Informacijski pooblaščenec Republika Slovenija
   
dekorativna slika

GPS sledenje službenih vozil

+ -
Datum: 02.08.2021
Številka: 07121-1/2021/1353
Kategorije: Delovna razmerja, Moderne tehnologije

Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaše zaprosilo za mnenje glede GPS sledenja službenih vozil komercialistov na terenu, ki ga izvaja delodajalec.

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba o varstvu podatkov), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, 177/20, v nadaljevanju: ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju: ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.

IP uvodoma poudarja, da lahko podaja nezavezujoča mnenja in pojasnila, ne sme pa izven konkretnih inšpekcijskih postopkov preverjati primernosti izbrane pravne podlage ali namenov oziroma obsega obdelave osebnih podatkov v konkretnem primeru. Tako v tem okviru tudi ne more dokončno presojati o dopustnosti uvedbe GPS sledenja.

IP uvodoma v zvezi z vprašanjem iz vašega zaprosila za mnenje pojasnjuje, da je vgradnja in uporaba sledilne opreme v vozilih dopustna ob upoštevanju določenih pogojev in zagotovitvi ustreznih varovalk za zmanjšanje posega v zasebnost posameznika (v konkretnem primeru zaposlenega - komercialista).

IP splošno pojasnjuje, da je treba za vsako obdelavo osebnih podatkov najprej zagotoviti ustrezno pravno podlago. V skladu s 6. členom Splošne uredbe o varstvu podatkov je obdelava osebnih podatkov zakonita le in kolikor je izpolnjen vsaj eden od naslednjih pogojev:

(a) posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov;

(b) obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe;

(c) obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca;

(d) obdelava je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe;

(e) obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu;

(f) obdelava je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok.«

Izbor ustrezne pravne podlage za posamezno obdelavo je obveznost upravljavca (v konkretnem primeru delodajalca), ki mora pri tem upoštevati konkretne okoliščine in namene obdelave. Ob tem IP pojasnjuje, da poseben zakon, ki bi urejal področje uporabe GPS naprav, v Sloveniji ne obstaja. Glede na navedbe v vašem zaprosilu za mnenje IP izpostavlja pravno podlago obdelave za izvajanje pogodbe, katere stranka je posameznik, na katerega se nanašajo osebni podatki (točka (b) prvega odstavka 6. člena Splošne uredbe o varstvu podatkov).

Ob tem IP opozarja na načelo najmanjšega obsega podatkov, ki določa, da morajo biti pod pogojem, da obstaja pravna podlaga, osebni podatki, ki se obdelujejo, ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo. Navedeno načelo pomeni, da je potrebno obdelovati samo toliko osebnih podatkov zaposlenih, kolikor je nujno potrebno za izpolnitev namena v konkretnem primeru.

IP nadalje pojasnjuje, da mora upravljavec (delodajalec) pred uvedbo GPS tehnologije presoditi dopustnost in utemeljenost namena, zaradi katerega želi uvesti takšno tehnologijo. Poleg tega mora presoditi tudi njegovo primernost in sorazmernost; ali bi isti namen lahko zadovoljivo dosegli tudi z uvedbo ukrepov, ki manj posegajo v zasebnost, svobodo gibanja in dostojanstvo zaposlenih. Pred uvedbo GPS tehnologije je upravljavec dolžan zaposlene seznaniti s tem, da se v njihovih vozilih za določen namen (ki ga opredeli upravljavec) uporablja GPS tehnologija, jih seznaniti z napravo, načinom njenega delovanja, namenom njene namestitve, obsegom zbranih osebnih podatkov, rokom njihove hrambe, primeri in nameni, za katere bodo zbrani podatki uporabljeni, ter drugimi informacijami o obdelavi v skladu s 13. členom Splošne uredbe o varstvu podatkov. Najbolj primerno je, da upravljavec v ustreznem organizacijskem aktu predpiše ustrezna navodila, postopke in ukrepe. Z vsebino takšnega akta morajo biti seznanjeni vsi posamezniki, v katerih vozila se bo namestila takšna tehnologija.

