Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Iskalnik po mnenjih GDPR

+ -
Datum: 24.08.2020
Naslov: Aplikacija proizvajalca vozil
Številka: 07121-1/2020/1454
Vsebina: Definicija OP, Informiranje posameznika, Moderne tehnologije, Pravne podlage
Pravni akt: Mnenje

Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaše zaprosilo za mnenje glede storitve, ki vam je na voljo v okviru uporabe novo kupljenega vozila, ter skladnosti obdelav osebnih podatkov v tem okviru s predpisi s področja varstva osebnih podatkov.

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba o varstvu podatkov), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju: ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju: ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.

IP uvodoma poudarja, da v okviru mnenja ne more presojati ustreznosti določene programske rešitve, niti ne more vnaprej potrjevati posameznih rešitev z vidika skladnosti z obstoječimi predpisi s področja varstva osebnih podatkov. Presojo o ustreznosti lahko izvede le v okviru konkretnega inšpekcijskega postopka. Zakonitost obdelav osebnih podatkov pri delovanju konkretne storitve oziroma aplikacije se torej lahko ugotovi le v okviru konkretnega inšpekcijskega postopka.

IP tako ne nudi storitve pregleda ali vnaprejšnje odobritve različnih storitev, aplikacij ali drugih sistemov, ki jih uvajajo posamezni upravljavci, z vidika njihove skladnosti z veljavnimi predpisi. IP namreč za to ni pristojen. IP tako v okviru mnenja ne more presojati ustreznosti aplikacije proizvajalca vozil, ki jo opisujete v vašem zaprosilu za mnenje, s predpisi s področja varstva osebnih podatkov.

IP vas obvešča, da smo nadzorni organi za varstvo podatkov v okviru Evropskega odbora za varstvo podatkov (ang. EDPB) v začetku tega leta sprejeli smernice v zvezi z obdelavo osebnih podatkov pri povezanih avtomobilih. Smernice se osredotočajo na obdelavo osebnih podatkov v zvezi z nepoklicno uporabo povezanih vozil s strani posameznikov, na katere se nanašajo osebni podatki. V njih je poudarek na pravnem okviru, ki predvideva, da se osebni podatki lahko obdelujejo, če posameznik v to privoli ali za namen opravljanja ali lajšanja prenosa sporočila prek elektronskega komunikacijskega omrežja ali če je to nujno potrebno za zagotovitev storitve informacijske družbe, če je taka obdelava nujno potrebna zaradi izvajanja storitve informacijske družbe, ki jo naročnik ali uporabnik izrecno zahtevata. Posameznik mora biti glede vseh obdelav osebnih podatkov ustrezno obveščen in mu morajo biti na voljo mehanizmi za izvajanje njegovih pravic po Splošni uredbi o varstvu podatkov. Smernice (v angleškem jeziku) so dostopne na tej povezavi:

https://edpb.europa.eu/sites/edpb/files/consultation/edpb_guidelines_202001_connectedvehicles.pdf.

 

IP nadalje pojasnjuje, da mora upravljavec pred uvedbo aplikacije presoditi dopustnost in sorazmernost obdelav osebnih podatkov v okviru aplikacije. Vsaka obdelava osebnih podatkov mora potekati transparentno in skladno z določbami Splošne uredbe o varstvu podatkov. Upravljavec je, kot rečeno, dolžan uporabnika (v konkretnem primeru torej vas kot lastnika/uporabnika vozila), seznaniti z aplikacijo, načinom njenega delovanja, namenom njene namestitve, nameni, za katere bodo pridobljeni podatki uporabljeni, ter o ostalih pomembnih vidikih obdelave osebnih podatkov, ki so določeni v 13. členu Splošne uredbe o varstvu podatkov. Predhodna informiranost posameznika o obdelavi njegovih podatkov je ključen element zakonite obdelave osebnih podatkov, saj se lahko le na podlagi ustreznih informacij o tem, komu lahko zaupa določene svoje podatke in za kakšen namen, posameznik svobodno odloči, ali bo to storil ali ne. Sama obdelava osebnih podatkov pa mora potekati na eni od pravnih podlag, ki jih določa 6. člen Splošne uredbe o varstvu podatkov (kot navedeno zgoraj, v veliki večini primerov na podlagi privolitve posameznika), ki mora izpolnjevati pogoje iz člena Splošne uredbe o varstvu podatkov. Več informacij o privolitvi lahko najdete lahko najdete tudi na spletni strani IP:

