Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Mnenja - VOP

+ -
Datum: 12.12.2006
Naslov: Zavarovanje osebnih podatkov pri sklepanju turističnih pogodb
Številka: 0712-450/2006/2
Vsebina: Zavarovanje osebnih podatkov
Pravni akt: Mnenje

Spoštovani,

 

dne 6.12.2006 smo po elektronski pošti prejeli vaše vprašanje v zvezi z varstvom osebnih podatkov. Navedli ste, da se je med sklepanjem pogodbe o potovanju s turistično agencijo neka oseba nepooblaščeno seznanila z vašimi osebnimi podatki, saj je prisluškovala pogovoru med vami in uslužbenko te agencije. Poslovalnica turistične agencije je namreč takšna, da ne zagotavlja nikakršne zasebnosti potnikom. Postopki pridobivanja podatkov, potrebnih za sestavo pogodbe, se posredujejo uslužbenki na tak način, da jih lahko sliši kdorkoli, ki se v tistem trenutku nahaja v agenciji (uslužbenka postavlja vprašanja potniku, namesto, da bi podatke prepisala iz osebnega dokumenta). Na tak način so bili po vašem mnenju podatki neupravičeno "iznešeni" iz agencije in posredovani tretji osebi, ki ni bila prisotna v agenciji v trenutku sklepanja pogodbe.

 

S tem v zvezi nas sprašujete za mnenje glede spoštovanja zasebnosti pri sklepanju turističnih pogodbe ter ali je res potnik dolžan poskrbeti za to, da podatkov, ki jih mora posredovati agenciji, ne bi slišal nekdo, ki se nahaja v prostorih agencije ob sklepanju pogodbe? Takšna je bila namreč razlaga organizatorja potovanja, ko ste na njih naslovili odškodninski zahtevek za nastalo škodo.

 

Ker lahko avtentično razlago posameznih določb zakona daje le Državni zbor, neobvezno pa predlagatelj zakona, vam na podlagi informacij, ki ste nam jih posredovali, v nadaljevanju na podlagi 7. tč. I. odst. 49. čl. Zakona o varstvu osebnih podatkov (Ur. l. RS, št. 86/04 in 113/05, v nadaljevanju ZVOP-1) ter 2. čl. Zakona o informacijskem pooblaščencu (Ur. l. RS, št. 113/05; ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašimi vprašanji.

 

Informacijski pooblaščenec (v nadaljevanju Pooblaščenec) uvodoma poudarja, da tudi razkritje in posredovanje osebnih podatkov s strani posameznika, na katerega se podatki nanašajo, pomeni obdelavo osebnih podatkov. 3. tč. 6. čl. ZVOP-1 namreč določa, da obdelava osebnih podatkov pomeni kakršnokoli delovanje ali niz delovanj, ki se izvaja v zvezi z osebnimi podatki, ki so avtomatizirano obdelani ali ki so pri ročni obdelavi del zbirke osebnih podatkov ali so namenjeni vključitvi v zbirko osebnih podatkov. Glede na to, da iz vaših navedb ni podrobno razvidno, na kakšen način se je tretja oseba seznanila z vašimi osebnimi podatki, Pooblaščenec ne more z gotovostjo trditi, ali je v konkretnem primeru prišlo do kršitve določb ZVOP-1. Vsekakor pa je potrebno opozoriti, da je upravljavec osebnih podatkov na podlagi 25. čl. ZVOP-1 dolžan zagotoviti zavarovanje osebnih podatkov, kamor spada tudi to, da nepooblaščenim osebam prepreči dostop do osebnih podatkov pri njihovem prenosu. I. odst. 24. čl. ZVOP-1 namreč določa, da zavarovanje osebnih podatkov obsega organizacijske, tehnične in logično-tehnične postopke in ukrepe, s katerimi se varujejo osebni podatki, preprečuje slučajno ali namerno nepooblaščeno uničevanje podatkov, njihova sprememba ali izguba ter nepooblaščena obdelava teh podatkov tako, da se:
1. varujejo prostori, oprema in sistemsko programska oprema, vključno z vhodno-izhodnimi enotami;
2. varuje aplikativna programska oprema, s katero se obdelujejo osebni podatki;
3. preprečuje nepooblaščen dostop do osebnih podatkov pri njihovem prenosu, vključno s prenosom po telekomunikacijskih sredstvih in omrežjih;
4. zagotavlja učinkovit način blokiranja, uničenja, izbrisa ali anonimiziranja osebnih podatkov;
5. omogoča poznejše ugotavljanje, kdaj so bili posamezni osebni podatki vneseni v zbirko osebnih podatkov, uporabljeni ali drugače obdelani in kdo je to storil, in sicer za obdobje, ko je mogoče zakonsko varstvo pravice posameznika zaradi nedopustnega posredovanja ali obdelave osebnih podatkov.

 

Iz navedenega izhaja, da ni stranka tista, ki mora poskrbeti za to, da podatkov, ki jih mora posredovati turistični agenciji, ne bi slišala nepooblaščena oseba, pač pa je to dolžnost agencije, ki je v tem primeru upravljavec osebnih podatkov. Glede na vaše navedbe, sicer obstaja možnost, da turistična agencija ni postopala v skladu z določbami ZVOP-1 o zavarovanju osebnih podatkov, kar pomeni prekršek iz 93. čl. ZVOP-1, vendar pa kot rečeno, tega na podlagi podatkov, ki ste nam jih posredovali, ni mogoče z gotovostjo trditi.

 

V upanju, da smo odgovorili na vaše vprašanje, vas vljudno pozdravljamo.
     

 

S spoštovanjem,

              

Informacijski pooblaščenec:
Nataša Pirc Musar, univ. dipl. prav.,
pooblaščenka