Informacijski pooblaščenec Republika Slovenija
   
dekorativna slika

Posredovanje kopije potne listine

+ -
Datum: 26.05.2023
Številka: 07121-1/2023/738
Kategorije: Pravne podlage, Privolitev

Informacijski pooblaščenec (v nadaljevanju IP) je po e-pošti prejel vaše vprašanje. Prosite nas za informacijo, katere osebne podatke lahko od vas zahteva agencija, preko katere v turistične namene oddajate svoj apartma. Pojasnjujete, da ste jim na njihovo zahtevo posredovali kopijo potnega lista s prekrito EMŠO številko in prekritim podpisom. Iz njihovega odgovora je razvidno, da zahtevajo neprekrito kopijo potnega lista, da lahko potrdijo veljavnost dokumenta. Prosite nas za odgovor, kako naj ravnate, saj menite, da vam agencija ne more zagotoviti, da v bodoče ne bo prišlo do zlorabe osebnih podatkov ali kraje vaše identitete.

***

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22, ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A, ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

Za obdelavo vaših osebnih podatkov bi agencija morala zagotoviti ustrezno pravno podlago – npr. obdelava je lahko potrebna za izvajanje pogodbe, za izpolnitev zakonske obveznosti ali pa poteka na podlagi privolitve posameznika. V zvezi s kopiranjem osebnih dokumentov je treba upoštevati tudi relevantne določbe Zakona o osebni izkaznici in Zakona o potnih listinah.

Upravljavec vam mora zagotoviti informacije o obdelavi osebnih podatkov, kakšen je namen in pravna podlaga za obdelavo osebnih podatkov, komu osebne podatke posreduje, ali jih prenaša v tretjo državo ali mednarodno organizacijo, koliko časa se bodo osebni podatki hranili itd. Prav tako mora s primernimi tehničnimi in organizacijskimi ukrepi zagotoviti varnost vaših osebnih podatkov.

O b r a z l o ž i t e v:

IP uvodoma poudarja, da izven postopka inšpekcijskega nadzora oziroma drugega upravnega postopka konkretnih obdelav osebnih podatkov ne more presojati. 

Pojasnjujemo, da mora za zakonito obdelavo osebnih podatkov obstajati pravna podlaga skladno s prvim odstavkom 6. člena Splošne uredbe:

(a) posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov;

(b) obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe;

(c) obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca;

(d) obdelava je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe;

(e) obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu;

(f) obdelava je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok.

Ob tem opozarjamo, da se točka (f) ne uporablja za obdelavo s strani javnih organov pri opravljanju njihovih nalog.

V opisanem primeru bi najverjetneje lahko bila pravna podlaga za obdelavo vaših osebnih podatkov v  točki (b) – če je posredovanje podatkov potrebno zaradi izvajanja pogodbe z agencijo v zvezi z oddajanjem apartmajev. Kot smo poudarili v mnenju št. 07121-1/2021/684 z dne 9. 4. 2021, je ta pravna podlaga ustrezna le, če je obdelava določenih osebnih podatkov objektivno potrebna za namen, ki je sestavni del pogodbene storitve. To pa ni preprosto ocena, kaj je dovoljeno na podlagi pogodbenih določb oziroma kaj je v njih zapisano. Upravljavec mora biti sposoben dokazati, da ne more izpolniti pogodbe, če ne pride do določene vrste obdelav osebnih podatkov. Odvisno od okoliščin, bi lahko bila pravna podlaga tudi privolitev - točka (a) ali izpolnitev zakonske obveznosti po točki (c), če bi npr. kakšen predpis nalagal upravljavcu zbiranje določenih podatkov, kar pa IP na podlagi posredovanih informacij v okviru nezavezujočega mnenja ne more presojati. Več informacij o privolitvi lahko preberete na: https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/klju%C4%8Dna-podro%C4%8Dja-uredbe/privolitev.

