Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Iskalnik po mnenjih GDPR

+ -
Datum: 20.11.2019
Naslov: Inteligentna video analitika, biometrijski ukrepi
Številka: 0712-1/2019/2655
Vsebina: Biometrija, Pravne podlage, Video in avdio nadzor
Pravni akt: Mnenje

Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaše zaprosilo za mnenje glede uporabe inteligentne video analitike in biometrijskih ukrepov.

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba o varstvu podatkov), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju: ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju: ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.

 

IP uvodoma poudarja, da lahko podaja nezavezujoča mnenja in pojasnila, ne more pa v okviru mnenja presojati primernosti izbrane pravne podlage ali namenov oziroma obsega obdelave osebnih podatkov v konkretnem primeru.

 

IP uvodoma poudarja, da gre pri uvajanju inteligentne video analitike za novejše tehnološke sisteme, za katere Splošna uredba o varstvu podatkov ali ZVOP-1 specifično ne določata pogojev za njihovo uporabo, kot npr. za videonadzor, ki je izrecno urejen v ZVOP-1. Glede na nove tehnološke zmožnosti gre vsekakor za obdelave osebnih podatkov, pred katerimi IP priporoča izvedbo ocene učinka v zvezi z varstvom podatkov v skladu s 35. členom Splošne uredbe o varstvu osebnih podatkov. IP je na temo ocene učinkov izdelal Smernice o ocenah učinkov na varstvo podatkov, ki so dostopne na spletni strani:

https://www.ip-rs.si/fileadmin/user_upload/Pdf/Ocene_ucinkov/Smernice_o_ocenah_ucinka__DPIA__julij2018.pdf

 

Iz navedb v vašem zaprosilu po mnenju IP izhaja, da gre za obliko obdelave iz Seznama dejanj obdelav osebnih podatkov, za katere velja zahteva po izvedbi ocene učinka v zvezi z varstvom osebnih podatkov po 4. odstavku 35. člena Splošne uredbe o varstvu podatkov in ko je torej predhodna izvedba ocene učinka v zvezi z varstvom osebnih podatkov obvezna. IP je pripravil tak seznam in ga objavil na spletni strani:

https://www.ip-rs.si/fileadmin/user_upload/Pdf/Ocene_ucinkov/Seznam_dejanj_obdelav_osebnih_podatkov__za_katere_velja_zahteva_po_izvedbi_ocene_ucinka_v_zvezi_z_varstvom_osebnih_podatkov.pdf

 

IP nadalje pojasnjuje, da je v zvezi z inteligentno video analitiko (sicer še pred sprejemom Splošne uredbe o varstvu podatkov) izdal smernice, v katerih med drugim pojasnjuje odnos med videonadzorom in inteligentno video analitiko ter implikacije, ki jih imajo lahko tovrstni sistemi, odvisno od namenov uporabe in omogočenih funkcionalnosti, na varstvo osebnih podatkov. Smernice so dostopne na spletni strani IP:

https://www.ip-rs.si/fileadmin/user_upload/Pdf/smernice/Smernice_-_inteligentna_video_analitika.pdf

 

IP poudarja, da gre v tovrstnih primerih za obdelavo osebnih podatkov posameznikov, saj se njihovo podobo avtomatizirano obdeluje (četudi ne za namen njihove identifikacije in za zelo kratek čas). Za takšno obdelavo osebnih podatkov mora biti podana pravna podlaga. Splošna uredba o varstvu podatkov v 6. členu določa različne pravne podlage za zakonito obdelavo osebnih podatkov. Obdelava je tako zakonita le in kolikor je za konkretni namen obdelave in konkretne osebne podatke izpolnjen eden od naslednjih pogojev:

a)    posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov;

(b)   obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe;

(c)    obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca;

(d)   obdelava je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe;

(e)   obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu;

(f)    obdelava je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok.

