Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Iskalnik po mnenjih GDPR

+ -
Datum: 14.08.2019
Naslov: Pošiljanje osebnih podatkov preko SMS sporočil na zasebne telefone
Številka: 0712-1/2019/1897
Vsebina: Policijski postopki, Zavarovanje osebnih podatkov
Pravni akt: Mnenje

Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaše zaprosilo za mnenje glede pošiljanja osebnih podatkov preko SMS - sporočil na zasebne telefone policistov.

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba o varstvu podatkov), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju: ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju: ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.

 

IP uvodoma poudarja, da lahko podaja nezavezujoča mnenja in pojasnila, ne sme pa v okviru mnenja presojati ustreznosti določene rešitve z vidika skladnosti z obstoječimi predpisi. Presojo o ustreznosti lahko izvede le v okviru konkretnega inšpekcijskega ali upravnega postopka. Presoja glede zakonitosti oziroma ustreznosti obdelave je na vsakem upravljavcu posebej.

 

Področno pravno podlago za obdelavo osebnih podatkov s strani policije predstavlja Zakon o nalogah in pooblastilih policije (ZNPPol; Uradni list RS, št. 15/13, 23715 – popr., 10/17, 46/19 – odl. US). V skladu s 33. členom ZNPPol je zbiranje in obdelava podatkov eno od policijskih pooblastil, ki jih smejo policisti izvajati ob opravljanju policijskih nalog. Podrobneje nato ZNPPol v 112. členu določa, da policisti zaradi opravljanja policijskih nalog zbirajo in obdelujejo osebne in druge podatke, vključno s podatki o biometričnih značilnostih oseb in podatki iz zaupnih razmerij oziroma poklicnih skrivnosti. Policisti zbirajo osebne in druge podatke neposredno od osebe, na katero se ti podatki nanašajo, in od drugih, ki o tem kaj vedo, ali iz zbirk osebnih podatkov, uradnih evidenc, javnih knjig ali drugih zbirk podatkov. Nadalje ZNPPol v 123. členu določa, da policija upravlja in vzdržuje evidence, v katerih zaradi opravljanja policijskih nalog uslužbenci policije zbirajo in obdelujejo osebne in druge podatke. V drugem odstavku istega člena so te evidence tudi naštete, 124. in 125. člen ZNPPol pa določata njihovo vsebino.

 

ZNPPol v 16. točki 3. člena opredeljuje tudi varovan podatek policije. Gre za osebni podatek ali drug obdelovan podatek, ki ni tajen, njegovo razkritje nepoklicanim osebam pa bi povzročilo škodo državnemu organu, poteku uradnih postopkov ali fizičnim ali pravnim osebam, zato morajo njegovo obdelavo spremljati določeni varnostni ukrepi in postopki. Iz določbe 3. člena Pravilnika o zaščiti podatkov policije (Uradni list RS, št. 67/14) izhaja, da tudi podatki, ki jih policija zbira in obdeluje v svojih evidencah, sodijo med varovane podatke. Obdelavo varovanih podatkov morajo spremljati varnostni ukrepi in postopki, določeni s tem pravilnikom in pravilnikom, ki ureja notranjo varnost v policiji. V 38. členu Pravilnika o zaščiti podatkov policije pa je določeno, da mora biti prenos varovanih podatkov po telekomunikacijskih zvezah, ki povezuje lokacije organizacijskih enot policije ali lokacije drugih pooblaščenih uporabnikov varovanih podatkov policije, varovan s postopki in ukrepi, ki nepooblaščenim preprečujejo prilaščanje, spreminjanje ali uničenje ter neupravičeno seznanjanje z vsebino podatkov.

