Ustreznost rešitve
+ -Številka: 07121-1/2023/698
Kategorije: Ocene učinkov v zvezi z varstvom podatkov
Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaše zaprosilo za mnenje glede ustreznosti določene rešitve (samoprijava gosta) z vidika varstva osebnih podatkov.
Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22; ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, 51/07 – ZUstS-A; ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.
IP ne nudi storitve pregleda ali vnaprejšnje odobritve različnih obrazcev, storitev, aplikacij ali drugih rešitev, ki jih uvajajo posamezni upravljavci, z vidika njihove skladnosti z veljavnimi predpisi.
Posamezniku je treba v skladu s 13. in 14. členom Splošne uredbe zagotoviti določene informacije o obdelavi osebnih podatkov.
Preveriti je treba, ali za upravljavca velja zahteva po izvedbi ocene učinka v zvezi z varstvom osebnih podatkov, v vsakem primeru pa je izdelava takšne ocene priporočljiva.
O b r a z l o ž i t e v:
IP uvodoma poudarja, da lahko podaja nezavezujoča mnenja in pojasnila, ne sme pa izven konkretnih inšpekcijskih postopkov preverjati primernosti izbrane pravne podlage ali namenov oziroma obsega obdelave osebnih podatkov v konkretnem primeru. IP tako ne nudi storitve pregleda ali vnaprejšnje odobritve različnih obrazcev, storitev, aplikacij ali drugih rešitev, ki jih uvajajo posamezni upravljavci, z vidika njihove skladnosti z veljavnimi predpisi. IP kot nadzorni organ na področju varstva osebnih podatkov v okviru mnenja tako ne more presojati skladnosti rešitve, ki ste jo na kratko opisali v vašem zaprosilu za mnenje, s predpisi s področja varstva osebnih podatkov.
IP pojasnjuje, da mora upravljavec (v konkretnem primeru vaši člani) pred uvedbo posamezne rešitve presoditi dopustnost in sorazmernost obdelav osebnih podatkov, ki bodo obdelovani v njenem okviru. Vsaka obdelava osebnih podatkov mora potekati transparentno in skladno z določbami Splošne uredbe. Ta v prvem odstavku 6. člena določa, da je obdelava osebnih podatkov zakonita le in kolikor je za konkretni namen obdelave izpolnjen eden od naslednjih pogojev:
(a) posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov;
(b) obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe;
(c) obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca;
(d) obdelava je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe;
(e) obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu;
(f) obdelava je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok.
Ob tem IP opozarja na načelo najmanjšega obsega podatkov, ki določa, da morajo biti pod pogojem, da obstaja pravna podlaga, osebni podatki, ki se obdelujejo, ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo. Navedeno načelo pomeni, da je potrebno obdelovati samo toliko osebnih podatkov, kolikor je nujno potrebno za dosego zakonitega namena obdelave (v konkretnem primeru samoprijavo gosta).
Ob tem bi moralo biti v primeru uvedbe konkretne rešitve poskrbljeno tudi za ustrezno zavarovanje zbirk osebnih podatkov, ki bi nastale na podlagi uporabe rešitve. Gre za organizacijske in tehnične ukrepe, ki jih določa Splošna uredba v 24., 25. in 32. členu. Dodatne informacije v zvezi z zavarovanjem osebnih podatkov so na voljo v smernicah IP, ki so dostopne na spletni strani IP:
https://www.ip-rs.si/fileadmin/user_upload/Pdf/smernice/Smernice_o_zavarovanju_OP.pdf
Usmeritve in napotila omenjenih smernic so zelo koristne tako pri razvoju in nastavitvah kot tudi pri uporabi posameznih rešitev, ki so povezane z obdelavo osebnih podatkov.
IP posebej opozarja, da pomemben in pogosto zapostavljen vidik predstavlja tudi obveščanje posameznikov o obdelavi osebnih podatkov. IP poudarja, da je upravljavec dolžan posameznika (v konkretnem primeru gosta) seznaniti z rešitvijo, načinom njenega delovanja, nameni, za katere bodo pridobljeni podatki uporabljeni, ter o ostalih pomembnih vidikih obdelave osebnih podatkov, ki so določeni v 13. in 14. členu Splošne uredbe. IP pred uvedbo konkretne rešitve vsekakor poziva k temeljiti in natančni izvedbi teh korakov. V tem primeru se boste po njihovi izvedbi skupaj z upravljavci na podlagi vseh ugotovljenih dejstev lažje in bolj kvalitetno lahko odločili o ustreznosti uvedbi konkretne rešitve z vidika varstva osebnih podatkov. Navedene informacije morajo biti čim bolj jasne, pregledne in posameznikom razumljive ter lahko dostopne. IP je za pomoč upravljavcem pri obveščanju posameznikov glede obdelave osebnih podatkov pripravil posebno rubriko, ki je dostopna na spletni strani IP:
Na tej podstrani lahko najdete tudi vzorca obvestila posameznikom po 13. oziroma 14. členu Splošne uredbe.