https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/kljucna-podrocja-uredbe/privolitev/

Ob tem mora upravljavec poskrbeti tudi za zavarovanje zbirke osebnih podatkov, ki nastane na podlagi uporabe aplikacije. Gre za organizacijske in tehnične ukrepe, ki jih določata Splošna uredba o varstvu podatkov (32. člen) in ZVOP-1 (24. in 25. člen). Dodatne informacije v zvezi z zavarovanjem osebnih podatkov so na voljo v smernicah IP, ki so dostopne na spletni strani IP:

https://www.ip-rs.si/fileadmin/user_upload/Pdf/smernice/Smernice_o_zavarovanju_OP.pdf

IP posebej opozarja tudi na načelo najmanjšega obsega podatkov, ki določa, da morajo biti pod pogojem, da obstaja pravna podlaga, osebni podatki, ki se obdelujejo, ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo. Navedeno načelo pomeni, da je potrebno obdelovati samo toliko osebnih podatkov uporabnikov, kolikor je nujno potrebno za izpolnitev namena v konkretnem primeru.

IP na podlagi navedenega pojasnjuje, da je upravljavec (v konkretnem primeru proizvajalec vozil) vselej odgovoren za izbiro načina delovanja aplikacije in zakonitost ter sorazmernost obdelav osebnih podatkov, ki se izvajajo v okviru njenega delovanja. Upravljavec v okviru opisanih pogojev torej sam odloča o ukrepih, ki so potrebni za nemoteno in učinkovito delovanje aplikacije, kot tudi o načinu dostopa do podatkov v njenem okviru. Če se kot uporabnik aplikacije ne strinjate z navedenimi ukrepi oziroma z obdelavo vaših osebnih podatkov v okviru aplikacije, morate imeti možnost, da aplikacije ne uporabljate oziroma da jo prenehate uporabljati.

Glede sledenja službenim vozilom IP pojasnjuje, da je vgradnja in uporaba sledilne opreme v službenih vozilih dopustna ob upoštevanju določenih pogojev in zagotovitvi ustreznih varovalk za zmanjšanje posega v zasebnost posameznika (v konkretnem primeru zaposlenega). O tem je IP izdal že več mnenj, ki jih lahko najdete na spletni strani IP (kategorija »moderne tehnologije«). Eno takih mnenj lahko najdete na naslednji povezavi:

https://www.ip-rs.si/vop/?tx_jzgdprdecisions_pi1%5BshowUid%5D=1098

V pomoč so vam lahko tudi smernice IP glede uporabe GPS sledilnih naprav, ki so dostopne na:

https://www.ip-rs.si/publikacije/prirocniki-in-smernice/uporaba-gps-sledilnih-naprav-in-varstvo-osebnih-podatkov/

IP sklepno ponavlja, da v okviru mnenja ne more dokončno presojati konkretnega ravnanja posameznega upravljavca. Presoja glede zakonitosti obdelave oziroma obstoja pravne podlage za posamezno obdelavo in odgovornost zanjo je vedno na upravljavcu osebnih podatkov.

 

 

S spoštovanjem.

 

 

 

 

Pripravil:

Matej Sironič,                                                  

Svetovalec pooblaščenca

za varstvo osebnih podatkov

 

 

Mojca Prelesnik, univ. dipl. prav.,

Informacijska pooblaščenka