 

IP nadalje pojasnjuje, da zavarovanje osebnih podatkov v skladu s še vedno veljavnim prvim odstavkom 24. člena ZVOP-1 obsega organizacijske, tehnične in logično-tehnične postopke in ukrepe, s katerimi se varujejo osebni podatki, preprečuje slučajno ali namerno nepooblaščeno uničevanje podatkov, njihova sprememba ali izguba ter nepooblaščena obdelava tako, da se med drugim preprečuje nepooblaščen dostop do osebnih podatkov pri njihovem prenosu, vključno s prenosom po telekomunikacijskih sredstvih in omrežjih. V skladu s prav tako še vedno veljavnim prvim odstavkom 25. člena ZVOP-1 so upravljavci osebnih podatkov in pogodbeni obdelovalci dolžni zagotoviti zavarovanje osebnih podatkov na navedeni način. Drugi odstavek 25. člena pa določa, da upravljavci osebnih podatkov v svojih aktih predpišejo postopke in ukrepe za zavarovanje osebnih podatkov ter določijo osebe, ki so odgovorne za določene zbirke osebnih podatkov, in osebe, ki lahko zaradi narave njihovega dela obdelujejo določene osebne podatke.

Iz navedenih zahtev ZVOP-1 ter iz vseh uveljavljenih varnostnih standardov in smernic, ki urejajo področje varovanja podatkov (npr. ISO 27001, COBIT, NIST, priporočila CISA), je zagotavljanje ustrezne zaupnosti dostopa do osebnih in drugih pomembnih podatkov osnovni gradnik informacijske varnosti in dolžnost, ki se ji upravljavec ne more izogniti.

Ob tem IP opozarja na načelo najmanjšega obsega podatkov, ki določa, da morajo biti pod pogojem, da obstaja pravna podlaga, osebni podatki, ki se obdelujejo, ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo. Navedeno načelo pomeni, da je potrebno obdelovati samo toliko osebnih podatkov, kolikor je nujno potrebno za izvrševanje zakonitih pristojnosti, nalog ali obveznosti.

 

Iz zgoraj navedenega izhaja, da morajo biti osebni podatki ves čas prenosa (tudi pošiljanja preko SMS sporočil) ustrezno zavarovani  s postopki in ukrepi, ki nepooblaščenim osebam preprečujejo dostop do osebnih podatkov, pri čemer so postopki in ukrepi zavarovanja odvisni od tveganja, ki ga predstavlja prenos, in vrste osebnih podatkov, ki se prenašajo. Pri pošiljanju osebnih podatkov po telekomunikacijskih omrežjih je treba najprej razlikovati med navadnimi in občutljivimi osebnimi podatki (posebne vrste osebnih podatkov po Splošni uredbi o varstvu podatkov). IP pojasnjuje, da v skladu z 9. členom Splošne uredbe o varstvu podatkov med posebne vrste osebnih podatkov sodijo osebni podatki, ki razkrivajo rasno ali etnično poreklo, politično mnenje, versko ali filozofsko prepričanje ali članstvo v sindikatu, genski podatki, biometrični podatki za namene edinstvene identifikacije posameznika, podatki v zvezi z zdravjem in podatki v zvezi s posameznikovim spolnim življenjem ali spolno usmerjenostjo. Tovrstnim osebnim podatkom je zaradi njihove občutljive narave predpisano posebno varstvo. Zaradi njihove opisane narave iz 14. člena ZVOP-1 izhajajo tudi posebna pravila za način obdelave navedenih podatkov. Drugi odstavek 14. člena ZVOP-1 tako zaradi specifičnosti komunikacije preko telekomunikacijskih omrežjih posebej ureja prenos občutljivih osebnih podatkov prek telekomunikacijskih omrežij, pri čemer se šteje, da so podatki ustrezno zavarovani, če se posredujejo z uporabo kriptografskih metod in elektronskega podpisa tako, da je zagotovljena njihova nečitljivost oziroma neprepoznavnost med prenosom.

 

IP sklepno poudarja, da mora vsak upravljavec sam, glede na tveganja, presoditi, kateri so tisti ukrepi, ki so potrebni za zagotavljanje ustrezne varnosti osebnih podatkov. V kolikor osebni podatki med prenosom niso ustrezno zavarovani in do njih lahko dostopajo nepooblaščene osebe, bi lahko šlo za kršitev navedenih določb ZVOP-1. IP pa v okviru mnenju ne more presojati, ali gre v konkretnem primeru za kakršnokoli kršitev, saj presojo o ustreznosti ukrepov lahko izvede le v okviru konkretnega inšpekcijskega ali upravnega postopka.

 

 

S spoštovanjem.

 

 

Mojca Prelesnik, univ. dipl. prav.,

Informacijska pooblaščenka