Informacijski pooblaščenec Republika Slovenija
   
dekorativna slika

Prepoznavanje registrskih tablic zaposlenih

+ -
Datum: 20.10.2021
Številka: 07120-1/2021/543
Kategorije: Definicija OP, Delovna razmerja, Moderne tehnologije, Privolitev, Zavarovanje osebnih podatkov

Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaše zaprosilo za mnenje glede prepoznave registrskih tablic zaposlenih.

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba o varstvu podatkov), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, 177/20, v nadaljevanju: ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju: ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.

IP uvodoma poudarja, da lahko podaja nezavezujoča mnenja in pojasnila, ne sme pa izven konkretnih inšpekcijskih postopkov preverjati primernosti izbrane pravne podlage ali namenov oziroma obsega obdelave osebnih podatkov v konkretnem primeru. IP kot nadzorni organ na področju varstva osebnih podatkov v okviru mnenja tako ne more presojati skladnosti konkretnega ravnanja in posameznih pravnih aktov iz vašega zaprosila za mnenje s pravili varstva osebnih podatkov.

IP pojasnjuje, da je skladno s 1. točko 4. člena Splošne uredbe o varstvu podatkov osebni podatek katera koli informacija v zvezi z določenim ali določljivim posameznikom. Posameznik je določljiv, če ga je mogoče neposredno ali posredno določiti, zlasti z navedbo identifikatorja, kot je ime, identifikacijska številka, podatki o lokaciji, spletni identifikator, ali z navedbo enega ali več dejavnikov, ki so značilni za fizično, fiziološko, genetsko, duševno, gospodarsko, kulturno ali družbeno identiteto tega posameznika.

Splošna uredba o varstvu podatkov tako v odnosu na ZVOP-1 bistveno ne spreminja definicije osebnega podatka in ključni test še vedno ostaja določljivost posameznika. Na določljivost posameznika pa se gleda široko, torej ne samo skozi lastne zmožnosti, namene in interese ali skozi zmožnosti enega subjekta, podjetja ali organizacije, temveč se upošteva tudi podatke, zmožnosti, sredstva in informacije, s katerimi razpolagajo drugi. Treba je upoštevati vsa sredstva, informacije in znanja, ki jih imajo na voljo tudi drugi subjekti, ki bi lahko določili, za katerega posameznika gre. 

IP poudarja, da je pri definiciji osebnih podatkov treba vedno gledati posamezen primer in kontekst, pri čemer se za presojo upošteva možnost identifikacije širše in ne zgolj na podlagi informacij, s katerimi razpolaga upravljavec. Odgovornost za presojo pa je v končni fazi vedno na strani upravljavca. Samo dejstvo, ali gre za zasebno ali javno parkirišče, pri obravnavani zadevi ni relevantno.

IP je v preteklosti že poudaril, da tehnični podatki o lastnostih vozil sami po sebi niso osebni podatki, ker kažejo na stvar in ne na posameznika. Takšni podatki pa postanejo osebni podatki takrat, kadar jih je mogoče povezati s posameznikom (na primer z lastnikom vozila) oziroma je na njihovi podlagi mogoče identificirati lastnika vozila – fizično osebo. Bistveni pogoj za to, da podatki o vozilu (tudi registrska številka) postanejo osebni podatki, je torej ta, da je preko njih mogoče natančno identificirati posameznika.

IP sicer splošno meni, da je treba registrske številke avtomobilov že po njihovi naravi, namenu in možni določljivosti posameznika, obravnavati kot osebne podatke. Zbirke podatkov, ki vsebujejo registrske številke avtomobilov, je tako treba šteti za zbirke osebnih podatkov, tudi če ne vsebujejo drugih osebnih podatkov o posameznikih, ampak npr. samo podatke o vozilih. Pri njihovi obdelavi je treba spoštovati določbe Splošne uredbe o varstvu podatkov. Njihova obdelava je tako v skladu s členom 6(1) Splošne uredbe o varstvu podatkov zakonita le in kolikor je za konkretni namen obdelave izpolnjen eden od naslednjih pogojev:

(a) posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov;

(b)  obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe;

(c)  obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca;

(d)  obdelava je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe;

(e) obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu;

(f)  obdelava je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok.