Nadalje pojasnjujemo, da je kopiranje osebnih dokumentov dopustno v okviru izjem, kot jih določata Zakon o osebni izkaznici (Uradni list RS, št. 35/11, 41/21 in 199/21, v nadaljevanju: ZOIzk-1) in Zakon o potnih listinah (Uradni list RS, št. 29/11 – UPB, v nadaljevanju: ZPLD-1). Ob tem opozarjamo tudi na določbo 94. člena ZVOP-2, ki med drugim določa, da sme upravljavec za namen identifikacije posameznika ali za namen zagotavljanja točnosti in posodobljenosti osebnih podatkov vpogledati v njegove uradne identifikacijske dokumente. Upravljavec, ki izvaja z zakonom predpisano nalogo, sme za namen identifikacije posameznika tudi prepisati, kopirati ali drugače obdelati podatke iz njegovih uradnih identifikacijskih dokumentov. Več o temi kopiranja osebnih dokumentov pa si lahko preberete na naslednji povezavi: https://www.ip-rs.si/varstvo-osebnih-podatkov/inspekcijski-nadzor/najbolj-pogoste-krsitve/kopiranje-osebnih-dokumentov-in-prepisovanje-podatkov-iz-osebnih-dokumentov/ ali v že izdanih nezavezujočih mnenjih IP, ki so dostopna na www.ip-rs.si/vop, npr. v mnenju št. 07121-1/2023/209 z dne 17. 2. 2023. Pri ugotavljanju, katere vaše osebne podatke eventualno mora ali lahko zbira agencija pri posredovanju oddajanja vaših apartmajev, je treba upoštevati določbe druge zakonodaje, iz katere izhajajo vaše obveznosti v zvezi s z oddajanjem apartmaja oz. sobodajalstvom, npr. Zakon o gostinstvu (Uradni list RS, št. 93/07 – uradno prečiščeno besedilo, 26/14 – ZKme-1B in 52/16), Zakon o prijavi prebivališča (Uradni list RS, št. 52/16, 36/21 in 3/22 – ZDeb) in Zakon o preprečevanju pranja denarja in financiranja terorizma (Uradni list RS, št. 48/22 in 145/22). Zato predlagamo, da pri agenciji preverite razloge in pravne podlage za zahtevane obdelave.

Poudarjamo pa tudi, da mora upravljavec osebnih podatkov skladno z načelom najmanjšega obsega podatkov (točka (c) prvega odstavka 5. člena Splošne uredbe), za zakonite namene zbirati zgolj tiste osebne podatke, ki so za njegovo dosego nujno potrebni. Agencija kot upravljavec bi vam morala ob pridobitvi vaših osebnih podatkov podati tudi nekatere informacije o obdelavi osebnih podatkov (13. člen Splošne uredbe), npr. kakšen je namen in pravna podlaga za obdelavo osebnih podatkov, komu osebne podatke posreduje, ali jih prenaša v tretjo državo ali mednarodno organizacijo, koliko časa se bodo osebni podatki hranili, itd. Svetujemo vam, da se pred posredovanjem svojih osebnih podatkov podrobneje seznanite z informacijami glede obdelave osebnih podatkov oz. pri upravljavcu preverite na kateri pravni podlagi in v kakšne namene želi prejeti vaše osebne podatke oz. kopijo osebnega dokumenta.

Upravljavec mora upoštevati tudi druge obveznosti, ki jih nalaga Splošna uredba, npr. vodenje evidenc dejavnosti obdelave (30. člen Splošne uredbe) ter sprejem tehnično organizacijskih ukrepov za zavarovanje osebnih podatkov (24., 25. in 32. člen Splošne uredbe). Med take ukrepe štejemo npr. ureditev pravic dostopa do dokumentacije, fizično varovanje prostorov, kjer se nahajajo osebni podatki, pravila glede posredovanja osebnih podatkov tretjim osebam itd. Več informacij o zavarovanju osebnih podatkov si lahko preberete na: https://www.ip-rs.si/varstvo-osebnih-podatkov/obveznosti-upravljavcev/zavarovanje-oz-varnost-osebnih-podatkov.

Opozarjamo, da morate tudi sami (ob obdelavi osebnih podatkov gostov) kot upravljavec osebnih podatkov upoštevati določbe Splošne uredbe in ZVOP-2 (več o obveznostih upravljavca lahko preberete na www.upravljavec.si). V zvezi z drugimi obveznostmi glede sobodajalstva IP ni pristojni organ, zato vam v primeru dodatnih vprašanj predlagamo, da se obrnete na pristojne organe. Več informacij o sobodajalstvu lahko preberete npr. na povezavi https://spot.gov.si/sl/teme/sobodajalstvo/.

V kolikor menite, da je prišlo do kršitve varstva osebnih podatkov, lahko podate prijavo kršitve varstva osebnih podatkov, v okviru inšpekcijskega postopka pa bomo podrobno preverjali zakonitost in sorazmernost zbiranja osebnih podatkov. Vzorec prijave kršitve je dostopen na spletni strani IP, na https://www.ip-rs.si/obrazci/varstvo-osebnih-podatkov/.

V upanju, da smo vam z napotili uspeli pomagati, vas lepo pozdravljamo.

 

Mojca Prelesnik, univ. dipl. prav.,                                                 

informacijska pooblaščenka

 

Pripravila:                                                                                                                                

Barbara Žurej, univ. dipl. prav.,

svetovalka pooblaščenca za preventivo