Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Mnenja - VOP

+ -
Datum: 18.11.2015
Naslov: Obdelava OP iz osebnih dokumentov
Številka: 0712-1/2015/2921
Vsebina: Moderne tehnologije, Zavarovanje osebnih podatkov
Pravni akt: Mnenje

Informacijski pooblaščenec (v nadaljevanju IP) je po elektronski pošti prejel vaš dopis, v katerem pojasnjujete, da pripravljate projektno idejo za prijavo na razpis. Ideja vključuje preverjanje istovetnosti uporabnikov pri ustanavljanju uporabniškega računa na internetu. V tujini naj bi se istovetnost (t.i. proof of identity) preverjala prek kopije osebnega dokumenta in zadnje položnice. Zanima vas, ali lahko ponudnik IT storitve sam preveri istovetnost s primerjavo stalnega naslova prebivališča na kopiji osebnega dokumenta in z naslovom prebivališča na položnici. Zanima vas tudi, kako naj se ukrepa po tem, ko je istovetnost ugotovljena. Sprašujete ali morate po tem kopijo osebnega dokumenta in položnico fizično uničiti.


Avtentično razlago posameznih določb zakona daje le Državni zbor, neobvezno pa predlagatelj zakona, zato vam na podlagi informacij, ki ste nam jih posredovali, v nadaljevanju na podlagi 7. točke 1. odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1; ZVOP-1) ter 2. člena Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 - ZUstS-A; ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.


Pri kakršnikoli obdelavi osebnih podatkov mora upravljavec upoštevati več temeljnih zahtev ZVOP-1, ki so podrobneje opisane v nadaljevanju. Za obdelavo osebnih podatkov potrebuje ustrezno pravno podlago, namen in obseg obdelave morata biti jasno in vnaprej določena, prav tako je treba upoštevati načelo sorazmernosti in zahteve po ustreznem zavarovanju osebnih podatkov.


V zvezi z obdelavo osebnih podatkov iz osebnih dokumentov pa Informacijski pooblaščenec  opozarja, da je treba upoštevati še 4. člen Zakona o osebni izkaznici in 4a. člen Zakona o potnih listinah. Oba zakona določata, da upravljavec za namene ugotavljanja istovetnosti sicer lahko kopira osebne dokumente, vendar, če ne gre za notarja ali finančno družbo, le, če predhodno pridobi pisno privolitev posameznika. Ne sme pa kopij osebnih dokumentov hraniti v elektronski obliki.


Hranjenje podatkov iz osebnih dokumentov v elektronski obliki bi bilo po mnenju IP dopustno zgolj ob upoštevanju naštetih zahtev ZVOP-1 in ob predhodni izrecni pisni privolitvi posameznika. Po mnenju IP pa se je za dosego vaših ciljev možno izogniti hrambi osebnih dokumentov v elektronski obliki in sicer tako, da z ustrezno strojno in/ali programsko opremo (OCR) izvedete prepoznavo in primerjavo podatkov o naslovu, pri tem pa ne skenirate in ne shranite podobe celotnega osebnega dokumenta v elektronski obliki. 

 

Pri kakršnikoli obdelavi osebnih podatkov mora upravljavec (npr. IT podjetje, ki obdeluje osebne podatke za točno določene namene) upoštevati več temeljnih zahtev ZVOP-1.


Prvič, upoštevati je potrebno 16. člen, ki določa, da se lahko osebni podatki zbirajo le za določene in zakonite namene. Torej mora biti podjetju, ki bo nastopalo kot upravljavec osebnih podatkov, že na samem začetku (še pred obdelavo osebnih podatkov) jasno za kakšen namen namerava zbirati in nadalje obdelovati osebne podatke, prav tako tudi katere osebne podatke bo obdelovalo.


Drugič, obdelava osebnih podatkov v zasebnem sektorju je dopustna, če obstaja ustrezna pravna podlaga. Iz 1. odstavka 10. člena ZVOP-1 izhaja, da je takšna pravna podlaga praviloma zakon ali osebna privolitev. V vašem primeru bo najverjetneje temelj za zakonito obdelavo osebna privolitev posameznikov (npr. strinjanje s pogoji uporabe, kjer mora biti jasno navedeno, kateri osebni podatki se bodo obdelovali in za kakšen namen).