Ob tem mora poskrbeti tudi za zavarovanje zbirke osebnih podatkov, ki nastane na podlagi uporabe GPS tehnologije. Gre za organizacijske in tehnične ukrepe, ki jih določata Splošna uredba o varstvu podatkov (32. člen) in ZVOP-1 (24. in 25. člen).

Ob tem IP posebej izpostavlja, da, glede na to, da v vašem zaprosilu za mnenje navajate, da službeno vozilo uporabljate tudi za druge (zasebne) namene in ne zgolj za namene opravljanja nalog za upravljavca v okviru delovnega razmerja, morate imeti med drugimi vožnjami možnost izklopiti sistem (navadno z uporabo stikala oziroma ključka). V primeru, ko namreč voznik uporablja vozilo za druge potrebe in ne zaradi opravljanja dela po pogodbi za upravljavca, bi bilo namreč sledenje s strani upravljavca z vidika varstva osebnih podatkov sporno.

IP pojasnjuje tudi, da je več informacij o varstvu osebnih podatkov pri uporabi GPS naprav na voljo tudi v smernicah, ki jih je pripravil IP in so dostopne na spletni strani IP:

https://www.ip-rs.si/fileadmin/user_upload/Pdf/smernice/GPS_smernice_net.pdf.

IP splošno vsem subjektom, ki razmišljajo o uvedbi GPS tehnologije, priporoča, da v skladu s 35. členom Splošne uredbe o varstvu osebnih podatkov izvedejo oceno učinka v zvezi z varstvom osebnih podatkov. IP je na temo ocene učinkov izdelal Smernice o ocenah učinkov na varstvo podatkov, ki so dostopne na spletni strani:

https://www.ip-rs.si/prirocniki_smernice/Smernice_o_ocenah_ucinka.pdf

Gre za vnaprejšnjo presojo, ali oziroma pod kakšnimi pogoji bi bila uporaba GPS naprav zakonita, sorazmerna, transparentna, varna itd. Zelo pomembno je izhajati iz težav, ki naj bi jih reševali z uvedbo GPS tehnologije, pri čemer je treba realno oceniti, ali se bo na tak način dejansko doseglo zasledovane cilje (kot navedeno zgoraj, te opredeli upravljavec - v konkretnem primeru delodajalec) in ali teh ciljev ni mogoče doseči na drug način (npr. z uporabo drugih sredstev za dosego cilja), ki bi manj posegal v pravice posameznika.

IP nadalje pojasnjuje, da je v skladu s prvim odstavkom 35. člena Splošne uredbe o varstvu podatkov temeljni kriterij za vprašanje, kdaj je ocena učinkov obvezna, zlasti ocena, ali bo obdelava povzročila veliko tveganje za pravice in svoboščine posameznikov. Dodatni kriteriji so opredeljeni v tretjem odstavku istega člena.

Ob tem je treba preveriti tudi, ali gre morda za obliko obdelave iz Seznama dejanj obdelav osebnih podatkov, za katere velja zahteva po izvedbi ocene učinka v zvezi z varstvom osebnih podatkov po 4. odstavku 35. člena Splošne uredbe o varstvu podatkov in ko je torej predhodna izvedba ocene učinka v zvezi z varstvom osebnih podatkov obvezna. IP je pripravil tak seznam in ga objavil na spletni strani:

https://www.ip-rs.si/fileadmin/user_upload/Pdf/Ocene_ucinkov/Seznam_dejanj_obdelav_osebnih_podatkov__za_katere_velja_zahteva_po_izvedbi_ocene_ucinka_v_zvezi_z_varstvom_osebnih_podatkov.pdf

 

