Obdelava osebnih podatkov v okviru rešitve za pametni dom
+ -Številka: 07121-1/2022/861
Kategorije: Anonimizacija/psevdonimizacija, Definicija OP, Posredovanje OP med upravljavci, Statistika in raziskovanje
Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vprašanje in sicer ste pojasnili, da ste začeli z razvojem platforme, kjer gre za tehnološko rešitev, ki prikazuje fizične objekte kot so hiše, večstanovanjski oz. poslovni objekti v trodimenzionalni obliki. Gre za pametno rešitev, ki (lahko) poleg 3D vizualizacije objekta zbira senzorske podatke z uporabo naprednih analitičnih orodij in s pomočjo strojnega učenja služi optimiziranju stroškov tako upravljanja kot vzdrževanja, kar lahko prispeva k zadovoljstvu kupca oz. uporabnika objekta. Uporabniki bodo z omenjeno rešitvijo v vsakem trenutku seznanjeni s stanjem svoje nepremičnine in potrebnimi investicijami oz. popravili ter s tem povezanimi stroški, rešitev pa vključuje storitve, kot so 3D vizualizacija, meritve in alarmiranje (povezovanje pametnih naprav in senzorjev ter spremljanje vseh ključnih meritev na enem mestu), hranjenje dokumentacije, načrtov, garancij in navodil v digitalni kopiji.
Zanima vas, kakšne so vloge posameznih udeležencev (vašega podjetja kot ponudnika platforme, proizvajalcev hiš, kupcev oziroma uporabnikov hiš), ali so vizualizacija hiše, seznam vgrajenih aparatov, tehnične podrobnosti hiše ipd. v povezavi s podatkom o lastniku hiše njegovi osebni podatki ter kakšen je status družinskih članov, ki živijo v hiši v smislu pravnih podlag za obdelavo osebnih podatkov. Zanima vas tudi vloga proizvajalcev senzorjev (npr. temperature, vlage,..), če se lastnik hiše odloči za vgradnjo takih senzorjev in se ti podatki hranijo na (vaši) platformi.
Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba o varstvu podatkov), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, 177/20, v nadaljevanju: ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju: ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.
Pri projektih pametnih domov je treba v samem začetku razjasniti vloge posameznih subjektov (ponudnik platforme, proizvajalec hiše, proizvajalci senzorjev, ponudniki dodatnih storitev), njihova medsebojna razmerja in razmerje do uporabnika ter na tej podlagi zagotoviti ustrezno informiranje posameznika o obdelavi osebnih podatkov (načelo preglednosti), primerno pravno podlago (načelo zakonitosti) ter zagotoviti upoštevanje vseh ostalih temeljnih načel varstva osebnih podatkov.
O b r a z l o ž i t e v:
IP uvodoma poudarja, da glede vprašanja, ali so vizualizacija hiše, seznam vgrajenih aparatov, tehnične podrobnosti hiše ipd. v povezavi s podatkom o lastniku hiše njegovi osebni podatki meni, da gre za osebne podatke (vsaj) lastnika hiše, saj gre za podatke, ki so v zvezi z določenim ali določljivim posameznikom. Po določbi 1. točke člena 4 Splošne uredbe je določljiv posameznik tisti, ki ga je mogoče neposredno ali posredno določiti, zlasti z navedbo identifikatorja, kot je ime, identifikacijska številka, podatki o lokaciji, spletni identifikator, ali z navedbo enega ali več dejavnikov, ki so značilni za fizično, fiziološko, genetsko, duševno, gospodarsko, kulturno ali družbeno identiteto tega posameznika.
Pri tovrstnih vprašanjih je sicer vedno treba upoštevati kontekst in konkretne okoliščine – glede na zasnovo projekta, kot ste nam jo predstavili, bo vsekakor šlo za določljive posameznike, ki bi se odločili za tovrstno rešitev - kot ponudnik sistema oziroma platforme boste obdelovali osebne podatke o svojih strankah, kar vključuje podatke o njihovi lastnini, ki se štejejo za osebne podatke.
Glede statusa družinskih članov, ki živijo v hiši, v luči pravnih podlag za obdelavo osebnih podatkov, bi bilo možno, da se določeni podatki, ki so bodo obdelovali v okviru predvidene rešitve, nanašajo tudi na njih, a je možnih kontekstov preveč, da bi lahko vse celovito obdelali – podobno kot je recimo pri uporabi nekaterih aparatov v stanovanju. V nekaterih situacijah ponudnik storitve ali sistema ne more vedeti, na katere osebo v določeni hiši oz. stanovanju se podatki nanašajo (operater elektronskih komunikacij npr. praviloma ne ve, katera oseba trenutno uporablja dostop do interneta ali gleda tv v gospodinjstvu; vozilo je registrirano na lastnika, uporabljajo pa ga tudi druge osebe v gospodinjstvu itd.), zato se večinoma šteje, da gre za osebne podatke posameznika, ki je s ponudnikom storitve oziroma sistema v pogodbenem razmerju oziroma ta obdeluje osebne podatke na podlagi zakona, privolitve ali na drugi pravni podlagi. Upoštevaje načelo poštenosti in preglednosti bi v določenih situacijah bilo primerno, da posameznik, ki je nosilec pogodbenega razmerja o vidikih zbiranja in obdelave osebnih podatkov seznani tudi osebe, katerih podatki bi se obdelovali pri uporabi določene rešitve, kjer je to seveda smiselno in primerno.