IP nadalje pojasnjuje, da je, čeprav ZVOP-1 sicer razlikuje med javnim in zasebnim sektorjem, področje delovnega prava specialno urejeno za oba sektorja v posebnih zakonih, predvsem v Zakonu o delovnih razmerjih (ZDR-1; Uradni list RS, št. 21/13, 78/13 – popr., 47/15 – ZZSDT, 33/16 – PZ-F, 52/16, 15/17 – odl. US, 22/19 – ZPosS, 81/19, 203/20 - ZIUPOPDVE, 119/21 - ZČmIS-a) in Zakonu o evidencah na področju dela in socialne varnosti (ZEPDSV; Uradni list RS, št. 40/06). ZDR-1 v 48. členu določa, da se lahko osebni podatki delavcev zbirajo, obdelujejo, uporabljajo in posredujejo tretjim osebam samo, če je to določeno s tem ali drugim zakonom ali če je to potrebno zaradi uresničevanja pravic in obveznosti iz delovnega razmerja ali v zvezi z delovnim razmerjem. Nadalje v tretjem odstavku 48. člena določa, da se morajo osebni podatki delavcev, za zbiranje katerih ne obstoji več zakonska podlaga, takoj zbrisati in prenehati uporabljati.

Upoštevajoč določbe ZDR-1 lahko torej delodajalec osebne podatke delavca obdeluje samo, če ima za to podlago v zakonu ali če je to potrebno zaradi uresničevanja pravic in obveznosti iz delovnega razmerja ali v zvezi z delovnim razmerjem. Pri tem so mišljene pravic in obveznosti obeh, tako delavca kot delodajalca. Delodajalec mora natančno izkazati, za kaj takšne osebne podatke potrebuje. Če okoliščine delovnega razmerja tega ne terjajo oziroma če delodajalec ne izkaže, da je obdelava osebnih podatkov delavca potrebna zaradi uresničevanja pravic in obveznosti iz delovnega razmerja ali v zvezi z delovnim razmerjem, jih ne sme obdelovati.

Ob tem pa IP posebej poudarja, da je obdelava delavčevih osebnih podatkov na podlagi njegove osebne privolitve dopustna le izjemoma pod pogojem, da njena zavrnitev nima nikakršnih posledic na delovno razmerje oziroma na delavčev pravni položaj. Osebna privolitev v delovnih razmerjih torej je oziroma naj bo bolj izjema kot pravilo, saj je delodajalec v razmerju do delavca močnejša stranka in so možnosti za zlorabo tega instituta v delovnih razmerjih toliko večje. Tudi smernice Evropskega odbora za varstvo podatkov (EDPB) glede privolitve kot pravne podlage za obdelavo osebnih podatkov v delovnih razmerjih poudarjajo neprostovoljno naravo razmerja delavec - delodajalec, kar ovira veljavnost privolitve. Temeljni kriterij za dopustnost privolitve v delovnih razmerjih je po mnenju EDPB, da podaja ali zavrnitev privolitve za zaposlene nima nikakršnih negativnih posledic. Pri tem je treba upoštevati podrobnejša določila glede pogojev, po katerih se šteje, da je privolitev veljavna, ki so določeni v 7. členu Splošne uredbe o varstvu podatkov. Privolitev posameznika mora biti konkretna, razumljiva izjava ali drugo nedvoumno pritrdilno dejanje in dokazljiva. Molk ali kakršnakoli nedejavnost tako ne pomeni privolitve. Posameznik mora torej jasno podati privolitev za zbiranje in obdelavo svojih osebnih podatkov za konkreten namen. Namen mora biti jasno in nedvoumno opredeljen, saj je konkreten, ekspliciten in legitimen namen obdelave predpogoj za pridobitev veljavne privolitve. Upravljavec mora biti zmožen dokazati, da je posameznik privolil v obdelavo svojih osebnih podatkov. Posameznik ima tudi pravico, da svojo privolitev kadarkoli prekliče.

Več informacij o privolitvi lahko najdete lahko najdete tudi na spletni strani IP:

https://www.ip-rs.si/?id=102

IP na podlagi navedenega povzema, da je za vsako obdelavo osebnih podatkov treba torej najprej zagotoviti ustrezno pravno podlago. Izbor ustrezne pravne podlage za posamezno obdelavo je stvar ocene konkretnih okoliščin, odgovornost za izbiro pa nosi upravljavec (v konkretnem primeru vaša fakulteta kot delodajalec). Za obdelavo osebnih podatkov, ki jo navajate v vašem zaprosilu za mnenje, bi torej lahko eventualno privolitev kot pravna podlaga prišla v poštev le ob upoštevanju zgoraj navedenih pogojev.

