Obdelava OP v povezavi s sistemi kontrole pristopa
+ -Številka: 07121-1/2022/1255
Kategorije: Pooblaščene osebe za varstvo podatkov - DPO, Pravica do seznanitve z lastnimi osebnimi podatki, Stanovanjsko in nepremičninsko pravo, Zbirke osebnih podatkov
Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaš dopis, v katerem nam pojasnjujete, da ste lastnik stanovanja v več stanovanjski hiši, kjer imate vzpostavljen sistem kontrole pristopa. Vsak daljinec in žeton, s pomočjo katerih vstopate v garažo in prehod skozi vrata, naj bi bili vezani na stanovanje in s tem naj bi po vašem mnenju že potekala obdelava osebnih podatkov. Sprašujete se, kako sta bili sistem in s tem baza njegovih podatkov postavljeni, brez da bi izvajalec vedel kaj se kje dogaja. Sumite, da izvajalec ni pooblaščen za osebne podatke ter poudarjate, da se ne ve kdo upravlja z vsemi podatki. Prepričani ste tudi, da baza podatkov pri nas ni prijavljena, niti nimate v zvezi z zadevno obdelavo imenovanega pooblaščenca.
***
Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba o varstvu podatkov), 76. členom Zakona o varstvu osebnih podatkov na področju obravnavanja kaznivih dejanj (Uradni list RS, št. 177/20, v nadaljevanju ZVOPOKD), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju: ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju: ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.
1. V kolikor prihaja do obdelave osebnih podatkov (npr. če se zbirajo/beležijo/uporabljajo podatki o določljivih posameznikih) mora upravljavec zagotoviti za obdelavo ustrezno pravno podlago.
2. Posamezniki lahko vedno na upravljavca po 15. členu Splošne uredbe naslovijo zahtevo za seznanitev z lastnimi osebnimi podatki ter od upravljavca dobijo potrditev; ali o posamezniku zbira osebne podatke; katere osebne podatke obdeluje; s katerimi nameni; na kateri pravni podlagi; uporabnike, ki obdelujejo oz. so jim bili posredovani osebni podatki itd.
3. Prijava zbirk OP v register zbirk OP s 25. 5. 2018 glede na določbe Splošne uredbe o varstvu podatkov ni več obvezna.
4. Pooblaščeno osebo za varstvo osebnih podatkov je potrebno imenovati med drugim tudi kadar temeljne dejavnosti upravljavca ali obdelovalca zajemajo dejanja obdelave, pri katerih je treba zaradi njihove narave, obsega in/ali namenov posameznike, na katere se nanašajo osebni podatki, redno in sistematično obsežno spremljati.
O b r a z l o ž i t e v:
IP uvodoma poudarja, da izven postopka inšpekcijskega nadzora oziroma drugega upravnega postopka konkretnih obdelav osebnih podatkov ne more in ne sme presojati. V mnenju lahko zato podamo zgolj splošna pojasnila z vidika varstva osebnih podatkov, ne moremo pa presojati ustreznosti konkretnega ravnanja posameznih upravljavcev.
Pojem osebni podatek pomeni skladno s členom 4(1) Splošne uredbe katero koli informacijo v zvezi z določenim ali določljivim posameznikom; določljiv posameznik je tisti, ki ga je mogoče neposredno ali posredno določiti, zlasti z navedbo identifikatorja, kot je ime, identifikacijska številka, podatki o lokaciji, spletni identifikator, ali z navedbo enega ali več dejavnikov, ki so značilni za fizično, fiziološko, gensko, duševno, gospodarsko, kulturno ali družbeno identiteto tega posameznika. Najverjetneje bi tako podatki, ki izhajajo iz žetonov vezanih na posamezno stanovanje, v kolikor le ti določajo konkretnega posameznika lahko predstavljali osebne podatke.
Skladno s členom 4(2) Splošne uredbe pomeni obdelava vsako dejanje ali niz dejanj, ki se izvaja v zvezi z osebnimi podatki ali nizi osebnih podatkov z avtomatiziranimi sredstvi ali brez njih, kot je zbiranje, beleženje, urejanje, strukturiranje, shranjevanje, prilagajanje ali spreminjanje, priklic, vpogled, uporaba, razkritje s posredovanjem, razširjanje ali drugačno omogočanje dostopa, prilagajanje ali kombiniranje, omejevanje, izbris ali uničenje.
V kolikor torej prihaja do obdelave osebnih podatkov (npr. če se zbirajo/beležijo/uporabljajo podatki o določljivih posameznikih) mora upravljavec osebnih podatkov za nameravano obdelavo zagotoviti ustrezno in zakonito pravno podlago. Pravne podlage so določene v členu 6 Splošne uredbe in so sledeče:
• privolitev (točka (a)),
• sklenitev ali izvajanje pogodbe (točka (b)),
• zakon (točka (c)),
• zaščita življenjskih interesov posameznika (točka (d)),
• izvajanje javne naloge (točka (e) v zvezi s četrtim odstavkom 9. člena ZVOP-1),
• zakoniti interesi upravljavca, ki ne prevladajo nad interesi in pravicami posameznika (točka (f)).
Kot že pojasnjeno zgoraj IP v okviru neobvezujočega mnenja ne more namesto upravljavca presojati in določati pravno podlago za obdelavo osebnih podatkov. Izbira ustrezne pravne podlage za obdelavo osebnih podatkov, upoštevajoč konkretne okoliščine in namen obdelave, je vedno izključno obveznost upravljavca, ki za zakonito obdelavo osebnih podatkov tudi odgovarja.
