Informacijski pooblaščenec Republika Slovenija
   
dekorativna slika

Sledenje službenim vozilom

+ -
Datum: 22.10.2021
Številka: 07121-1/2021/2123
Kategorije: Delovna razmerja, Moderne tehnologije, Ocene učinkov v zvezi z varstvom podatkov, Privolitev, Zavarovanje osebnih podatkov

Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaše zaprosilo za mnenje glede GPS sledenja službenih vozil.

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba o varstvu podatkov), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, 177/20, v nadaljevanju: ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju: ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.

IP uvodoma poudarja, da lahko podaja nezavezujoča mnenja in pojasnila, ne sme pa izven konkretnih inšpekcijskih postopkov preverjati primernosti izbrane pravne podlage ali namenov oziroma obsega obdelave osebnih podatkov v konkretnem primeru. IP kot nadzorni organ na področju varstva osebnih podatkov v okviru mnenja tako ne more presojati skladnosti konkretnega ravnanja in posameznih pravnih aktov oziroma njihovih določil iz vašega zaprosila za mnenje s pravili varstva osebnih podatkov. Tako v tem okviru tudi ne more dokončno presojati o dopustnosti uvedbe GPS sledenja, ampak v nadaljevanju podaja splošna pooblastila.

IP uvodoma v zvezi z vprašanjem iz vašega zaprosila za mnenje pojasnjuje, da je vgradnja in uporaba sledilne opreme v vozilih dopustna ob upoštevanju določenih pogojev in zagotovitvi ustreznih varovalk za zmanjšanje posega v zasebnost posameznika (v konkretnem primeru zaposlenega).

IP splošno pojasnjuje, da je treba za vsako obdelavo osebnih podatkov najprej zagotoviti ustrezno pravno podlago. V skladu s 6. členom Splošne uredbe o varstvu podatkov je obdelava osebnih podatkov zakonita le in kolikor je izpolnjen vsaj eden od naslednjih pogojev:

(a) posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov;

(b) obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe;

(c) obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca;

(d) obdelava je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe;

(e) obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu;

(f) obdelava je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok.«

Izbor ustrezne pravne podlage za posamezno obdelavo je obveznost upravljavca (v konkretnem primeru delodajalca), ki mora pri tem upoštevati konkretne okoliščine in namene obdelave. Ob tem IP pojasnjuje, da poseben zakon, ki bi urejal področje uporabe GPS naprav, v Sloveniji ne obstaja.

Področni zakon, ki določa obdelavo osebnih podatkov delavcev, je Zakon o delovnih razmerjih (ZDR-1; Uradni list RS, št. 21/13, 78/13 – popr., 47/15 – ZZSDT, 33/16 – PZ-F, 52/16, 15/17 – odl. US, 22/19 - ZPosS, 81/19, 203/20 - ZIUPOPDVE, 119/21 - ZČmlS-A). Ta v 48. členu določa, da se lahko osebni podatki delavcev zbirajo, obdelujejo, uporabljajo in posredujejo tretjim osebam samo, če je to določeno s tem ali drugim zakonom ali če je to potrebno zaradi uresničevanja pravic in obveznosti iz delovnega razmerja ali v zvezi z delovnim razmerjem. Osebni podatki delavcev, za zbiranje katerih ne obstaja več zakonska podlaga, se morajo takoj izbrisati in prenehati uporabljati.

Ob tem IP opozarja na načelo najmanjšega obsega podatkov, ki določa, da morajo biti pod pogojem, da obstaja pravna podlaga, osebni podatki, ki se obdelujejo, ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo. Navedeno načelo pomeni, da je potrebno obdelovati samo toliko osebnih podatkov zaposlenih, kolikor je nujno potrebno za izpolnitev namena v konkretnem primeru.