IP meni, da primer, ki ga navajate, sodi med situacije, ko je zelo koristno izdelati predhodno oceno učinkov na varstvo osebnih podatkov v skladu s 35. členom Splošne uredbe o varstvu podatkov. Več informacij glede ocen učinkov vam je na voljo na naši spletni strani:

https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/kljucna-podrocja-uredbe/ocena-ucinka-v-zvezi-z-varstvom-podatkov/

 

Prav tako vam toplo priporočamo smernice o ocenah učinka, kjer dobite vse potrebne informacije:

https://www.ip-rs.si/publikacije/priro%C4%8Dniki-in-smernice/smernice-po-splo%C5%A1ni-uredbi-o-varstvu-podatkov-gdpr/smernice-ocene-u%C4%8Dinkov-na-varstvo-osebnih-podatkov

 

Ocena učinkov je orodje za pravočasno identifikacijo, analizo in zmanjševanje tveganj glede nezakonitih ravnanj z osebnimi podatki. Upravljavec jo opravi pred obdelavo, kadar je možno, da bi lahko vrsta obdelave (v vašem primeru proces prepoznave registrskih tablic), zlasti z uporabo novih tehnologij, ob upoštevanju narave, obsega, okoliščin in namenov obdelave povzročila veliko tveganje za pravice in svoboščine posameznikov. Ocena učinka zajema vsaj:

a) sistematičen opis predvidenih dejanj obdelave in namenov obdelave, kadar je ustrezno pa tudi zakonitih interesov, za katere si upravljavci prizadevate;

b) oceno potrebnosti in sorazmernosti dejanj obdelave glede na njihov namen;

c) oceno tveganj za pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki ter

d) ukrepe za obravnavanje tveganj, vključno z zaščitnimi ukrepi, varnostne ukrepe ter mehanizme za zagotavljanje varstva osebnih podatkov in za dokazovanje skladnosti s to uredbo, ob upoštevanju pravic in zakonitih interesov posameznikov, na katere se nanašajo osebni podatki, ter drugih oseb, ki jih to

IP posebej opozarja, da pomemben in pogosto zapostavljen vidik predstavlja tudi obveščanje posameznikov o obdelavi osebnih podatkov. IP pojasnjuje, da so informacije, ki jih je treba zagotoviti posamezniku, na katerega se nanašajo osebni podatki, z vidika varstva osebnih podatkov na splošno urejene v členih 13 in 14 Splošne uredbe o varstvu podatkov.

Skladno z določbo 13. člena je dolžan upravljavec v primeru, kadar so bili osebni podatki  pridobljeni od posameznika, na katerega se ti nanašajo, le-temu takrat, ko pridobi osebne podatke, zagotoviti naslednje informacije:

  • identiteto in kontaktne podatke upravljavca in njegovega predstavnika, kadar ta obstaja;
  • kontaktne podatke pooblaščene osebe za varstvo podatkov, kadar ta obstaja;
  • namene, za katere se osebni podatki obdelujejo, kakor tudi pravno podlago za njihovo obdelavo;
  • kadar obdelava temelji na točki (f) člena 6(1), zakonite interese, za uveljavljanje katerih si prizadeva upravljavec ali tretja oseba;
  • uporabnike ali kategorije uporabnikov osebnih podatkov, kadar obstajajo;
  • kadar je ustrezno, informacije o tem, da namerava upravljavec prenesti osebne podatke uporabniku v tretji državi ali mednarodni organizaciji, ter o obstoju ali neobstoju sklepa Komisije o ustreznosti ali v primeru prenosov iz člena 46 ali 47 ali drugega pododstavka člena 49(1) sklic na ustrezne ali primerne zaščitne ukrepe in sredstva za pridobitev njihove kopije ali kje so na voljo;
  • tudi nekatere druge informacije, opredeljene v drugem odstavku istega člena.

 

Dodatno drugi odstavek 13. člena Splošne uredbe o varstvu podatkov zahteva med drugim tudi zagotovitev informacij o roku hrambe, obstoju pravic posameznika in možnosti pritožbe nadzornemu organu. Informacije se posamezniku dajo na način, določen v 12. členu Splošne uredbe o varstvu podatkov.

