Preiskava glede anonimne prijave v društvu
+ -Številka: 07121-1/2022/1250
Kategorije: Definicija OP, Društva, Inšpekcijski postopki, Telekomunikacije in pošta
Pri Informacijskem pooblaščencu (IP) smo prejeli vaše zaprosilo za mnenje. Navajate, da je bilo društvo anonimno prijavljeno na več institucij zaradi domnevnih kršitev, prijava pa se je izkazala za neresnično. V arhivu korespondenc društva obstajajo dopisi osebe, za katero se sumi, da je avtor prijave. Zanima vas, ali lahko forenzični strokovnjak primerja dopise te osebe z anonimno prijavo, ne da bi se pri tem kršilo določila o varovanju osebnih podatkov. Dodajate, da bi lahko vse osebne podatke na dopisih osumljene osebe »odstranili«.
Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju Splošna uredba o varstvu podatkov), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.
Za analizo dopisov posameznika zaradi ugotovitve identitete anonimnega prijavitelja mora imeti upravljavec z vidika varstva osebnih podatkov najprej zakonit ter vnaprej izrecno in določno opredeljen namen, pri tem pa je dolžan upoštevati tudi druge človekove pravice ter področna pravila, kot so pravica do varstva komunikacijske zasebnosti in varovanje prijaviteljev.
O b r a z l o ž i t e v:
IP uvodoma opozarja, da lahko posamezne primere obdelave osebnih podatkov konkretno presoja le v okviru inšpekcijskega ali drugega upravnega postopka. V mnenju pa lahko poda zgolj splošna pojasnila, ne more pa dokončno presojati zakonitosti konkretnega ravnanja določenega upravljavca oziroma odločati, ali bi v konkretnem primeru prišlo do kršitve varstva osebnih podatkov.
V zvezi z vašim vprašanjem IP najprej izpostavlja, da pomeni pojem osebni podatki skladno s členom 4(1) Splošne uredbe o varstvu podatkov katero koli informacijo v zvezi z določenim ali določljivim posameznikom; določljiv posameznik je tisti, ki ga je mogoče neposredno ali posredno določiti, zlasti z navedbo identifikatorja, kot je ime, identifikacijska številka, podatki o lokaciji, spletni identifikator, ali z navedbo enega ali več dejavnikov, ki so značilni za fizično, fiziološko, genetsko, duševno, gospodarsko, kulturno ali družbeno identiteto tega posameznika. Osebni podatki torej niso zgolj ime in priimek, podpis, naslov, telefonska številka posameznika in podobno, temveč tudi na primer pisava ter način izražanja, skratka vse informacije, na podlagi katerih je posameznika mogoče določiti.
Iz vašega dopisa je razbrati, da želite na podlagi forenzične analize dopisov določenega člana društva identificirati anonimnega prijavitelja. Glede na to bi bilo iz teh dopisov najverjetneje težko odstraniti res vse osebne podatke, kot predlagate, sicer bi analiza dopisov izgubila smisel. IP zato meni, da bi pri primerjavi dopisov člana društva z anonimno prijavo v okviru forenzične primerjave najverjetneje prišlo do obdelave osebnih podatkov. Obdelava namreč pomeni vsako dejanje ali niz dejanj, ki se izvaja v zvezi z osebnimi podatki ali nizi osebnih podatkov z avtomatiziranimi sredstvi ali brez njih, kot je zbiranje, beleženje, urejanje, strukturiranje, shranjevanje, prilagajanje ali spreminjanje, priklic, vpogled, uporaba, razkritje s posredovanjem, razširjanje ali drugačno omogočanje dostopa, prilagajanje ali kombiniranje, omejevanje, izbris ali uničenje (člen 4(2) Splošne uredbe o varstvu podatkov).
Za vsako obdelavo osebnih podatkov mora imeti upravljavec (v konkretnem primeru društvo), zakonito in ustrezno pravno podlago. Te so določene v členu 6(1) Splošne uredbe o varstvu podatkov (npr. privolitev, pogodba, zakon, zakoniti interesi). Utemeljitev glede pravnih podlag za obdelavo osebnih podatkov za namene delovanja društev po Splošni uredbi o varstvu podatkov je IP zapisal v svojem mnenju št. 0712-1/2018/622 z dne 14. 3. 2018, ki je dostopno na https://www.ip-rs.si/mnenja-zvop/.
Pravna podlaga je odvisna od namena obdelave. Zato IP na tem mestu poudarja načelo omejitve namena, skladno s katerim morajo biti osebni podatki zbrani za določene, izrecne in zakonite namene ter se ne smejo nadalje obdelovati na način, ki ni združljiv s temi nameni (člen 5(1)(b) Splošne uredbe o varstvu podatkov). To pomeni, da mora upravljavec namen, tj. cilj določene obdelave osebnih podatkov (v konkretnem primeru analize dopisov člana društva) opredeliti jasno in nedvoumno, ta namen pa mora biti zakonit, torej sprejemljiv v skladu z zakoni. Zakonit namen bi na primer lahko predstavljalo uveljavljanje, izvajanje ali obramba pravnih zahtevkov.
IP pojasnjuje, da iz vašega dopisa ni razvidno, s kakšnim namenom želite opraviti forenzično primerjavo dopisov, ki jih hranite v društvu, z anonimno prijavo. Zato vam konkretnejšega odgovora z vidika varstva osebnih podatkov ne more podati. Pripominja pa, da zgolj neutemeljenost prijave praviloma še ne pomeni njene zlonamernosti oziroma zlorabe niti takšno dejstvo samo po sebi ne predstavlja utemeljenega razloga za odškodnino.
Nenazadnje pa IP dodaja, da je glede zakonitosti predlagane forenzične primerjave treba upoštevati tudi druge predpise, ki presegajo področje varovanja osebnih podatkov. Ustava Republike Slovenije v 37. členu zagotavlja tajnost pisem in drugih občil kot posebno obliko pravice do zasebnosti (t. i. komunikacijska zasebnost), poseg v komunikacijo člana društva pa lahko pomeni tudi poseg v nedotakljivost njegove zasebnosti, seveda odvisno od upravičenega pričakovanja zasebnosti. Identiteta prijavitelja pa je na primer varovana z določbo drugega odstavka 16. člena Zakona o inšpekcijskem nadzoru (Uradni list RS, št. 43/07 – uradno prečiščeno besedilo in 40/14), ki določa, da je inšpektor dolžan varovati tajnost vira prijave in vira drugih informacij, na podlagi katerih opravlja inšpekcijski nadzor. IP izpostavlja tudi predlog Zakona o zaščiti prijaviteljev (žvižgačev), ki je namenjen zaščiti posameznikov, ki razkrijejo kršitve predpisov v svojem delovnem okolju tako v javnem kot zasebnem sektorju.
IP na podlagi obrazloženega sklepno izpostavlja, da mora imeti vsaka obdelava osebnih podatkov, torej tudi analiza dopisov z osebni podatki, primarno zakonit namen, ki je jasno izražen, poleg tega pa mora društvo pri presoji dopustnosti predlagane analize upoštevati tudi druge človekove pravice in področne predpise.
Lepo vas pozdravljamo,
Pripravila:
Tina Ivanc, univ. dipl. prav.,
svetovalka IP za varstvo osebnih podatkov
Mojca Prelesnik, univ. dipl. prav.
informacijska pooblaščenka