V okviru vašega zaprosila za mnenje ste navedli določene napredne obdelave osebnih podatkov, za katere se poraja vprašanje, ali ZDR-1 daje ustrezno pravno podlago za njihovo obdelavo oziroma ali so res potrebni za uresničevanje pravic in obveznosti iz delovnega razmerja ali v zvezi z delovnim razmerjem. uresničevanja pravic in obveznosti iz delovnega razmerja ali v zvezi z delovnim razmerjem. Glede morebitne uporabe pravne podlage zakonitih interesov (točka 6.1(f) Splošne uredbe o varstvu podatkov) IP pojasnjuje, da je predhodno absolutno priporočljivo opraviti predhodno oceno zakonitega interesa, v kateri se pošteno in celovito oceni zakonitost interesa, negativne in škodljive vplive na pravice in svoboščine posameznike ter možne varovalke, ki lahko vplivajo na razmerje med zakonitimi interesi in vplivi na posameznika.

IP ob tem pojasnjuje, da ob morebitnem obstoju pravne podlage iz drugih točk 6. člena Splošne uredbe o varstvu podatkov ni treba pridobivati še privolitve zaposlenih. Ob tem IP posebej poudarja, da je obdelava delavčevih osebnih podatkov na podlagi njegove osebne privolitve dopustna le izjemoma pod pogojem, da njena zavrnitev nima nikakršnih posledic na delovno razmerje oziroma na delavčev pravni položaj. Osebna privolitev v delovnih razmerjih torej je oziroma naj bo bolj izjema kot pravilo, saj je delodajalec v razmerju do delavca močnejša stranka in so možnosti za zlorabo tega instituta v delovnih razmerjih toliko večje. Tudi smernice Evropskega odbora za varstvo podatkov (EDPB) glede privolitve kot pravne podlage za obdelavo osebnih podatkov v delovnih razmerjih poudarjajo neprostovoljno naravo razmerja delavec - delodajalec, kar ovira veljavnost privolitve. Temeljni kriterij za dopustnost privolitve v delovnih razmerjih je po mnenju EDPB, da podaja ali zavrnitev privolitve za zaposlene nima nikakršnih negativnih posledic. Pri tem je treba upoštevati podrobnejša določila glede pogojev, po katerih se šteje, da je privolitev veljavna, ki so določeni v 7. členu Splošne uredbe o varstvu podatkov. Privolitev posameznika mora biti konkretna, razumljiva izjava ali drugo nedvoumno pritrdilno dejanje in dokazljiva. Molk ali kakršnakoli nedejavnost tako ne pomeni privolitve. Posameznik mora torej jasno podati privolitev za zbiranje in obdelavo svojih osebnih podatkov za konkreten namen. Namen mora biti jasno in nedvoumno opredeljen, saj je konkreten, ekspliciten in legitimen namen obdelave predpogoj za pridobitev veljavne privolitve. Upravljavec mora biti zmožen dokazati, da je posameznik privolil v obdelavo svojih osebnih podatkov. Posameznik ima tudi pravico, da svojo privolitev kadarkoli prekliče.

Več informacij o privolitvi lahko najdete lahko najdete tudi na spletni strani IP:

https://www.ip-rs.si/?id=102

IP nadalje pojasnjuje, da mora upravljavec (delodajalec) pred uvedbo GPS tehnologije presoditi dopustnost in utemeljenost namena, zaradi katerega želi uvesti takšno tehnologijo. Poleg tega mora presoditi tudi njegovo primernost in sorazmernost; ali bi isti namen lahko zadovoljivo dosegli tudi z uvedbo ukrepov, ki manj posegajo v zasebnost, svobodo gibanja in dostojanstvo zaposlenih. Pred uvedbo GPS tehnologije je upravljavec dolžan zaposlene seznaniti s tem, da se v njihovih vozilih za določen namen (ki ga opredeli upravljavec) uporablja GPS tehnologija, jih seznaniti z napravo, načinom njenega delovanja, namenom njene namestitve, obsegom zbranih osebnih podatkov, rokom njihove hrambe, primeri in nameni, za katere bodo zbrani podatki uporabljeni, ter drugimi informacijami o obdelavi v skladu s 13. členom Splošne uredbe o varstvu podatkov. Najbolj primerno je, da upravljavec v ustreznem organizacijskem aktu predpiše ustrezna navodila, postopke in ukrepe. Z vsebino takšnega akta morajo biti seznanjeni vsi posamezniki, v katerih vozila se bo namestila takšna tehnologija.

