Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Mnenja - VOP

+ -
Datum: 02.03.2018
Naslov: Hramba podatkov o prijavljenih gostih
Številka: 0712-1/2018/473
Vsebina: Rok hrambe OP, Uradni postopki
Pravni akt: Mnenje

Informacijski pooblaščenec (v nadaljnjem besedilu IP) je 15. 2. 2018 prejel vaše zaprosilo za mnenje glede hrambe osebnih podatkov prijavljenih gostov. Ste podjetje Marina v Izoli, ki za prijavo vaših dnevnih gostov uporabljate »marinski« program, v katerega vnesete podatke o imenu in priimku, datumu rojstva, državljanstvu in št. osebnega dokumenta, zaradi pobiranja turistične takse. Ker se gostje vračajo večkrat na leto, vas zanima, koliko časa lahko hranite te podatke v vašem zalednem sistemu. Zanima vas tudi, ali morate zaradi tega sprejeti kakšne pravne akte.

 

V nadaljevanju vam na podlagi predstavljenega dejanskega stanja ter na podlagi 7. točke prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/2007 – uradno prečiščeno besedilo; v nadaljnjem besedilu ZVOP-1) ter 2. člena Zakona o Informacijskem pooblaščencu (Uradni list RS št. 113/2005 in 51/2007-ZUstS) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.

 

Iz določb ZSRT in ZPPreb-1 izhaja, da mora upravljavec nastanitvenih objektov o gostih voditi evidenco, v katero poleg podatka o imenu in priimku, vpisuje tudi podatke o datumu rojstva, spolu, državljanstvu ter številki in vrsti identifikacijskega dokumenta. Pri tem je skladno z zakonom te podatke upravičen hraniti še eno leto po izteku koledarskega leta, v katerem so bili podatki pridobljeni.

 

Osebne podatke lahko po tem obdobju hranite le na podlagi informirane osebne privolitve vsakega posameznega gosta ali če bi tako zahteval drug zakon.

 

Kadar gre za zbiranje osebnih podatkov na podlagi osebne privolitve posameznika, je le-ta lahko pisna, ustna ali druga ustrezna privolitev, mora pa iti za prostovoljno izjavo volje posameznika, da se lahko njegovi osebni podatki obdelujejo za določen namen, ki je dana na podlagi informacij, ki mu jih mora po ZVOP–1 zagotoviti upravljavec.

 

Za obdelavo osebnih podatkov v okviru ZVOP–1 je treba imeti ustrezno pravno podlago: na podlagi 8. člena ZVOP–1 se osebni podatki lahko obdelujejo le, če obdelavo osebnih podatkov in osebne podatke, ki se obdelujejo, določa zakon, ali če je za obdelavo določenih osebnih podatkov podana osebna privolitev posameznika (prvi odstavek); namen obdelave osebnih podatkov mora biti določen v zakonu, v primeru obdelave na podlagi osebne privolitve posameznika pa mora biti posameznik predhodno pisno ali na drug ustrezen način seznanjen z namenom obdelave osebnih podatkov (drugi odstavek).

 

ZVOP-1 v prvem odstavku 10. člena določa, da se lahko osebni podatki v zasebnem sektorju obdelujejo le, če obdelavo osebnih podatkov in osebne podatke, ki se obdelujejo, določa zakon ali če je za obdelavo določenih osebnih podatkov podana osebna privolitev posameznika. V konkretnem primeru podlago za zakonito obdelavo osebnih podatkov na področju pobiranja turistične takse urejata Zakon o spodbujanju razvoja turizma (Uradni list RS, št. 2/04, 57/12, 17/15, 52/16 – ZPPreb-1 in 29/17 – ZŠpo-1; v nadaljnjem besedilu ZSRT), ki določa turistično takso in možnost določitve navedene takse s strani občin, ter Zakon o prijavi prebivališča (Uradni list RS, št. 52/16; v nadaljnjem besedilu ZPPreb-1), ki ureja knjigo gostov, v okviru katere se praviloma tudi vodijo podatki za odmero tako določene takse. Konkretno ZSRT v 25. členu določa, da lahko občine določijo, da turistično takso plača tudi lastnik plovila, ki je na privezu v turističnem pristanišču, za prenočevanje zase in vse druge osebe. Dalje določa maksimalno višino te takse ter način plačila (letni pavšal). Vsebinsko enake določbe vsebuje tudi Odlok o turistični taksi, ki ga je sprejela Občina Izola.

 

ZPPreb-1 v 39. členu določa, da mora gostitelj voditi knjigo gostov na območju Republike Slovenije v elektronski ali fizični obliki in notri vpisovati določene osebne podatke (ti so našteti v 3. in 5. odstavku istega člena) vsakega gosta, ki mu je nudil nastanitev. Po tretjem odstavku navedenega člena gost ob prihodu navede naslednje podatke:

  1. ime in priimek,
  2. datum rojstva,
  3. spol,
  4. državljanstvo in
  5. številko in vrsto identifikacijskega dokumenta.

