prijavljena in je dobila dovoljenje za izvedbo od NIJZ (pred včerajšnjim ukrepom vlade).
***
Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju na podlagi 58. člena Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba), 7. točke prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07, uradno prečiščeno besedilo, v nadaljevanju ZVOP-1) ter 2. člena Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem. IP uvodoma poudarja, da IP izven postopka inšpekcijskega nadzora oziroma drugega upravnega postopka konkretnih obdelav osebnih podatkov ne more presojati.
IP ugotavlja, da je bil 8. 7. 2020 sprejet Odlok o spremembah in dopolnitvi Odloka o začasni splošni omejitvi oziroma prepovedi zbiranja ljudi v Republiki Sloveniji (Uradni list RS, št. 96/2020), z veljavnostjo od 9. 7. 2020. Skladno z drugim odstavkom 2. člena spremenjenega Odloka o začasni splošni omejitvi oziroma prepovedi zbiranja ljudi v Republiki Sloveniji (v nadaljevanju: odlok) je določeno, da je dovoljeno zbiranje več kot desetih ljudi, vendar največ do 50 ljudi, če sklicatelj, ki organizira zbiranje, vodi seznam prisotnih ljudi. Četrti odstavek v nadaljevanju določa, da osebne podatke na zahtevo NIJZ v obliki seznama posreduje sklicatelj, ki organizira zbiranje. Seznam mora vsebovati ime in priimek, naslov stalnega prebivališča, kraj zbiranja (kraj, ulico in hišno številko, kontaktno številko telefona ter podatek o tem, ali gre za zaprt ali odprt prostor) ter čas zbiranja (datum in čas začetka in konca zbiranja). Če NIJZ v roku enega meseca od izvedbe zbiranja zahteve ne pošlje, mora sklicatelj seznam uničiti.
Pojasnjujemo, da bo skladno s Splošno uredbo sklicatelj, ki organizira zbiranje, štel za upravljavca osebnih podatkov po 7. točki 4. člena Splošne uredbe. Vodenje seznama prisotnih ljudi z osebnimi podatki (ime in priimek, naslov stalnega prebivališča in kontaktna številka telefona) pa se po mnenju IP šteje za obdelavo osebnih podatkov, kot to določa 2. točka 4. člena Splošne uredbe. Tako mora biti za obdelavo osebnih podatkov najprej podana ena od ustreznih pravnih podlag, ki so določene v prvem odstavku 6. člena Splošne uredbe, v nadaljevanju pa mora upravljavec osebnih podatkov izpolniti tudi nekatere obveznosti, ki izhajajo iz Splošne uredbe oz. ZVOP-1, kot je pojasnjeno v nadaljevanju.
IP ocenjuje, da je primerna pravna podlaga za obdelavo osebnih podatkov najverjetneje točka (c) prvega odstavka 6. člena Splošne uredbe in sicer je obdelava potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca. Navedeni odlok je bil sprejet na podlagi tretje točke prvega odstavka 39. člena Zakona o nalezljivih boleznih (Uradni list RS, št. 33/06 – uradno prečiščeno besedilo in 49/20 – ZIUZEOP), skladno s katerim lahko Vlada RS prepove zbiranje ljudi po šolah, kinodvoranah, javnih lokalih in drugih javnih mestih, dokler ne preneha nevarnost širjenja nalezljive bolezni. Konkretno je namen navedene določbe odloka iz 2. člena določiti ukrepe, s katerimi se izsledijo osebe, ki so bile v stiku z okuženim, s ciljem preprečitve širjenja okužbe s Covid-19. IP ocenjuje, da nedvomno gre za zakonit cilj zavarovanja zdravja ljudi, vendar opozarja, da bi lahko bilo predpisovanje zbiranja oz. obdelave osebnih podatkov z odlokom sporno z vidika Ustave RS. Namreč, drugi odstavek 38. člena Ustave RS izrecno določa, da zbiranje, obdelovanje, namen uporabe, nadzor, in varstvo tajnosti osebnih podatkov določa zakon. Po ustaljeni ustavnosodni presoji (glej odločbo Ustavnega sodišča št. U-I-98/11 z dne 26. 