E-vinjete

Informacijski pooblaščenec RS (v nadaljevanju IP) prejel vaše zaprosilo za mnenje glede zakonitosti orodja za preverjanje veljavnosti e-vinjet, ki je bilo umaknjeno po posredovanju Informacijskega pooblaščenca.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba o varstvu podatkov), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, s sprem. in dop. v nadaljevanju ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašimi vprašanjem. IP v okviru neobvezujočega mnenja ne more presojati zakonitosti konkretnih obdelav osebnih podatkov. Slednje lahko stori le v ustreznem inšpekcijskem ali drugem upravnem postopku.

IP je zoper zavezanca DARS d.d. uvedel postopek inšpekcijskega nadzora nad izvajanjem določb ZVOP-1 in Splošne uredbe, ko je ugotovil, da je zavezanec na svoji spletni strani vzpostavil informacijsko rešitev, ki je omogočala javno preverjanje veljavnosti e-vinjet za katerokoli vozilo, zgolj z vpisom registrske številke. Pri tem preverjanju je prišlo do obdelave osebnih podatkov na način omogočanja javnega dostopa do zbirke osebnih podatkov, za kar pa ni bilo izkazane ustrezne in jasne zakonske pravne podlage. Uvedbo informacijske rešitve za splošno preverjanje veljavnosti e-vinjet je v zadevnem času urejal podzakonski akt Splošni akt o cestninjenju (Uradni list RS, št. 178/21). Ker sme v skladu z 38. členom Ustave RS obdelavo osebnih podatkov določiti le zakon ali hierarhično višji pravni akt je IP opozoril zavezanca, da je bila rešitev preverjanja veljavnosti e-vinjet, kot je bila vzpostavljena, neustavna in je zato napovedal vložitev zahteve za presojo ustavnosti, če zavezanec rešitve ne bo odstranil. V nadaljevanju postopka je zavezanec sledil stališču IP in informacijsko rešitev za preverjanje e-vinjet umaknil iz spleta. S tem je bila navedena kršitev odpravljena.

V nadaljevanju je zavezanec dne 6. 4. 2022 sprejel spremembe Splošnega akta o cestninjenju, ki so bile objavljene v Uradnem listu RS št. 69/2022 dne 17. 5. 2022 in ob tem tudi vzpostavil novo informacijsko rešitev, ki več ne omogoča preverjanja veljavnosti e-vinjete na način javno dostopne zbirke podatkov temveč zgolj kot informacijo v postopku nakupa, pred izvedbo nakupa. Takšna rešitev je po mnenju IP skladna z določbo 6(1)(b) Splošne uredbe (informacija o tem, ali je za določeno vozilo že kupljena vinjeta je namreč potrebna pred nakupom nove vinjete za to isto vozilo). Ob tem so vpeljani tudi dodatni varnostni ukrepi – oseba, ki želi prek spleta opraviti nakup se mora identificirati z elektronskim naslovom, kamor prejme povezavo iz katere lahko opravi nakup.

Ker je v konkretnem primeru zavezanec kršitev odpravil, hkrati pa je vzpostavil novo rešitev, ki je zakonita v skladu s Splošno uredbo, ni bilo več razlogov za nadaljevanje inšpekcijskega postopka in je IP na podlagi četrtega odstavka 135. člena ZUP, postopek inšpekcijskega nadzora ustavil.

Ob zgoraj navedenem velja še dodati, da IP ni bil predhodno vključen v pripravo podlag in rešitev za preverjanje veljavnosti e-vinjet, kot je bila prvotno vzpostavljena. Splošna uredba med drugim določa tudi obveznost izvedbe predhodne ocene učinka (predhodnega preverjanja skladnosti s pravili varstva osebnih podatkov) v vseh primerih, ko gre za obdelavo, ki lahko pomeni večje tveganje za pravice in svoboščine posameznikov. IP je sprejel in objavil tudi podrobnejši seznam obdelav, ko je takšna ocena učinkov obvezna.[1] Po Splošni uredbi je obvezno tudi predhodno posvetovanje z nadzornim organom (IP) vselej, ko upravljavec po izvedeni oceni učinka ugotovi, da ne more primerno zmanjšati tveganj. Za prvotno rešitev preverjanja veljavnosti e-vinjete takšna ocena učinka ni bila izvedena in posledično IP tudi ni bil vključen v postopku predhodnega posvetovanja. IP pred uvedbo informacijske rešitve z njo ni bil seznanjen, zato tudi ni mogel opozoriti na nepravilnosti z vidika varstva osebnih podatkov pred nastankom posledic.

Lep pozdrav,

Mojca Prelesnik, univ. dipl. prav.

informacijska pooblaščenka

Pripravil:

Anže Novak, univ. dipl. prav.

Državni nadzornik za varstvo osebnih podatkov

[1] https://www.ip-rs.si/fileadmin/user_upload/Pdf/Ocene_ucinkov/Seznam_dejanj_obdelav_osebnih_podatkov__za_katere_velja_zahteva_po_izvedbi_ocene_ucinka_v_zvezi_z_varstvom_osebnih_podatkov.pdf