Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Iskalnik po mnenjih GDPR

+ -
Datum: 30.12.2019
Naslov: Obdelava osebnih podatkov s strani izvajalcev nastanitvenih dejavnosti
Številka: 0712-1/2019/2909
Vsebina: Delovna razmerja, Posredovanje OP med upravljavci, Pravne podlage, Uradni postopki , Zavarovanje osebnih podatkov
Pravni akt: Mnenje

Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaše elektronsko sporočilo, v katerem navajate, da ste na … (v nadaljevanju: …), s strani izvajalcev nastanitvene dejavnosti, tj. zavezancev za poročanje podatkov o gostih in prenočitvah v sistem …, zaznali pomanjkljivo poznavanje tematike glede pravilne in zakonite obdelave osebnih podatkov (pridobivanje podatkov s strani gostov za namen vodenja knjige gostov, poročanje v sistem …, hramba podatkov idr.). Izvajalci nastanitvene dejavnosti so v sistem … zavezani poročati skladno z Zakonom o prijavi prebivališča in Pravilnikom o prijavi od odjavi gostov. Vsled navedenega ste dobronamerno pristopili k informiranju zavezancev za poročanje v sistem … s področja varstva osebnih podatkov na podlagi Splošne uredbe (GDPR). Za namen seznanitve izvajalcev nastanitvene dejavnosti na širšem področju turizma ste v sodelovanju z drugimi institucijami, ki so vključene v sistem … (…) predhodno uskladili in na spletnem portalu … objavili dokument …. Ker bi želeli vsem zavezancem omogočiti vsebinsko in pravno pravilne ter točne informacije za njihovo zakonito postopanje v smislu zasledovanja enotne prakse, ste IP zaprosili za strokovno pomoč in konkretna navodila, kako morajo zavezanci za poročanje ravnati z osebnimi podatki gostov, v povezavi z vodenjem knjige gostov, ter na kaj morajo biti pozorni v primeru nadzora s strani pooblaščenega organa.

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s točko b) tretjega odstavka 58. člena Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1 - v nadaljevanju ZVOP-1; v nadaljevanju: ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZustS-A, v nadaljevanju: ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem. 

 

IP vam uvodoma pojasnjuje, da lahko podaja le nezavezujoča mnenja in pojasnila, ne more pa izven konkretnih inšpekcijskih postopkov presojati posameznih primerov obdelave osebnih podatkov oz. navajati konkretnih navodil glede obdelave osebnih podatkov.

 

Izhajajoč iz vašega vprašanja oz. cilja, ki ga zasledujete, IP napotuje na določbe Splošno uredbo in še veljavne določbe Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-uradno prečiščeno besedilo; v nadaljevanju: ZVOP-1), ki določata obveznosti za upravljavce glede obdelave osebnih podatkov ter na določbe področne zakonodaje in v njej določenih obveznosti.

 

»Upravljavec« je na podlagi točke (7) člena 4 Splošne uredbe fizična ali pravna oseba, javni organ, agencija ali drugo telo, ki samo ali skupaj z drugimi določa namene in sredstva obdelave; kadar namene in sredstva obdelave določa pravo Unije ali pravo države članice, se lahko upravljavec ali posebna merila za njegovo imenovanje določijo s pravom Unije ali pravom države članice. V smislu določbe točke (7) člena 4 Splošne uredbe se šteje gostitelj, kakor ga določa Zakon o prijavi prebivališča (Uradni list RS, št. 52/16; v nadaljevanju: ZPPreb-1), za upravljavca osebnih podatkov gostov, tj. oseb, ki se nastanijo pri gostitelju na območju Republike Slovenije, zunaj naslova svojega stalnega  ali začasnega prebivališča in po določbah ZPPreb-1 ne izpolnjujejo pogojev za prijavo stalnega ali začasnega  prebivališča na naslovu nastanitve (15. točka 2. člena ZPPreb-1).

 

Sami že navajate, da obveznosti gostiteljev določata ZPPreb-1 in na njegovi podlagi sprejeti Pravilnik o prijavi in odjavi gostov (Uradni list RS, št. 75/16; v nadaljevanju: Pravilnik), ki v smislu točke (f) odstavka 1 člena 6 Splošne uredbe predstavljata pravno podlago za zakonito obdelavo osebnih podatkov gostov.

 

Glede na navedeni zakonodajni okvir bo moral gostitelj kot upravljavec podatkov, ki jih vodi v knjigi gostov, v okviru področne zakonodaje in v njej določenih obveznosti ter na podlagi Splošne uredbe in ZVOP-1, ob upoštevanju narave, obsega, okoliščin in namenov obdelave, pa tudi tveganj za pravice in svoboščine posameznikov, ki se razlikujejo glede po verjetnosti in resnosti, izvesti tehnične in organizacijske ukrepe, da zagotovi in je zmožen dokazati, da obdelava poteka v skladu s Splošno uredbo in ZVOP-1.

 

Kot že zgoraj navedeno, IP v okviru podaje mnenja ne more podati konkretnih navodil glede obdelave osebnih podatkov, saj to lahko stori le v okviru inšpekcijskega postopka. V pomoč pri pripravi vsebine dokumenta … vas IP tako napotuje na informacije, ki so dostopne na naši spletni strani, kot izhodišče pa vam predlagamo dokument, kjer so določene ključne obveznosti upravljavcev, določene v Splošni uredbi: https://www.ip-rs.si/fileadmin/user_upload/Pdf/GDPR/GDPR_TOP10_14sep2017.pdf.

 

Do sprejema ZVOP-2 veljajo tudi nekatere obveznosti upravljavcev po ZVOP-1, predvsem iz naslova področnih ureditev. Obveznosti na posameznih področjih (videonadzor, biometrija, iznos, idr.) so podrobneje opisane na posameznih podstraneh.

V zvezi z drugim delom vašega vprašanja, vam IP odgovarja, da v okviru inšpekcijskega nadzora preverja skladnostno ravnanje zavezancev za varstvo osebnih podatkov, pri čemer nadzira zlasti:

  • zakonitost in preglednost obdelav osebnih podatkov;
  • ustreznost ukrepov varnosti osebnih podatkov ter izvajanje postopkov in ukrepov za zagotovitev varnosti osebnih podatkov po členu 32 Splošne uredbe;
  • izvajanje določb Splošne uredbe, ki urejajo posebne izraze načela odgovornosti (uradno obveščanje nadzornih organov in posameznikov o kršitvi varnosti, ocene učinka, pooblaščene osebe za varstvo osebnih podatkov, evidence dejavnosti obdelav);
  • izvajanje določb uredbe glede prenosa osebnih podatkov v tretje države ali mednarodne organizacije in o njihovem posredovanju tujim uporabnikom osebnih podatkov;
  • izvajanje določb glede obdelave na podlagi pogodbe o obdelavi osebnih podatkov;
  • izvajanje nadzora nad drugimi določbami Splošne uredbe in Zakona o varstvu osebnih podatkov.

 

V upanju, da ste dobili odgovor na svoje vprašanje, vas lepo pozdravljamo.                                     

 

 

Mojca Prelesnik, univ. dipl. prav.
informacijska pooblaščenka