Informacijski pooblaščenec Republika Slovenija
   
dekorativna slika

Pravna podlaga za obdelavo osebnih podatkov

+ -
Datum: 28.06.2022
Številka: 07121-1/2022/723
Kategorije: Informiranje posameznika, Pravica do seznanitve z lastnimi osebnimi podatki

Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaš dopis, v katerem nas seznanjate, da v domu starejših občanov, ob prihodu na obisk k svojcem, zahtevajo izpolnitev obrazca, na katerem morate zapisati številne osebne podatke (telefonsko številko, izmerjeno temperaturo, čas prihoda, ime in priimek obiskovalca in obiskanega svojca). Zanima vas, ali ima takšna zahteva pravno podlago?

 

***

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju: ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju: ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

 

  1. Upravljavci osebnih podatkov imajo dolžnost informiranja posameznikov o obdelavi njihovih osebnih podatkov (namenih obdelave, pravni podlagi za obdelavo, obdobje hrambe itd.)
  2. Informacije o obdelavi osebnih podatkov morajo biti posameznikom dane že pred samo obdelavo in sicer na dostopen način ter predstavljene v jasnem in razumljivem jeziku. Dodatno pa ima vsak posameznik še zagotovljeno pravico do seznanitve z lastnimi osebnimi podatki.
  3. Vsekakor morajo biti osebni podatki, ki se obdelujejo o posameznikih ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo.
  4. Upravljavci bi se morali pred uporabo sistemov merjenja temperature o tem posvetovati s predstavniki zdravstvene stroke ter tako pridobiti oceno, ali je tovrstno merjenje nujno in primerno, v kakšnem obsegu naj se izvaja ter kakšen obseg hrambe podatkov je primeren, če sploh.

 

O b r a z l o ž i t e v:

IP uvodoma poudarja, da lahko podaja neobvezujoča mnenja in pojasnila, ne sme pa izven konkretnih inšpekcijskih postopkov preverjati primernosti izbrane pravne podlage ali namenov oziroma obsega obdelave osebnih podatkov v konkretnem primeru. IP tako v okviru mnenja ne sme, niti ne more presojati ustreznosti obrazca, ki ste ga priložili vašemu zaprosilu, s predpisi s področja varstva osebnih podatkov oz. namesto upravljavca v mnenju presojati ustreznosti oz. zakonitosti izbrane pravne podlage za obdelavo osebnih podatkov, saj je to odgovornost in naloga izključno konkretnega upravljavca.

Določitev ustrezne pravne podlage (6. člen Splošne uredbe) ter informiranje posameznikov o njej (13. in 14. člen Splošne uredbe) je tako naloga upravljavca, ob tem pa mora upravljavec upoštevati tudi načela varstva osebnih podatkov kot npr. načelo najmanjšega obsega podatkov, ki je določeno v (c) točki prvega odstavka 5. člena Splošne uredbe. Skladno s tem načelom morajo biti osebni podatki ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo. Upravljavec lahko obdeluje zgolj tiste osebne podatke, ki so v danih okoliščinah nujni za dosego cilja. Presojo nujnosti pa bi IP lahko opravil zgolj v okviru inšpekcijskega oz. drugega upravnega postopka in ne v okviru zadevnega mnenja, saj IP v okviru podajanja neobvezujočih mnenj ne razpolaga z vsemi informacijami o konkretni obdelavi.

IP tako le splošno pojasnjuje, da Splošna uredba v prvem odstavku 6. člena določa različne pravne podlage za zakonito obdelavo osebnih podatkov, v 13. in 14. členu pa določa dolžnost upravljavca, da posameznikom (pred samo obdelavo) zagotovi informacije glede obdelave njihovih osebnih podatkov. Informacije se pa morajo v vsakem primeru posamezniku zagotoviti na način, določen v 12. členu Splošne uredbe in sicer tako, da so podane na lahko dostopen način in predstavljene v jasnem in razumljivem jeziku, ki je prilagojen glede na tipičnega uporabnika njihovih storitev.