 

ZPPreb-1 določa posebna pravila glede roka hrambe osebnih podatkov, ki tvorijo knjigo gostov. V desetem odstavku 39. člena ZPPreb-1 je določeno, da gostitelj vodi podatke o gostu za obdobje enega koledarskega leta. Po preteku enega leta po zaključku koledarskega leta gostitelj podatke izbriše iz elektronske knjige gostov oziroma jih uniči, če vodi knjigo gostov v fizični obliki. To pomeni, da je treba po preteku navedenega obdobja (to je preostanek koledarskega leta in eno leto po tem) knjigo gostov izbrisati, ne glede na to, ali se vodi v digitalni ali v fizični obliki. Marina namreč skladno z 39. členom ZPPreb-1 nima več pravne podlage za obdelavo osebnih podatkov svojih gostov.

 

Osebne podatke bi lahko po tem obdobju hranili zgolj na podlagi informirane osebne privolitve vsakega posameznega gosta (prvi odstavek 10. člena ZVOP-1) ali druge ustrezne pravne podlage. IP pa ni znana nobena druga pravna podlaga, skladno s katero bi lahko marina še naprej hranila vse navedene osebne podatke teh oseb. ZPPreb-1 celo določa prekršek in predvideva globo zanj, v kolikor gostitelj ne izbriše ali uniči podatkov knjige gostov, kakor mu to nalaga 10. odstavek 39. člena ZPPreb-1 (prvi odstavek 48. člena ZPPreb-1).

 

Če se podatki zbirajo na podlagi osebne privolitve oziroma neposredno od posameznika, mora upravljavec osebnih podatkov v skladu z 19. členom ZVOP–1 posameznika seznaniti, kdo bo obdeloval njegove osebne podatke in za kakšne namene jih bo obdeloval oziroma ga čim bolj izčrpno informirati o tej obdelavi. Pomembno je torej zlasti, da je posameznik že v fazi zbiranja osebnih podatkov temeljito seznanjen z vsemi možnimi obdelavami osebnih podatkov oziroma da od upravljavca osebnih podatkov zahteva ustrezno informiranje o obdelavi osebnih podatkov. Posameznik tako sam odloča o tem, katere osebne podatke in za kakšne namene bo posredoval osebam v zasebnem sektorju in mora imeti tudi možnost zavrnitve posredovanja svojih osebnih podatkov. Osebna privolitev posameznika po ZVOP–1 je lahko pisna, ustna ali druga ustrezna privolitev, mora pa iti za prostovoljno izjavo volje posameznika, da se lahko njegovi osebni podatki obdelujejo za določen namen, ki je dana na podlagi informacij, ki mu jih mora po ZVOP–1 zagotoviti upravljavec. Praviloma ZVOP-1 ne zahteva pisne privolitve, ampak je le-ta lahko tudi ustna oziroma lahko gre za drugo ustrezno privolitev. Bistveno je, da je iz nje mogoče nedvomno sklepati na posameznikovo privolitev.

 

Splošno pravilo glede roka hrambe osebnih podatkov je določeno v 21. členu ZVOP-1, ki v prvem odstavku določa, da se osebni podatki lahko shranjujejo le toliko časa, dokler je to potrebno za dosego namena, zaradi katerega so se zbirali ali nadalje obdelovali. V drugem odstavku istega člena pa je določeno, da se osebni podatki po izpolnitvi namena obdelave zbrišejo, uničijo, blokirajo ali anonimizirajo, če niso na podlagi zakona, ki ureja arhivsko gradivo in arhive, opredeljeni kot arhivsko gradivo, oziroma če zakon za posamezne vrste osebnih podatkov ne določa drugače.

 

Vsakega upravljavca, ki zbira osebne podatke posameznikov, zavezuje tudi načelo sorazmernosti, po katerem morajo biti osebni podatki, ki se obdelujejo, ustrezni in po obsegu primerni glede na namene, za katere se zbirajo in nadalje obdelujejo (3. člen ZVOP-1). Prav tako pomembno je tudi spoštovanje 16. člena ZVOP–1, po katerem se osebni podatki lahko zbirajo le za določene in zakonite namene ter se ne smejo nadalje obdelovati tako, da bi bila njihova obdelava v neskladju s temi nameni, če zakon ne določa drugače.

 

Ob zaključku dodajamo še, da se bo 25. 5. 2018 pričela uporabljati Splošna Uredba (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (v nadaljnjem besedilu Splošna uredba o varstvu podatkov), ki bo »nasledila« ZVOP-1. Splošna uredba o varstvu podatkov vsebuje določbe o privolitvi v členih 7 in 8 ter recitalih 32 in 171, v skladu s katerimi za področje privolitve predvideva strožje pogoje, prav tako člena 13 in 14, ki predpisujeta pogoje za informiranje posameznikov. Več o sami reformi evropskega zakonodajnega okvira za varstvo osebnih podatkov si lahko preberete na spletni povezavi https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/.

 

V upanju, da ste dobili odgovor na svoje vprašanje, vas lepo pozdravljamo.

 

 

 

 

 

Pripravila:                                                                                Mojca Prelesnik, univ. dipl. prav.,

Karolina Kušević, univ. dipl. prav.,                                            Informacijska pooblaščenka

svetovalka pri IP