Pri tem pa pojasnjujemo, da se lahko vsak posameznik vedno obrne na upravljavca osebnih podatkov (v vašem primeru na podjetje oz. izvajalca, ki zagotavlja sistem kontrole pristopa) ter pri njem uveljavlja svojo pravico do seznanitve z lastnimi osebnimi podatki po 15. členu Splošne uredbe. Prvi odstavek 15. člena Splošne uredbe tako določa, da ima posameznik, na katerega se nanašajo osebni podatki, pravico od upravljavca dobiti potrditev, ali se v zvezi z njim obdelujejo osebni podatki, in kadar je temu tako, dostop do osebnih podatkov in informacije, kot so nameni obdelave, pravna podlaga za obdelavo, predvideno obdobje hrambe, uporabniki osebnih podatkov, itd. Več informacij o pravici do seznanitve z lastnimi osebnimi podatki in glede njenega uveljavljanja je dostopnih tudi na naši spletni strani: https://tiodlocas.si/zelim-vedeti-kaj-pocnejo-z-mojimi-podatki/ in v številnih naših že objavljenih mnenjih (npr. mnenje IP št. 07121-1/2022/628 z dne 8. 6. 2022).
Zahteva za seznanitev z lastnimi osebnimi podatki se vloži pri upravljavcu, za katerega posameznik meni, da obdeluje njegove osebne podatke (v vašem primeru na podjetje oz. izvajalca, ki zagotavlja sistem kontrole pristopa). IP svetuje, da v zahtevi jasno opredelite, katere informacije želite od upravljavca pridobiti, npr. namene obdelave; kateri podatki se obdelujejo; uporabnike ali kategorije uporabnika, ki so jim bili ali jim bodo razkriti osebni podatki itd. Rok za odločitev upravljavca je en mesec od prejema zahteve. Zoper molk upravljavca ali zoper njegov zavrnilni odgovor je mogoča pritožba, za reševanje katere je pristojen IP. Pritožbo zaradi zavrnitve je treba vložiti v 15 dneh od prejema odgovora oz. po preteku enomesečnega roka, v kolikor upravljavec na vašo zahtevo ne odgovori.
V pomoč vam je lahko obrazec pritožbe (SLOP), ki je dostopen na spletni strani IP: https://www.ip-rs.si/fileadmin/user_upload/doc/obrazci/ZVOP/Zahteva_za_seznanitev_z_lastnimi_osebnimi_podatki__Obrazec_SLOP_.doc
IP pri tem še pojasnjuje, da vsak, ki meni, da kdo krši predpise s področja varstva osebnih podatkov, lahko vloži prijavo pri IP. IP nato po uradni dolžnosti izvede ustrezne inšpekcijske postopke, če iz prijave izhaja utemeljen sum kršitve določb Splošne uredbe oziroma drugih predpisov s področja varstva osebnih podatkov. Več o vložitvi prijave in inšpekcijskem nadzoru IP si lahko preberete na spletnih straneh: https://www.ip-rs.si/varstvo-osebnih-podatkov/pravice-posameznika/vložitev-prijave
Glede dolžnosti imenovanja pooblaščene osebe za varstvo podatkov IP na splošno le poudarja, da Splošna uredba v 37. členu določa, da se mora pooblaščeno osebo imenovati kadar obdelavo opravljajo:
• javni organi ali telesa, razen sodišč, kadar delujejo kot sodni organ;
• podjetja, katerih temeljne dejavnosti zajemajo dejanja obdelave, pri katerih je treba zaradi njihove narave, obsega in/ali namenov posameznike redno in sistematično obsežno spremljati.
• podjetja in institucije, ki izvajajo obsežno obdelavo zdravstvenih in drugih občutljivih podatkov, ki sodijo med t.i. posebne vrste podatkov;
Podrobnejše razlage in konkretne primere, kaj obsegajo pojmi »temeljne dejavnosti«, »velik obseg« in »redno in sistematično spremljanje«, najdete v Smernicah o pooblaščenih osebah za varstvo osebnih podatkov Delovne skupine za varstvo podatkov iz člena 29, do katerih lahko dostopate na povezavi: https://www.ip-rs.si/fileadmin/user_upload/Pdf/Mednarodno_delovanje/wp243rev01_sl.pdf. Ali so pogoji za imenovanje pooblaščene osebe za varstvo osebnih podatkov v vašem konkretno izpostavljenem primeru izpolnjeni ali ne pa bi IP lahko zaradi pomanjkanja vseh relevantnih dokumentov, okoliščin ter pravnih podlag konkretnega primera lahko presojal le v okviru inšpekcijskega oz. drugega upravnega postopka.
Glede dolžnosti prijavljanja baz oz. zbirk osebnih podatkov pri nadzornem organu - pri IP, pa še dodajamo, da prijava zbirk podatkov, za katere se uporablja Splošna uredba, po uveljavitvi Splošne uredbe s 25. 5. 2018 namreč ni več obvezna. Opozarjamo pa, da Splošna uredba predpisuje vodenje t.i. evidence dejavnosti obdelave, skladno s 30. členom Splošne uredbe, ki jo mora upravljavec nadzornemu organu predložiti na njegovo zahtevo. Več informacij o evidencah dejavnosti obdelave lahko najdete na spletni strani IP: https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/kljucna-podrocja-uredbe/evidenca-dejavnosti-obdelave/.
V upanju, da ste dobili odgovor na vaša vprašanja, vas lepo pozdravljamo.
Pripravil:
Grega Rudolf,
asistent svetovalca pri IP
Mojca Prelesnik, univ. dipl. prav.,
informacijska pooblaščenka