Ob tem mora poskrbeti tudi za zavarovanje zbirke osebnih podatkov, ki nastane na podlagi uporabe GPS tehnologije. Gre za organizacijske in tehnične ukrepe, ki jih določata Splošna uredba o varstvu podatkov (32. člen) in ZVOP-1 (24. in 25. člen).

IP opozarja tudi na zahtevo po vgrajenem in privzetem varstvu osebnih podatkov (25. člen Splošne uredbe o varstvu podatkov). Ta terja, da se tako v sami zasnovi sistema (vgrajeno), kot tudi pri njegovi uporabi (privzeto), spoštuje načela varstva osebnih podatkov iz 5. člena Splošne uredbe o varstvu podatkov (npr. načelo najmanjšega obsega podatkov, načelo omejitve shranjevanja, itd.).

Ob tem IP posebej izpostavlja, da, glede na to, da v vašem zaprosilu za mnenje navajate, da nekateri zaposleni službeno vozilo uporabljajo tudi za druge (zasebne) namene in ne zgolj za namene opravljanja nalog za upravljavca v okviru delovnega razmerja, morajo imeti med drugimi vožnjami možnost izklopiti sistem (navadno z uporabo stikala oziroma ključka). V primeru, ko namreč voznik uporablja vozilo za druge potrebe in ne za namene opravljanja nalog v okviru delovnega razmerja, bi bilo namreč sledenje s strani upravljavca z vidika varstva osebnih podatkov sporno.

IP pojasnjuje tudi, da je več informacij o varstvu osebnih podatkov pri uporabi GPS naprav na voljo tudi v smernicah, ki jih je pripravil IP in so dostopne na spletni strani IP:

https://www.ip-rs.si/fileadmin/user_upload/Pdf/smernice/GPS_smernice_net.pdf.

IP splošno vsem subjektom, ki razmišljajo o uvedbi GPS tehnologije, priporoča, da v skladu s 35. členom Splošne uredbe o varstvu osebnih podatkov izvedejo oceno učinka v zvezi z varstvom osebnih podatkov. IP je na temo ocene učinkov izdelal Smernice o ocenah učinkov na varstvo podatkov, ki so dostopne na spletni strani:

https://www.ip-rs.si/prirocniki_smernice/Smernice_o_ocenah_ucinka.pdf

Gre za vnaprejšnjo presojo, ali oziroma pod kakšnimi pogoji bi bila uporaba GPS naprav zakonita, sorazmerna, transparentna, varna itd. Zelo pomembno je izhajati iz težav, ki naj bi jih reševali z uvedbo GPS tehnologije, pri čemer je treba realno oceniti, ali se bo na tak način dejansko doseglo zasledovane cilje (kot navedeno zgoraj, te opredeli upravljavec - v konkretnem primeru delodajalec) in ali teh ciljev ni mogoče doseči na drug način (npr. z uporabo drugih sredstev za dosego cilja), ki bi manj posegal v pravice posameznika.

IP nadalje pojasnjuje, da je v skladu s prvim odstavkom 35. člena Splošne uredbe o varstvu podatkov temeljni kriterij za vprašanje, kdaj je ocena učinkov obvezna, zlasti ocena, ali bo obdelava povzročila veliko tveganje za pravice in svoboščine posameznikov. Dodatni kriteriji so opredeljeni v tretjem odstavku istega člena.

