Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Iskalnik po mnenjih GDPR

+ -
Datum: 13.02.2020
Naslov: Videonadzor za potrebe spremljanja rekreacijskih dejavnosti v TNP
Številka: 07121-1/2020/199
Vsebina: Pravne podlage, Video in avdio nadzor
Pravni akt: Mnenje

Informacijski pooblaščenec (v nadaljevanju IP) je po elektronski pošti prejel vaš dopis, v katerem nas sprašujete glede možnosti namestitve avtomatske kamere za potrebe spremljanja rekreacijskih dejavnosti na vodotokih v Triglavskem narodnem parku (v nadaljevanju TNP). Zakon o triglavskem narodnem parku predvideva opravljanje nalog za spremljanje in analizo stanja narave ter skrb za upravljanje obiska narodnega parka, pri čemer podatke "za potrebe nalog, ki jih javni zavod izvaja kot javno službo ali na podlagi javnega pooblastila, javni zavod pridobiva z lastnimi raziskavami". Pripraviti je treba tudi načrt upravljanja z izhodišči za usmerjanje obiska v narodnem parku, ki mora med drugim vsebovati metodologijo za izvajanje monitoringa, zlasti z namenom ugotavljanja vplivov obiska.

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju na podlagi 58. člena Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba), 7. točke prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07, uradno prečiščeno besedilo, v nadaljevanju ZVOP-1) ter 2. člena Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.

 

IP uvodoma pojasnjuje, da konkretnih obdelav osebnih podatkov izven postopka inšpekcijskega nadzora in upravnega postopka ne more dokončno presojati. Zato vam v okviru tega mnenja ne moremo podati dokončnega odgovora, ali bi bila namestitev kamere za spremljanje rekreacijskih dejavnostih skladna z zakonodajo s področja varstva osebnih podatkov ali ne.

 

Prvo vprašanje, na katero morate odgovoriti, je, ali bi v opisanem primeru sploh prišlo do obdelave osebnih podatkov oziroma ali bi se dalo obdelavi osebnih podatkov celo izogniti. Glede na to, da kot namen videonadzora navajate zgolj pridobivanje podatkov o številu in velikosti čolnov ter številu oseb v njih za (statistično) spremljanje rekreacijskih dejavnosti, same podobe posameznika, torej njegovih osebnih podatkov, sploh ne potrebujete. Zato vam kot enega najmočnejših ukrepov varstva osebnih podatkov priporočamo anonimizirano obdelavo podatkov, torej da z ustreznim načinom namestitve kamere ter konfiguracijo tehnologije zagotovite, da sploh ne zajamete in nadalje obdelujete informacij v zvezi z določenimi ali določljivimi posamezniki. V primeru, da se odločite za takšno, najbolj "varno" rešitev, pa morate biti s sprejemom vseh razumnih ukrepov in ob upoštevanju najnovejšega tehnološkega razvoja prepričani, da do obdelave osebnih podatkov ne dejansko ne prihaja. Menimo, da zgolj lokacija kamere, ki "bi bi bila obrnjena v hrbet", najbrž ne bo zadosten ukrep, da posamezniki nikakor ne bi bili določeni ali določljivi in bi morali sprejeti tudi druge ustrezne ukrepe.

 

Če anonimizirane obdelave podatkov ne morete zagotoviti, morate kot upravljavec osebnih podatkov ugotoviti, ali imate pravno podlago za zakonito obdelavo osebnih podatkov.

 

Kot izhaja iz smernic Informacijskega pooblaščenca o videonadzoru (https://www.ip-rs.si/fileadmin/user_upload/Pdf/smernice/Smernice_o_videonadzoru_web.pdf), videonadzor na javnih površinah v zakonodaji Republike Slovenije ni izrecno urejen, zato se za njegovo zakonito izvajanje uporabljajo splošne določbe ZVOP-1 oziroma, po 25. 5. 2018, Splošne uredbe. Videonadzor javnih površin, kot je videonadzor prometa skozi križišča ali videonadzor rekreacijskih dejavnosti v TNP, v zakonu ni urejen, zaradi česar je pravno podlago za takšen videonadzor treba iskati v členu 6(1) Splošne uredbe.

 

Pravne podlage, ki jih predvideva Splošna uredba v členu 6(1), so:

  1. posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov;
  2. obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe;
  3. obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca;
  4. obdelava je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe;
  5. obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu;
  6. obdelava je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok.

 

Zaradi določb Zakona o Triglavskem narodnem parku, ki jih navajate (42., 48. in 50. člen) bi pravno podlago za obdelavo osebnih podatkov v opisanem primeru lahko predstavljala določba točke (e) ali (f) člena 6(1) Splošne uredbe.