 

Ob verjetni odsotnosti učinkovite možnosti pridobivanja privolitev posameznika in omenjeni odsotnosti zakonske ureditve tega področja bi bilo verjetno kot pravno podlago možno uporabiti pravno podlago zakonitih interesov (točka 6.1(f)), kjer pa je predhodno absolutno priporočljivo opraviti predhodno oceno zakonitega interesa, v kateri se pošteno in celovito oceni zakonitost interesa, negativne in škodljive vplive na pravice in svoboščine posameznike ter možne varovalke, ki lahko vplivajo na razmerje med zakonitimi interesi in vplivi na posameznika.

Glede uporabe registrskih tablic na parkirišču IP meni, da bi v opisanem primeru lahko šlo za obdelavo osebnih podatkov za točno določen namen (kontrola vstopa in izstopa s parkirišča) in bi tudi za takšno obdelavo lahko eventualno, v skladu z zgoraj navedenimi pogoji, kot pravna podlaga v poštev prišla točka 6.1(f) – zakoniti interesi upravljavca.

 

Glede videonadzora nad blagajno IP pojasnjuje, da bi šlo v opisanih primerih v vašem zaprosilu (trgovina lokal, …) za videonadzor delovnih prostorov, kjer zaposleni opravljajo svoje delo. Videonadzora v delovnih prostorih ZVOP-1 sicer ne prepoveduje, določa pa v 77. členu stroga pravila glede njegove vzpostavitve in izvajanja. Izvajanje videonadzora znotraj delovnih prostorov (za delovne prostore gre šteti vse prostore in površine, kjer zaposleni opravljajo svoje delovne naloge) se tako lahko izvaja le v izjemnih primerih, kadar je to nujno potrebno za varnost ljudi ali premoženja ali za varovanje tajnih podatkov ter poslovne skrivnosti, tega namena pa ni možno doseči z milejšimi sredstvi. To pomeni, da mora izvajalec videonadzora v vsakem primeru izrecno ugotoviti, ali obstaja milejši ukrep, ki bi omogočal, da zaposleni ne bi bili podvrženi snemanju, saj gre za invazivni poseg v zasebnost delavca. Odločanje o nujnosti in potrebnosti uvedbe videonadzora mora torej slediti zgoraj navedenim namenom, upravičenost pa se mora vedno presojati od primera do primera, kar pomeni, da mora biti osnovno vodilo pri uvedbi videonadzora načelo, da se ta uvede takrat, kadar ni na razpolago drugega milejšega ukrepa za dosego teh namenov. Pred uvedbo videonadzora se je treba posvetovati tudi z reprezentativnim sindikatom o nujnosti uvedbe takšnega videonadzora, če tak sindikat obstaja. Prav tako je treba delavce še pred začetkom izvajanja videonadzora pisno obvestiti o tem, da se bo začel izvajati videonadzor.

Nadalje ZVOP-1 v 2. odstavku 77. člena določa, da se lahko videonadzor opravlja zgolj v tistih delih prostorov, kjer je potrebno varovati interese iz 1. odstavka 77. člena. Absolutno prepovedano pa je izvajati videonadzor v delovnih prostorih izven delovnega mesta, zlasti v garderobah, dvigalih in sanitarnih prostorih.

 

V zvezi z izvajanjem biometrijskih ukrepov IP pojasnjuje, da zasebni sektor, kamor spada tudi vaše podjetje, v skladu z določbo prvega odstavka 80. člena ZVOP-1 lahko izvaja biometrijske ukrepe le, če so nujno potrebni za opravljanje dejavnosti, za varnost ljudi ali premoženja ali za varovanje tajnih podatkov ali poslovne skrivnosti. Biometrijske ukrepe lahko izvaja le nad svojimi zaposlenimi, če so bili predhodno o tem pisno obveščeni. Če izvajanje določenih biometrijskih ukrepov v zasebnem sektorju ni urejeno z zakonom, je upravljavec osebnih podatkov, ki namerava izvajati biometrijske ukrepe, dolžan pred uvedbo ukrepov posredovati državnemu nadzornemu organu (v RS je to IP) opis nameravanih ukrepov in razloge za njihovo uvedbo. Državni nadzorni organ je po prejemu posredovanih informacij iz prejšnjega odstavka dolžan v dveh mesecih odločiti, ali je nameravana uvedba biometrijskih ukrepov v skladu z zakonom. Rok se lahko podaljša za največ en mesec, če bi uvajanje biometrijskih ukrepov prizadelo več kot 20 zaposlenih v osebi zasebnega sektorja, ali če reprezentativni sindikat pri delodajalcu zahteva sodelovanje v upravnem postopku.