IP splošno vsem subjektom, ki razmišljajo o uvedbi podobnih rešitev, kot jo navajate v vašem zaprosilu za mnenje, priporoča, da v skladu s 35. členom Splošne uredbe izvedejo oceno učinka v zvezi z varstvom osebnih podatkov. IP je na temo ocene učinkov izdelal Smernice o ocenah učinkov na varstvo podatkov, ki so dostopne na spletni strani:
https://www.ip-rs.si/prirocniki_smernice/Smernice_o_ocenah_ucinka.pdf
Gre za vnaprejšnjo presojo, ali oziroma pod kakšnimi pogoji bi bila predlagana uvedba projekta zakonita, sorazmerna, transparentna, varna itd. Zelo pomembno je izhajati iz težav, ki naj bi jih reševali z uvedbo rešitve, pri čemer je treba realno oceniti, ali se bo na tak način dejansko doseglo zasledovane cilje in ali teh ciljev ni mogoče doseči na drug način (npr. z uporabo drugih sredstev za dosego cilja), ki bi manj posegal v pravice posameznika.
IP nadalje pojasnjuje, da je v skladu s prvim odstavkom 35. člena Splošne uredbe temeljni kriterij za vprašanje, kdaj je ocena učinkov obvezna, zlasti ocena, ali bo obdelava povzročila veliko tveganje za pravice in svoboščine posameznikov. Dodatni kriteriji so opredeljeni v tretjem odstavku istega člena.
Ob tem je treba preveriti tudi, ali gre morda za obliko obdelave iz Seznama dejanj obdelav osebnih podatkov, za katere velja zahteva po izvedbi ocene učinka v zvezi z varstvom osebnih podatkov po 4. odstavku 35. člena Splošne uredbe in ko je torej predhodna izvedba ocene učinka v zvezi z varstvom osebnih podatkov obvezna. IP je pripravil tak seznam in ga objavil na spletni strani:
IP ob tem izpostavlja tudi določbe Zakona o osebni izkaznici (Uradni list RS, št. 35/11, 41/21, 199/21; v nadaljevanju: ZOIzk-1) in Zakona o potnih listinah (Uradni list RS, št. 29/11 – UPB; v nadaljevanju: ZPLD-1). Slednji v sedmem odstavku 4.a člena določa, da je kopijo potne listine prepovedano hraniti v elektronski obliki. Za osebne izkaznice tovrstne prepoved ne velja, zato je njeno skeniranje in hramba v elektronski obliki dopustna. ZVOP-2 v 94. členu določa, da smejo upravljavec, obdelovalec ali uporabnik za namen identifikacije posameznika, ali za namen zagotavljanja točnosti in posodobljenosti osebnih podatkov, vpogledati v njegove uradne identifikacijske dokumente. Upravljavec, ki izvaja z zakonom predpisano nalogo, pa sme za namen identifikacije posameznika tudi prepisati, kopirati ali drugače obdelati podatke iz njegovih uradnih identifikacijskih dokumentov.
IP sklepno ponavlja, da v okviru mnenja ne more presojati ustreznosti posameznih rešitev oziroma ravnanja posameznih zavezancev, ampak to lahko presoja le v okviru konkretnega inšpekcijskega oziroma drugega upravnega postopka, ko so znane vse konkretne okoliščine posameznega primera. Presoja glede zakonitosti obdelave oziroma obstoja pravne podlage za posamezno obdelavo je torej primarno na vsakem upravljavcu posebej. Upravljavec (v konkretnem primeru vaši člani) so torej v vsakem posameznem primeru odgovoren za zakonitost ter sorazmernost obdelav osebnih podatkov, ki jih izvaja.
Lepo vas pozdravljamo.
Pripravil:
Matej Sironič,
Svetovalec pooblaščenca
za varstvo osebnih podatkov
Mojca Prelesnik, univ. dipl. prav.,
Informacijska pooblaščenka