 

V primeru uvedbe videonadzora javnih površin, pri katerem bi prišlo do obdelave osebnih podatkov, pa vas posebej opozarjamo na enega ključnih elementov zagotavljanja odgovornosti upravljavcev za varstvo osebnih podatkov, in sicer za t.i. oceno učinkov v zvezi z varstvom podatkov (angl. Data Protection Impact Assessment, v nadaljevanju DPIA), ki jo Splošna uredba opredeljuje in predpisuje v členu 35. Prvi odstavek člena 35 določa, da "[k]adar je možno, da bi lahko vrsta obdelave, zlasti z uporabo novih tehnologij, ob upoštevanju narave, obsega, okoliščin in namenov obdelave povzročila veliko tveganje za pravice in svoboščine posameznikov, upravljavec pred obdelavo opravi oceno učinka predvidenih dejanj obdelave na varstvo osebnih podatkov." Četrti odstavek istega člena določa, da    nadzorni organ določi in objavi seznam vrst dejanj obdelave, za katere je obvezna ocena učinka v zvezi z varstvom podatkov. Informacijski pooblaščenec je skladno s tem sprejel in objavil dokument št. 014-1/2018/1 z dne 25. 5. 2018 (Seznam dejanj obdelav osebnih podatkov, za katere velja zahteva po izvedbi ocene učinka v zvezi z varstvom osebnih podatkov po 4. odstavku člena 35 Uredbe (EU) 2016/67). Iz četrte točke Seznama izhaja, da je izvedba ocene učinka v zvezi z varstvom podatkov obvezna v primeru uvedbe videonadzora javnih površin, in sicer ker gre za "sistematično opazovanje, spremljanje ali kakršenkoli nadzor posameznikov, ki se ga posameznik ne zaveda ali se mu ne more izogniti oziroma nanj nima vpliva (npr. ker se izvaja na javno dostopnih območjih)." Iz navedenega izhaja, da boste morali pred načrtovano obdelavo obvezno osebnih izvesti omenjeno oceno učinka v zvezi z varstvom podatkov (DPIA).

 

V zvezi z DPIA je Informacijski pooblaščenec pripravil smernice, za katere močno priporočamo, da jih pred uvedbo videonadzora temeljito preučite. Dostopne so na naši spletni strani prek povezave: https://www.ip-rs.si/publikacije/prirocniki-in-smernice/ocene-ucinkov-na-varstvo-podatkov/

 

Nadalje naj vas opozorimo še na določbe glede varnosti osebnih podatkov, ki pomeni zagotavljanje celovitosti, zaupnosti in razpoložljivosti takšnih podatkov. Glede tega Splošna uredba v členu 32 določa, da ob upoštevanju najnovejšega tehnološkega razvoja in stroškov izvajanja ter narave, obsega, okoliščin in namenov obdelave, pa tudi tveganj za pravice in svoboščine posameznikov, ki se razlikujejo po verjetnosti in resnosti, upravljavec in obdelovalec z izvajanjem ustreznih tehničnih in organizacijskimi ukrepov zagotovita ustrezno raven varnosti glede na tveganje, vključno med drugim z naslednjimi ukrepi, kot je ustrezno:

(a) psevdonimizacijo in šifriranjem osebnih podatkov;

(b) zmožnostjo zagotoviti stalno zaupnost, celovitost, dostopnost in odpornost sistemov in storitev za obdelavo;

(c) zmožnostjo pravočasno povrniti razpoložljivost in dostop do osebnih podatkov v primeru fizičnega ali tehničnega incidenta;

(d) postopkom rednega testiranja, ocenjevanja in vrednotenja učinkovitosti tehničnih in organizacijskih ukrepov za zagotavljanje varnostni obdelave.

 

Pri določanju ustrezne ravni varnosti se upoštevajo zlasti tveganja, ki jih pomeni obdelava, zlasti zaradi nenamernega ali nezakonitega uničenja, izgube, spremembe, nepooblaščenega razkritja ali dostopa do osebnih podatkov, ki so poslani, shranjeni ali kako drugače obdelani.

 

V upanju, da ste dobili odgovor na svoje vprašanje, vas lepo pozdravljamo.

 

 

                                                                                               Mojca Prelesnik, univ.dipl.prav.,            

                                                                                               informacijska pooblaščenka

 

Pripravila:                                                                                                                              

mag. Polona Merc

Svetovalka pooblaščenca

za varstvo osebnih podatkov