 

Biometrijske ukrepe je v zasebnem sektorju torej dopustno izvajati le v skladu z navedenimi pogoji in le nad svojimi zaposlenimi, ne pa tudi nad drugimi osebami (npr. strankami, obiskovalci, pogodbenimi izvajalci, …).

 

Pomemben vidik vsake obdelave osebnih podatkov predstavlja tudi obveščanje posameznikov o obdelavi osebnih podatkov. IP pojasnjuje, da so informacije, ki jih je treba zagotoviti posamezniku, na katerega se nanašajo osebni podatki, z vidika varstva osebnih podatkov na splošno urejene v členih 13 in 14 Splošne uredbe o varstvu podatkov.

 

Skladno z določbo 13. člena je dolžan upravljavec v primeru, kadar so bili osebni podatki  pridobljeni od posameznika, na katerega se ti nanašajo, le-temu takrat, ko pridobi osebne podatke, zagotoviti naslednje informacije:

a) identiteto in kontaktne podatke upravljavca in njegovega predstavnika, kadar ta obstaja;

b) kontaktne podatke pooblaščene osebe za varstvo podatkov, kadar ta obstaja;

c) namene, za katere se osebni podatki obdelujejo, kakor tudi pravno podlago za njihovo obdelavo;

d) kadar obdelava temelji na točki (f) člena 6(1), zakonite interese, za uveljavljanje katerih si prizadeva upravljavec ali tretja oseba;

e) uporabnike ali kategorije uporabnikov osebnih podatkov, kadar obstajajo;

f) kadar je ustrezno, informacije o tem, da namerava upravljavec prenesti osebne podatke uporabniku v tretji državi ali mednarodni organizaciji, ter o obstoju ali neobstoju sklepa Komisije o ustreznosti ali v primeru prenosov iz člena 46 ali 47 ali drugega pododstavka člena 49(1) sklic na ustrezne ali primerne zaščitne ukrepe in sredstva za pridobitev njihove kopije ali kje so na voljo;

  1. tudi nekatere druge informacije, opredeljene v drugem odstavku istega člena.

 

Dodatno drugi odstavek 13. člena Splošne uredbe o varstvu podatkov zahteva med drugim tudi zagotovitev informacij o roku hrambe, obstoju pravic posameznika in možnosti pritožbe nadzornemu organu. Informacije se posamezniku dajo na način, določen v 12. členu Splošne uredbe o varstvu podatkov.

 

Posamezniku je torej treba ob pridobitvi njegovih osebnih podatkov na jasen in razumljiv način zagotoviti navedene informacije o obdelavi osebnih podatkov. Predhodna informiranost posameznika o obdelavi njegovih podatkov je ključen element zakonite obdelave osebnih podatkov, saj se lahko le na podlagi ustreznih informacij o tem, komu lahko zaupa določene svoje podatke in za kakšen namen, posameznik svobodno odloči, ali bo to storil ali ne.

 

IP sklepno ponavlja, da v okviru nezavezujočega mnenja ne more potrditi uporabe konkretnih rešitev in načinov obdelave osebnih podatkov, ki jih navajate v vašem zaprosilu, saj lahko to ugotovi le v okviru uvedenega inšpekcijskega postopka. Presoja glede zakonitosti obdelave oziroma obstoja pravne podlage za posamezno obdelavo je vedno na upravljavcu, kateremu so pri odločitvi v pomoč zlasti kvalitetne in celovite ocene učinka v zvezi z varstvom podatkov in zakonitih interesov (kadar obdelava temelji na tej pravni podlagi).

 

 

S spoštovanjem.

 

 

Pripravil:

Matej Sironič,                                                  

Svetovalec pooblaščenca

za varstvo osebnih podatkov

 

 

Informacijski pooblaščenec:

Mojca Prelesnik, univ. dipl. prav.,

pooblaščenka