Ob tem je treba preveriti tudi, ali gre morda za obliko obdelave iz Seznama dejanj obdelav osebnih podatkov, za katere velja zahteva po izvedbi ocene učinka v zvezi z varstvom osebnih podatkov po 4. odstavku 35. člena Splošne uredbe o varstvu podatkov in ko je torej predhodna izvedba ocene učinka v zvezi z varstvom osebnih podatkov obvezna. IP je pripravil tak seznam in ga objavil na spletni strani:

https://www.ip-rs.si/fileadmin/user_upload/Pdf/Ocene_ucinkov/Seznam_dejanj_obdelav_osebnih_podatkov__za_katere_velja_zahteva_po_izvedbi_ocene_ucinka_v_zvezi_z_varstvom_osebnih_podatkov.pdf

 

Glede na navedbe v vašem zaprosilu za mnenje je po mnenju IP zelo verjetno, da je v konkretnem primeru izdelava ocene učinka obvezna, saj predvidena obdelava izpolnjuje (vsaj) kriterije iz točke 7 (nesorazmerje moči) in 8 (inovativna uporaba novih in obstoječih tehnologij). IP ob tem priporoča, da se v okviru ocene učinka še posebej skrbno obdelajo pravna podlaga in nameni obdelave (to še zlasti velja za obdelave v okviru telematike) ter obravnavajo tveganja in ukrepi za njihovo zamejitev. Gleda na navedbe v vašem zaprosilu za mnenje je treba posebno pozornost nameniti tudi spoštovanju načela najmanjšega obsega podatkov ter sorazmernosti, torej ali res ni mogoče namenov, ki naj bi se jih zasledovalo, doseči z milejšimi ukrepi, ki bi manj posegali v zasebnost posameznika. Kvalitetno izdelana ocena učinka bo podala odgovore na številna vprašanja v zvezi z uvedbo GPS sistema in omogočila odločitev o (ne)dopustnosti uvedbe tega ukrepa oziroma morebitnih potrebnih prilagoditvah pred njegovo uvedbo.

 

Ker v vašem zaprosilu za mnenje navajate tudi različne subjekte, ki bi bili lahko vključeni v zbiranje in obdelavo podatkov, bi bilo treba (seveda ob predpostavki izpolnjene pravne podlage) določiti tudi njihove vloge (upravljavec, obdelovalec, skupni upravljavec). Ob tem IP pojasnjuje, da razmerje med skupnimi upravljavci ureja 26. člen Splošne uredbe o varstvu podatkov, razmerje med upravljavcem in obdelovalcem pa 28. člen Splošne uredbe o varstvu podatkov, kjer je določeno, da obdelavo s strani obdelovalca ureja pogodba ali drug pravni akt v skladu s pravom Unije ali pravom države članice, ki določa obveznosti obdelovalca do upravljavca, v katerem so določeni vsebina in trajanje obdelave, narava in namen obdelave, vrsta osebnih podatkov, kategorije posameznikov, na katere se nanašajo osebni podatki, ter obveznosti in pravice upravljavca. Tak pravni akt zagotavlja, da se tako upravljavec kot obdelovalec zavedata svojih pravic in obveznosti v zvezi z obdelavo osebnih podatkov. Odgovornost za zakonito obdelavo osebnih podatkov je primarno na strani upravljavca in ostaja njegova odgovornost tudi po njihovem posredovanju pogodbenemu obdelovalcu. Ob tem pa IP opozarja, da ima v določenem delu obdelovalec podobne obveznosti kot upravljavec osebnih podatkov in je neposredno odgovoren za zakonito obdelavo osebnih podatkov v okviru svojih pooblastil. Pravila zakonite obdelave osebnih podatkov mora poznati in jih v praksi tudi ustrezno izvrševati. Več informacij o pogodbeni obdelavi lahko najdete na spletni strani IP:

https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/klju%C4%8Dna-podro%C4%8Dja-uredbe/pogodbena-obdelava

IP sklepno ponavlja, da v okviru mnenja ne more presojati ustreznosti posameznih rešitev oziroma ravnanja posameznih zavezancev, ampak to lahko presoja le v okviru konkretnega inšpekcijskega oziroma drugega upravnega postopka, ko so znane vse konkretne okoliščine posameznega primera.

 

S spoštovanjem.

 

 

 

Pripravil:

Matej Sironič,                                                   

Svetovalec pooblaščenca

za varstvo osebnih podatkov

 

Mojca Prelesnik, univ. dipl. prav.,

Informacijska pooblaščenka