9. 2012 in npr. št. U-I-152/17-30 z dne 4. 7. 2019) pomeni namreč poseg v človekovo pravico do varstva osebnih podatkov vsakršna obdelava tovrstnih podatkov. Glede na določbo citiranega drugega odstavka 38. člena Ustave RS, je poseg v pravico do varstva osebnih podatkov dopusten zgolj tedaj, če je v zakonu med drugim določno opredeljeno, kateri podatki se smejo zbirati in obdelovati. Zbirati se smejo le podatki, ki so primerni in nujno potrebni za uresničitev zakonsko opredeljenega namena. Osebni podatki se lahko obdelujejo le, če je cilj (namen) tega posega (obdelave) ustavno dopusten (tretji odstavek 15. člena Ustave RS) in če je poseg skladen s splošnim načelom sorazmernosti (2. člen Ustave RS). O ustavnosti samega odloka z Ustavo RS pa IP ni pristojen odločati, temveč lahko v postopku ocene ustavnosti in zakonitosti o tem presoja zgolj Ustavno sodišče RS.
V nadaljevanju opozarjamo, da v kolikor obstaja zakonita pravna podlaga, mora upravljavec osebnih podatkov, še preden se s strani posameznikov pridobijo osebni podatki, posameznike tudi podrobno informirati o obdelavi osebnih podatkov, kot to določa 13. člen Splošne uredbe. Vzorec glede obveščanja posameznikov lahko najdete na spletni strani IP: https://www.ip-rs.si/obrazci/varstvo-osebnih-podatkov/ (»Vzorec obvestila posameznikom glede obdelave osebnih podatkov (člen 13 Splošne uredbe)«). Med drugim je treba posameznika obvestiti o pravni podlagi za zbiranje osebnih podatkov, namenih obdelave osebnih podatkov, roku hrambe osebnih podatkov in uporabnikih osebnih podatkov.
Upravljavec osebnih podatkov mora poskrbeti, da so zbrani osebni podatki točni in ažurni, skladno z načelom točnosti iz točke (d) prvega odstavka 6. člena Splošne uredbe. Upravljavec osebnih podatkov lahko pred vnosom v zbirko osebnih podatkov preveri točnost osebnih podatkov z vpogledom v osebni dokument ali drugo ustrezno javno listino posameznika, na katerega se nanašajo (drugi odstavek 18. člena ZVOP-1). Prav tako mora poskrbeti za sprejem oz. izvajanje ustreznih tehnično-organizacijskih ukrepov za zavarovanje osebnih podatkov, npr. preprečiti nepooblaščen vpogled v seznam iz četrtega odstavka 2. člena zgoraj citiranega odloka ter brisanje zbranih osebnih podatkov po preteku roka hrambe (z odlokom je določen enomesečni rok za hrambo osebnih podatkov). Zbranih podatkov prav tako ne sme uporabljati za druge namene, kot so bili zbrani (npr. za posredovanje nepooblaščenim tretjim osebam, za neposredno trženje ali druge namene).
Glede vseh nadaljnjih vprašanj glede konkretne izvedbe dogodka oz. veljavnosti odloka vam predlagamo, da se obrnete na Vlado RS, kot pristojni organ za tolmačenje zakonite izvedbe ukrepov, določenih v zgoraj citiranem odloku.
V upanju, da ste dobili odgovor na svoje vprašanje, vas lepo pozdravljamo.
Mojca Prelesnik, univ.dipl.prav.,
informacijska pooblaščenka
Pripravila:
Barbara Pirš, univ.dipl.prav.,
Svetovalka Pooblaščenca za preventivo