Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Mnenja - VOP

+ -
Datum: 20.04.2018
Naslov: Dodatna pojasnila glede tolmačenja področij obveščanja, zbirk OP in posebnih vrst OP Splošne uredbe o varstvu podatkov
Številka: 0712-3/2018/245
Vsebina: Mediji, fotografije kot OP, Vpogled v lastne OP, Občutljivi OP, Zavarovanje osebnih podatkov, Razno
Pravni akt: Mnenje

Prejeli smo več sporočil z različnimi vprašanji glede tolmačenja nove evropske Splošne uredbe o varstvu osebnih podatkov. V nadaljevanju vam po točkah posredujemo odgovore.

 

Uvodoma Informacijski pooblaščenec (IP) pojasnjuje, da v okviru mnenja ne more dokončno presojati zakonitosti različnih obdelav osebnih podatkov, zato vam v nadaljevanju pojasnjujemo nekatere okoliščine, ki so v zvezi s primeri oziroma vidiki, ki jih opisujte, relevantni. Ob tem pa izpostavljamo, da mora vsako podjetje in drug upravljavec glede na namene obdelave vedno presojati, kaj je konkretna pravna podlaga in narava posamezne obdelave ter katere obveznosti iz tega izhajajo. Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju na podlagi 7. točke prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07, uradno prečiščeno besedilo, v nadaljevanju ZVOP-1) ter 2. člena Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašimi vprašanji. Glede na to, da Splošna Uredba (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (v nadaljevanju Splošna uredba) stopi v uporabo 25. 5. 2018 formalnega mnenja po Splošni uredbi ne moremo podati.

 

1. Ali posameznik lahko od upravljavca zahteva, da ga NE obvešča o kršitvah osebnih podatkov v smislu 34. člena GDPR? Če upravljavec prejme tako zahtevo, ali jo je dolžan spoštovati?

 

IP pravna podlaga za takšno vnaprejšnjo odpoved pravici ni znana, zato neformalno ocenjuje, da opisana zahteva upravljavca ne bi odvezala obveznosti po 34. členu Splošne uredbe. Hkrati izpostavljamo, da je vprašanje, ali bi bila glede na namen opisane določbe Splošne uredbe, takšna odpoved pravici pravno veljavna. Posameznik si namreč – upoštevajoč povprečno in omejeno poznavanje vseh mogočih oblik kršitev, ki jih niti strokovnjak vnaprej ne more vseh predvideti – vnaprej težko predstavlja, do kakšne kršitve teoretično sploh lahko pride. Zato posledično težko govorimo, da bi se posameznik dejansko lahko veljavno odpovedal neznano čemu oziroma menimo, da je namen pravice prav v dejstvu, da posameznik v praksi do konkretnega dogodka kršitve, ne more realno predvideti pomena in mogočih razsežnosti bodočih kršitev ter njenih posledic zanj.  

 

2. Kako si je smiselno interpretirati izraz »vrste obdelave« / »categories of processing« v 30. členu Splošne uredbe, točka 2.b? Ali se pričakuje: preprost opis obdelave, ali naštevanje postavk iz  definicije obdelave v členu 4, (2): zbiranje, beleženje, urejanje, strukturiranje, shranjevanje, prilagajanje ali spreminjanje, priklic, vpogled, uporaba, razkritje s posredovanjem, razširjanje ali drugačno omogočanje dostopa, prilagajanje ali kombiniranje, omejevanje, izbris ali uničenje; ali oboje, ali kaj tretjega?

 

Enotnega navodila s strani nadzornih organov na to temo ni. Po mnenju IP bi z navedbo vrst obdelave na način, kot ga opisujete, načeloma zadostili zahtevam 30. člena Splošne uredbe, pri čemer je bistveno, da seveda vse vrste obdelave v členu 4 (2) niso zajete in mora opis vrste ustrezati dejanski vrsti obdelave.

 

3. Ali obstajajo kaka priporočila, priporočeni kriteriji, dobre prakse za preverjanje identitete posameznika (v smislu recitala 64 Splošne uredbe), ki uveljavlja svoje pravice po Splošni uredbi. oz. priporočila za preprečevanje, da bi nepooblaščeni osebi razkrili varovane osebne podatke. Sprašujete za različne komunikacijske kanale, po katerih lahko posameznik uveljavlja pravice – osebno v živo, telefon, internetna elektronska pošta, spletni obrazec …

 

Enotnega navodila s strani nadzornih organov na to temo ni. Glede na konkretni kanal priporočamo upoštevanje obstoječih standardov, ki so na voljo z vidika zagotavljanja identifikacije (kot npr. v zvezi z elektronsko identifikacijo standardi v zvezi z uredbo eIDAS. Splošno priporočljiva praksa je tudi, da se oseben podatke pošilja izključno na naslove, ki jih ima o posamezniku zavezanec v svojih bazah, in ne na morebitne druge naslove, ki jih navede prosilec, saj bi šlo lahko za krajo identitete.

