Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Mnenja - VOP

+ -
Datum: 18.09.2018
Naslov: Pametna mesta in obdelava osebnih podatkov
Številka: 0712-3/2018/1623
Vsebina: Občine, Moderne tehnologije
Pravni akt: Mnenje

prejeli smo vaš dopis, v katerem nas sprašujete za mnenje glede obdelave osebnih podatkov v okviru pametnih mest, t.j. rešitev, kot so spremljanje zasedenosti parkirnih površin, merjenje kakovosti zraka (okoljska senzorika), zajem in merjenje porabe vode in energentov, razvoj pametne ulične razsvetljave in merjenje zadovoljstva občanov. Kot je zapisano v novici, na katero nas opozarjate, razvoj pametnih mest temelji na vzpostavitvi celotnega sistema strojne in programske opreme ter aplikacijskih komponent, kot so senzorji za merjenje različnih parametrov v objektih, prostorih in območjih (temperatura, količina snovi v vodi ali zraku, geolokacija, ...), komunikacijska infrastruktura, ki podatke prenaša v centralni sistem, hramba podatkov in uporaba aplikacij (veliko število senzorjev ustvari ogromne količine podatkov) ter aplikacije za pridobivanje podatkov in pripravo analiz. Skrbi oziroma zanima vas, kaj lahko to pomeni za pravico do varstva osebnih podatkov, zato nas prosite za strokovno mnenje glede omenjenega primera v smislu, katere podatke posameznikov/občanov lahko občina pridobiva, uporablja in hrani v sklopu izvedbe sistema pametno mesto (Smart City).

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba o varstvu podatkov), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašimi vprašanji.

 

Informacijski pooblaščenec (v nadaljevanju IP) uvodoma pojasnjuje, da gre na podlagi vašega opisa prav gotovo za takšne obdelave osebnih podatkov, kjer je treba izvesti predhodno oceno učinkov na varstvo osebnih podatkov, kot to določa 35. člen Splošne uredbe o varstvu osebnih podatkov. Ta namreč določa, da se ocena učinka v zvezi z varstvom podatkov zahteva zlasti v primeru:

 

(a) sistematičnega in obsežnega vrednotenja osebnih vidikov v zvezi s posamezniki, ki temelji na avtomatizirani obdelavi, vključno z oblikovanjem profilov, in je osnova za odločitve, ki imajo pravne učinke v zvezi s posameznikom ali nanj na podoben način znatno vplivajo;

(b) obsežne obdelave posebnih vrst podatkov iz člena 9(1) ali osebnih podatkov v zvezi s kazenskimi obsodbami in prekrški iz člena 10, ali

(c) obsežnega sistematičnega spremljanja javno dostopnega območja.

 

Glede obveznosti izvedbe ocene učinkov je Informacijski pooblaščenec na podlagi 4. odstavka 35. člena pripravil seznam vrst obdelave, ki terjajo izvedbo ocene učinka. Seznam je na voljo na povezavi:

https://www.ip-rs.si/fileadmin/user_upload/Pdf/Ocene_ucinkov/Seznam_dejanj_obdelav_osebnih_podatkov__za_katere_velja_zahteva_po_izvedbi_ocene_ucinka_v_zvezi_z_varstvom_osebnih_podatkov.pdf

 

Uvajanje pametnih mest, tako kot pravilno ugotavljate tudi sami, skozi mrežo različnih senzorjev implicira obsežno zbiranje osebnih podatkov, kar pomeni tudi, da so posledice za posameznike, poleg zasledovanih koristi, lahko tudi negativne in jih je treba obvladati. Ravno v ta namen je evropski zakonodajalec predvidel pri tako obsežnih sistemih obveznost izdelave predhodne ocene učinkov na varstvo osebnih podatkov (angl. data protection impact assesment). Ocene učinkov v zvezi z varstvom osebnih podatkov so orodje za identifikacijo, analizo in zmanjševanje tveganj glede nezakonitih ravnanj z osebnimi podatki, do katerih lahko pride pri določenem projektu, sistemu ali uporabi tehnologije. Upravljavci izvedejo oceno učinkov, ko je možno, da bi določena vrsta obdelave povzročila veliko tveganje za pravice in svoboščine posameznikov. 

 

Ocena učinka naj bi obsegala:

 

  • sistematičen opis dejanj in namenov obdelave, kadar je ustrezno pa tudi zakonitih interesov, za katere si prizadeva upravljavec;

  • oceno potrebnosti in sorazmernosti dejanj obdelave glede na njihov namen;

  • oceno tveganj za posameznike, na katere se nanašajo osebni podatki

  • ukrepe za obravnavanje tveganj, vključno z zaščitnimi ukrepi, varnostne ukrepe ter mehanizme za zagotavljanje varstva osebnih podatkov.

 

Ocena učinkov bi morala dati tudi odgovor na to, kakšne so potrebne pravna podlage ter kako je z varovanjem ostalih temeljnih načel varstva osebnih podatkov (sorazmernost, namenskost, varnost itd.). Oceno učinka mora izvesti upravljavec (torej v tem primeru občina oziroma partnerji v projektu) in tega ne more izvesti namesto njega nadzorni organ, torej Informacijski pooblaščenec.

 

O tem, kaj so ocene učinka, kaj morajo vključevati in primere metodologij ter več informacij je na voljo na naši posebni podstrani:

 

https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/kljucna-podrocja-uredbe/ocena-ucinka-v-zvezi-z-varstvom-podatkov/

 

Na njej najdete tudi posebne smernice na to temo:

 

https://www.ip-rs.si/fileadmin/user_upload/Pdf/Ocene_ucinkov/Smernice_o_ocenah_ucinka__DPIA__julij2018.pdf

 

Upamo, da je uvajalec sistema v vašem primeru seznanjen z omenjenimi dolžnostmi glede izvedbe ocene učinka; kolikor menite da ni, ga lahko seznanite z našim mnenje in z v njem navedenimi informacijami.

 

Lep pozdrav,

 

Mojca Prelesnik, univ.dipl.prav.,

informacijska pooblaščenka