Pri obdelavi osebnih podatkov je treba spoštovati določbe Splošne uredbe o varstvu podatkov. Njihova obdelava je tako v skladu s členom 6(1) Splošne uredbe o varstvu podatkov zakonita le in kolikor je za konkretni namen obdelave izpolnjen eden od naslednjih pogojev:
(a) posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov;
(b) obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe;
(c) obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca;
(d) obdelava je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe;
(e) obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu;
(f) obdelava je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok.
Točka (f) se ne uporablja za obdelavo s strani javnih organov pri opravljanju njihovih nalog.
Glede na opis delovanja sistema bo najverjetnejša pravna podlaga z obdelavo osebnih podatkov podana v točki 1(b) člena 6 Splošne uredbe – oseba, ki bo z vami sklenila pogodbeno razmerje za uporabo sistema bo posameznik, katerega osebni podatki se bodo obdelovali za potrebe izvajanja pogodbe.
Glede vlog proizvajalcev hiše, proizvajalcev senzorjev in ponudnikov posameznih storitev pa je to v pretežni meri spet odvisno od konkretnega konteksta: odvisno od vlog, ki jih igrajo, morebitnih skupnih dogovorov in medsebojnih razmerij ter same obdelave osebnih podatkov.
Kar se tiče proizvajalcev določenih sistemov (npr. senzorjev za merjenje temperature, vlage ipd.) velja, da kolikor bi proizvajalci tudi zbirali ali dostopali do določenih osebnih podatkov za lastne namene (npr. da bi se jim posredovali dejanski podatki iz senzorjev o temperaturi, vlagi itd.), bi se tudi oni šteli za (samostojne) upravljavce osebnih podatkov in bi potrebovali svojo pravno podlago za obdelavo podatkov; podobno velja za proizvajalca same hiše.
Če bi ponudnik platforme ali pametne hiše zgolj vgradil določene funkcionalnosti, kjer proizvajalci z njihovo uporabo ne bi pridobivali osebnih podatkov, potem proizvajalcev senzorjev ne bi šteli za upravljavce osebnih podatkov (npr. da proizvajalec določenega senzorja za merjenje temperature senzorja nima nikakršnega dostopa do podatkov), se pa za upravljavca teh podatkov šteje ponudnik platforme, če se tam obdelujejo.
V primeru, da bi šlo za skupni dogovor glede namenov in sredstev obdelave – npr. medsebojni dogovor proizvajalca hiše in ponudnika platforme pametnega doma, da bodočim strankam ponudijo pametno hišo z naprednimi storitvami za upravljanje doma - bi lahko šlo tudi za t.i. skupno upravljanje (člen 26 Splošne uredbe). Ključna dolžnost v tem primeru je sklenitev ustreznega medsebojnega dogovora skladno z določbami člena 26 Splošne uredbe.
V primeru pogodbene obdelave – ko upravljavec za določena opravila nad osebnimi podatki najame drugo osebo (t.i. obdelovalca), ki v njegovem imenu in za njegov račun opravlja določene obdelave osebnih podatkov (npr. da bi konkretne podatke z določenih senzorjev zaupali v izdelavo analiz ali za izvajanje drugih storitev zunanjemu podjetju itd.), je treba paziti na ustrezno ureditev pogodbene obdelave. Vse informacije o pogodbeni obdelavi, vključno s smernicami ter primerom vzorčne pogodbe lahko najdete na spletni strani:
Upoštevati je treba tudi dolžnosti glede ustreznega informiranja posameznikov, ne glede na pravno podlago za obdelavo osebnih podatkov. Posameznik mora biti natančno obveščen o tem, v kakšnem obsegu poteka obdelava osebnih podatkov pri upravljavcu, skupnih ali več samostojnih upravljavcih in kakšne so posledice te obdelave. Splošna uredba tako upravljavcem nalaga, da ob pridobitvi osebnih podatkov posameznikom zagotovijo nekatere informacije, kot so npr. kdo obdeluje osebne podatke, zakaj jih obdeluje, komu osebne podatke posreduje, koliko časa se bodo osebni podatki hranili, katere pravice imajo posamezniki skladno s Splošno uredbo, informacije glede profiliranja oziroma avtomatiziranega odločanja in informacijo o tem, ali obdelujejo osebne podatke za druge namene. Splošna uredba o varstvu podatkov v členih 13 in 14 tako določa, katere so informacije, ki jih mora upravljavec zagotoviti posameznikom, odvisno od tega, ali so bili osebni podatki pridobljeni neposredno od posameznika ali iz drugega vira.
Vse informacije o ustreznem informiranju posameznikov, vključno s primerom vzorčnega obrazca so na voljo na:
Kolikor bi imeli dodatna vprašanja se lahko obrnete na nas.
S spoštovanjem.
Mojca Prelesnik, univ. dipl. prav.,
Informacijska pooblaščenka
Pripravil:
mag. Andrej Tomšič,
namestnik informacijske pooblaščenke