Posamezniku je torej treba ob pridobitvi njegovih osebnih podatkov zagotoviti navedene informacije o obdelavi osebnih podatkov. Predhodna informiranost posameznika o obdelavi njegovih podatkov je ključen element zakonite obdelave osebnih podatkov, saj se lahko le na podlagi ustreznih informacij o tem, komu lahko zaupa določene svoje podatke in za kakšen namen, posameznik svobodno odloči, ali bo to storil ali ne.

Ob tem IP pojasnjuje še, da mora upravljavec voditi evidenco dejavnosti obdelave za določene svoje obdelave osebnih podatkov. Tudi obdelave v okviru prepoznave registrskih tablic je tako treba ustrezno evidentirati v skladu z zahtevami, ki izhajajo iz 30. člena Splošne uredbe o varstvu podatkov. Obveznosti upravljavcev in obdelovalcev v zvezi z vodenjem evidenc dejavnosti obdelav, ki izhajajo iz Splošne uredbe o varstvu podatkov, je IP podrobno opisal na svoji spletni strani:

https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/kljucna-podrocja-uredbe/evidenca-dejavnosti-obdelave/.

Ob navedenem IP opozarja tudi na obveznosti, ki jih ima upravljavec osebnih podatkov v zvezi z varnostjo obdelave iz 32. člena Splošne uredbe o varstvu podatkov oziroma zavarovanjem osebnih podatkov iz 24. in 25. člena ZVOP-1. Upravljavec mora namreč sprejeti in izvajati ustrezne postopke in ukrepe varnosti oziroma zavarovanja osebnih podatkov, ki jih predvidevajo določbe navedenih členov.

IP opozarja tudi na zahtevo po vgrajenem in privzetem varstvu osebnih podatkov (25. člen Splošne uredbe o varstvu podatkov). Ta terja, da se tako v sami zasnovi sistema (vgrajeno), kot tudi pri njegovi uporabi (privzeto), spoštuje načela varstva osebnih podatkov iz 5. člena Splošne uredbe o varstvu podatkov (npr. načelo najmanjšega obsega podatkov, načelo omejitve shranjevanja, itd.).

Glede (pogodbenega) izvajalca, ki ga omenjate v vašem zaprosilu za mnenje, IP pojasnjuje, da razmerje med upravljavcem in obdelovalcem ureja 28. člen Splošne uredbe o varstvu podatkov, kjer je  določeno, da obdelavo s strani obdelovalca ureja pogodba ali drug pravni akt v skladu s pravom Unije ali pravom države članice, ki določa obveznosti obdelovalca do upravljavca, v katerem so določeni vsebina in trajanje obdelave, narava in namen obdelave, vrsta osebnih podatkov, kategorije posameznikov, na katere se nanašajo osebni podatki, ter obveznosti in pravice upravljavca. Tak pravni akt zagotavlja, da se tako upravljavec kot obdelovalec zavedata svojih pravic in obveznosti v zvezi z obdelavo osebnih podatkov. Odgovornost za zakonito obdelavo osebnih podatkov je primarno na strani upravljavca in ostaja njegova odgovornost tudi po njihovem posredovanju pogodbenemu obdelovalcu. Ob tem pa IP opozarja, da ima v določenem delu obdelovalec podobne obveznosti kot upravljavec osebnih podatkov in je neposredno odgovoren za zakonito obdelavo osebnih podatkov v okviru svojih pooblastil. Pravila zakonite obdelave osebnih podatkov mora poznati in jih v praksi tudi ustrezno izvrševati. Več informacij o pogodbeni obdelavi lahko najdete na spletni strani IP:

https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/klju%C4%8Dna-podro%C4%8Dja-uredbe/pogodbena-obdelava

IP sklepno ponavlja, da v okviru mnenja ne more presojati ustreznosti posameznih rešitev oziroma ravnanja posameznih zavezancev, ampak to lahko presoja le v okviru konkretnega inšpekcijskega oziroma drugega upravnega postopka, ko so znane vse konkretne okoliščine posameznega primera.

 

S spoštovanjem.

 

 

Pripravil:

Matej Sironič,                                                   

Svetovalec pooblaščenca

za varstvo osebnih podatkov

 

 

Mojca Prelesnik, univ. dipl. prav.,

Informacijska pooblaščenka