Upravljavec osebnih podatkov (v vašem primeru konkretni dom starejših občanov) mora namreč posamezniku ob pridobitvi njegovih osebnih podatkov podati nekatere informacije o obdelavi osebnih podatkov, npr. identiteta in kontaktni podatki upravljavca, namen in pravna podlaga za obdelavo osebnih podatkov, uporabniki osebnih podatkov, podatki o morebitnem prenosu osebnih podatkov, obdobje hrambe, itd. Več informacij o obveščanju posameznikov o obdelavi osebnih podatkov je dostopnih na spletni strani IP: https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/ključna-področja-uredbe/obveščanje-posameznikov-o-obdelavi-osebnih-podatkov oz. v številnih naših že objavljenih mnenjih (npr. mnenje IP št. 0712-1/2019/1891 z dne 14. 8. 2019).

V kolikor je za vas relevantno (npr. če ste osebne podatke že posredovali), pa pojasnjujemo tudi, da ima vsak posameznik pravico do seznanitve z lastnimi osebnimi podatki skladno s Splošno uredbo, ki je opredeljena v 15. členu Splošne uredbe. Prvi odstavek 15. člena Splošne uredbe tako določa, da ima posameznik, na katerega se nanašajo osebni podatki, pravico od upravljavca dobiti potrditev, ali se v zvezi z njim obdelujejo osebni podatki, in kadar je temu tako, dostop do osebnih podatkov in informacije, kot so nameni obdelave, pravna podlaga za obdelavo, predvideno obdobje hrambe, uporabniki osebnih podatkov, itd. Več informacij o pravici do seznanitve z lastnimi osebnimi podatki in glede njenega uveljavljanja je dostopnih tudi na naši spletni strani: https://tiodlocas.si/zelim-vedeti-kaj-pocnejo-z-mojimi-podatki/ oz. v številnih naših že objavljenih mnenjih (npr. mnenje IP št. 07121-1/2022/628 z dne 8. 6. 2022).

Dodatno vas IP glede merjenja in beleženja izmerjene telesne temperature na obrazcu pri vstopu v dom starejših občanov napotuje še na naša mnenja (npr. mnenje IP št. 07120-1/2020/542 z dne 9. 10. 2020, št. 07121-1/2020/1775 z dne 6. 10. 2020 in št. 07121-1/2020/1097 z dne 19. 6. 2020) v katerih IP poudarja, da ni pristojen presojati o samih zdravstvenih ukrepih in njihovi učinkovitosti. Zdravstvena stroka je torej tista, ki lahko poda verodostojen odgovor o nujnosti in primernosti obdelave teh podatkov in če oceni, da je merjenje oziroma spremljanje ustrezno, mora ustanova spoštovati vse določbe Splošne uredbe o varstvu podatkov – predvsem načela varstva osebnih podatkov, posameznike mora o tem ustrezno obvestiti, zagotoviti pa tudi vse potrebne varovalke, med drugim: minimizacijo in sorazmernost obsega obdelave osebnih podatkov in rokov hrambe, varnost podatkov ter njihovo točnost in ažurnost.

Upravljavci (v vašem primeru dom starejših občanov) bi se tako morali pred uporabo sistemov merjenja temperature o tem posvetovati s predstavniki zdravstvene stroke ter tako pridobiti oceno, ali je tovrstno merjenje nujno in primerno, v kakšnem obsegu naj se izvaja ter kakšen obseg hrambe podatkov je primeren, če sploh. Okoliščine se namreč lahko bistveno razlikujejo od primera do primera, zato ni mogoče vnaprej podati splošnega in enovitega odgovora.

V kolikor na podlagi naših pojasnil menite, da je prišlo do kršitve varstva osebnih podatkov, lahko podate tudi prijavo v zvezi z domnevnimi kršitvami pri IP. Uporabite lahko obrazec »Prijava kršitve varstva osebnih podatkov (Obrazec ZIN PRIJAVA)«, ki je objavljen na povezavi: https://www.ip-rs.si/obrazci/varstvo-osebnih-podatkov/.

V upanju, da ste dobili odgovor na vaša vprašanja, vas lepo pozdravljamo.

  

Pripravil:                                                                                                                                  

Grega Rudolf,

asistent svetovalca pri IP          

 

Mojca Prelesnik, univ. dipl. prav.,

informacijska pooblaščenka