 

4. Ali moramo vse slike in video posnetke določenih in določljivih oseb, ki nam kot upravljavcu omogočajo prepoznati rasno ali etnično poreklo, šteti za obdelavo posebnih kategorij osebnih podatkov v smislu 9. člena Splošne uredbe? Npr. dokument  https://www.inforights.im/media/1426/records-of-processing.pdf , stran 8, opredeljuje, da videonadzor pomeni obdelavo občutljivih osebnih podatkov, ker lahko iz posnetkov razberemo raso posameznikov.

 

IP doslej takšnega stališča za vse fotografije ne glede na druge okoliščine ni zavzemal, drugače, pa bi bilo v primeru biometrične obdelave osebnih podatkov, kar pa izhaja že iz določb 9. člena Splošne uredbe, ki v krog posebnih vrst osebnih podatkov uvršča biometrične podatke za namene edinstvene identifikacije posameznikov. Prav tako ni seznanjen, da bi takšno skupno stališče zavzeli nadzorni organi držav članic EU.

 

5. Ali je za izpolnitev zahteve iz člena 27 v Splošne uredbe (predstavniki)  dovolj, če organizacija izven EU/EEA predstavnika pisno opredeli v zapisu o aktivnostih procesiranja (po 30. členu Splošne uredbe), ali je potrebna kaka drugačna formalna oblika (npr. lastnoročno/elektronsko podpisana listina?

 

Enotnega stališča nadzornih organov glede te določbe ni, vendar se IP zgolj opredelitev v zapisu z vidika siceršnjih predpisov delovanja gospodarskih družb in drugih vidikov pravne opredelitve vloge predstavnika načeloma ne zdi dovolj. Upoštevajoč interne akte in organizacijsko strukturo posameznega podjetja in pravo delovanja gospodarskih družb IP razume, da bi morala biti takšna določitev formalizirana do te mere, da pravno ni nobenega dvoma o pravni veljavnosti takšne odločitve in obveznostih takšnega predstavnika. IP pričakuje, da bo morda jasnejši napotek glede tolmačenja te določbe podan v okviru skupnega stališča nadzornih organov glede uporabe člena 3 Splošne uredbe, ki pa je še v pripravi.

 

6. Ali se za obdelavo osebnih podatkov, ki niso vključeni v zbirko, niti niso namenjeni vključitvi v zbirko, in se obdelujejo z avtomatiziranimi sredstvi, uporablja Splošna uredba ali ne? Zanima vas, ali se besedilo »ki so del zbirke ali so namenjeni oblikovanju dela zbirke.« v 2. členu Splošne uredbe nanaša samo na »in za drugačno obdelavo kakor z avtomatiziranimi sredstvi za osebne podatke«, ali tudi na »obdelavo osebnih podatkov v celoti ali delno z avtomatiziranimi sredstvi«? Če se kriterij vključitve v zbirko nanaša tudi na obdelavo z avtomatiziranimi sredstvi, sprašujete, kako si morate interpretirati definicijo zbirke (»zbirka« pomeni vsak strukturiran niz osebnih podatkov, ki so dostopni v skladu s posebnimi merili, niz pa je lahko centraliziran, decentraliziran ali razpršen na funkcionalni ali geografski podlagi) v kontekstu informacijskega sistema, npr.: Ali so osebni podatki, razpršeni v linearni datoteki, po katerih lahko iščete, zbirka? Ali so osebni podatki v datotečnem sistemu zbirka? Ali ima indeksiranost podatkov (ki omogoča hitrejše iskanje, oz. v primeru velikih količin podatkov realno sploh omogoča iskanje) vpliv na odločitev o tem, ali gre za zbirko? Ali bi lahko rekli, da je potreben pogoj za zbirko, da struktura odraža kategorije osebnih podatkov (npr. v smislu stolpci v podatkovni bazi, ustrezajo imenu, priimki, EMŠO ipd.)?

 

IP šteje, da se Splošna uredba uporablja za vse osebne podatke, ki se obdelujejo z avtomatiziranimi sredstvi, ne glede na to, ali so del zbirke ali so namenjeni oblikovanju dela zbirke.

 

Lep pozdrav,

 

Mojca Prelesnik, univ.dipl.prav.,                                                  

informacijska pooblaščenka

 

Pripravila:                                                                                                                                

Alenka Jerše, univ.dipl.prav.,
namestnica informacijske pooblaščenke

 

mag. Andrej Tomšič,
namestnik informacijske pooblaščenke