Glede pridobitve informacij o obdelavi vaših osebnih podatkov v okviru uporabe GPS sledenja vozil, IP najprej splošno pojasnjuje, da Splošna uredba o varstvu podatkov pravico do dostopa oziroma do seznanitve z lastnimi osebnimi podatki ureja v 15. členu, ki v prvem odstavku določa, da ima posameznik, na katerega se nanašajo osebni podatki, pravico od upravljavca dobiti potrditev, ali se v zvezi z njim obdelujejo osebni podatki, in kadar je temu tako, dostop do osebnih podatkov in naslednje informacije:

  1. namene obdelave;
  2. vrste zadevnih osebnih podatkov;
  3. uporabnike ali kategorije uporabnika, ki so jim bili ali jim bodo razkriti osebni podatki, zlasti uporabnike v tretjih državah ali mednarodnih organizacija;
  4. kadar je mogoče, predvideno obdobje hrambe osebnih podatkov ali, če to ni mogoče, merila, ki se uporabijo za določitev tega obdobja;
  5. obstoj pravice, da se od upravljavca zahteva popravek ali izbris osebnih podatkov ali omejitev obdelave osebnih podatkov v zvezi s posameznikom, na katerega se nanašajo osebni podatki, ali obstoj pravice do ugovora taki obdelavi;
  6. pravico do vložitve pritožbe pri nadzornem organu;
  7. kadar osebni podatki niso zbrani pri posamezniku, na katerega se ti nanašajo, vse razpoložljive informacije v zvezi z njihovim virom;
  8. obstoj avtomatiziranega sprejemanja odločitev, vključno z oblikovanjem profilov iz člena 22(1) in (4) Splošne uredbe (EU) o varstvu podatkov, ter vsaj v takih primerih smiselne informacije o razlogih zanj, kot tudi pomen in predvidene posledice take obdelave za posameznika, na katerega se nanašajo osebni podatki.

 

Zahteva se vloži pri upravljavcu, za katerega posameznik meni, da obdeluje njegove osebne podatke. Rok za odločitev upravljavca je en mesec od prejema zahteve. Zoper molk upravljavca ali zoper njegov zavrnilni odgovor je mogoča pritožba, za reševanje katere je pristojen IP. Pritožbo zaradi zavrnitve je treba vložiti v 15 dneh od prejema odgovora. V pomoč vam je lahko obrazec pritožbe (P-SLOP), ki je dostopen na spletni strani IP.

IP vam svetuje, da pri upravljavcu (delodajalcu) podate zahtevo za seznanitev z lastnimi osebnimi podatki in počakate na njegov odgovor oziroma na potek roka za odgovor. IP svetuje tudi, da v zahtevi čim bolj natančno opredelite, kaj v zvezi z vašimi osebnimi podatki vas posebej zanima (kot ste to opredelili v zaprosilu, ki ste nam ga poslali). Za podrobnejše informacije v zvezi z navedeno pravico in kako jo uveljavljati, vas napotujemo na našo spletno stran, kjer lahko najdete tudi (neobvezujoč) obrazec zahteve:

https://tiodlocas.si/zelim-vedeti-kaj-pocnejo-z-mojimi-podatki/.

Iz informacij upravljavca, ki jih boste pridobili na podlagi 15. člena Splošne uredbe o varstvu podatkov, naj bi bilo razvidno, ali podjetje osebne podatke obdeluje na zakoniti pravni podlagi. Če boste na podlagi prejetih informacij presodili, da konkretni upravljavec nezakonito obdeluje vaše osebne podatke, lahko pri IP vložite prijavo kršitve varstva osebnih podatkov. To lahko storite po elektronski pošti na naslov gp.ip@ip-rs.si, oz. po navadni pošti na naslov: Informacijski pooblaščenec, Dunajska cesta 22, 1000 Ljubljana.

Priporočamo, da prijavo pošljete na ustreznem obrazcu.

 

S spoštovanjem.

 

 

 

Pripravil:

Matej Sironič,                                                   

Svetovalec pooblaščenca

za varstvo osebnih podatkov

 

Mojca Prelesnik, univ. dipl. prav.,

Informacijska pooblaščenka