Tretjič, kljub ustrezni pravni podlagi je potrebno upoštevati načelo sorazmernosti, ki izhaja iz 3. člena ZVOP-1. Ta določa, da se lahko obdelujejo le tisti osebni podatki in le v takšnem obsegu, kot je to še potrebno za dosego konkretnega namena. Tako denimo zbiranje podatkov »na zalogo« (npr. z mislijo o tem, da bodo mogoče nekoč koristni, čeprav trenutno ne vemo, kaj bi z njimi počeli) po mnenju IP ni dopustno.


Vprašati se morate, ali lahko istovetnost posameznika ugotavljate še na kakšen manj invaziven način ali pa je obdelava osebnih podatkov iz osebnih dokumentov nujna.


Četrtič, proces obdelave osebnih podatkov in zbirke osebnih podatkov, ki jih nameravate obdelovati, morajo biti ustrezno zavarovane. ZVOP-1 v 24. in 25. členu določa, da mora upravljavec osebnih podatkov uvesti ustrezne organizacijske, tehnične in logično-tehnične ukrepe za preprečevanje nezakonite obdelave osebnih podatkov. Več o tem si lahko pogledate v smernicah IP na to temo, ki so dostopne na spletni strani: www.ip-rs.si/fileadmin/user_upload/Pdf/smernice/Smernice_o_zavarovanju_OP.pdf
Sicer je pomembno, da se ustrezno omeji uporabniške pravice za dostop do osebnih podatkov, da se zagotovi sledljivost pri obdelavi, da se informacijski sistem redno posodablja z varnostnimi popravki, da so jasno določene pravice in dolžnosti, in da so postopki ter dostopne pravice formalno zabeležene v internih pravilnikih.


Ob upoštevanju vseh naštetih zahtev ZVOP-1 se zastavi ključno vprašanje, t.j. ali lahko pravna oseba zasebnega sektorja (npr. vaše IT podjetje) zbira ali kako drugače obdeluje osebne podatke iz osebnih dokumentov posameznikov.
Zakon o osebni izkaznici (Uradni list RS, št. 35/11; ZOIzk-1) v 4. členu določa, da smejo upravljavci zbirk osebnih podatkov osebne izkaznice kopirati samo v primerih, ki jih določa zakon. Osebno izkaznico lahko kopirajo notarji in finančne družbe, na podlagi osebne pisne privolitve posameznika pa tudi drugi upravljavci osebnih podatkov. Ob kopiranju osebne izkaznice je treba zagotoviti, da se kopija osebne izkaznice ne bo uporabljala za druge namene razen za tiste, zaradi katerih se je kopirala, prav tako je prepovedano nadaljnje kopiranje kopije.  


Ob naštetem je potrebno izrecno poudariti, da ZOIzk-1 v 7. odstavku 4. člena določa, da je kopije osebne izkaznice prepovedano hraniti v elektronski obliki.
Podobne zahteve izhajajo tudi iz 4a. člena Zakona o potnih listinah (Uradni list RS, št. 29/11 – uradno prečiščeno besedilo; ZPLD-1), ki pa se nanaša na potne listine.


Navedeno pomeni, da upravljavec osebnih podatkov (denimo IT podjetje) lahko kopira in obdeluje osebne podatke iz osebnih dokumentov za namen preverjanja identitete uporabnika, če se ta s tem izrecno pisno strinja. Vendar pa je hranjenje osebnih dokumentov v elektronski obliki (npr. skena dokumenta) prepovedano.


Hranjenje podatkov iz osebnih dokumentov v elektronski obliki bi bilo po mnenju IP dopustno zgolj ob upoštevanju naštetih zahtev ZVOP-1 in ob predhodni izrecni pisni privolitvi posameznika. Po mnenju IP pa se je za dosego vaših ciljev možno izogniti hrambi osebnih dokumentov v elektronski obliki in sicer tako, da z ustrezno strojno in/ali programsko opremo (OCR) izvedete prepoznavo in primerjavo podatkov o naslovu, pri tem pa ne skenirate in ne shranite podobe celotnega osebnega dokumenta v elektronski obliki.  


V zvezi z vašim vprašanjem glede hranjenja oziroma uničenja kopije osebnega dokumenta, je potrebno zapisati, da je hranjene kopije osebnega dokumenta v elektronski obliki prepovedano, v fizični obliki pa je to dopustno le tako dolgo, dokler je to še potrebno za dosego namena.

 

Prijazen pozdrav,                                                            

Informacijski pooblaščenec:
Mojca Prelesnik, univ.dipl.prav.,

pooblaščenka

 


Mnenje pripravil:
mag. Matjaž Drev,
državni nadzornik
za varstvo osebnih podatkov