Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Iskalnik po mnenjih GDPR

+ -
Datum: 29.08.2019
Naslov: Uvedba GPS
Številka: 0712-1/2019/1974
Vsebina: Delovna razmerja, Ocene učinkov v zvezi z varstvom podatkov
Pravni akt: Mnenje

Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaše zaprosilo za mnenje glede ocene učinkov v zvezi z varstvom osebnih podatkov pri uvedbi GPS v službena vozila za namen vodenja službenih odsotnosti in boljšega upravljanja voznega parka.

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba o varstvu podatkov), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju: ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju: ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.

 

1. Ocena učnika na varstvo osebnih podatkov in predhodno posvetovanje

 

IP uvodoma pojasnjuje, da je po določbi člena 35(1) Splošne uredbe ocena učinka v zvezi z varstvom osebnih podatkov (v nadaljevanju: ocena učinka) potrebna, kadar „je možno, da bi [dejanje obdelave] lahko povzročil[o] veliko tveganje za pravice in svoboščine posameznikov“. Upravljavec podatkov mora nato oceniti tveganja za pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki, in opredeliti ukrepe, predvidene za zmanjšanje navedenih tveganj na sprejemljivo raven, ter dokazati skladnost s Splošno uredbo (člen 35(7)). Skladno s priporočili Evropskega odbora za varstvo podatkov (ang. EDPB), kot so navedena v smernicah o ocenah učinka[1] velja, da če je upravljavec podatkov štel, da so tveganja zadosti zmanjšana, se lahko glede na razlago člena 36(1) Splošne uredbe ter uvodnih izjav (84) in (94) obdelava nadaljuje brez posvetovanja z nadzornim organom. Upravljavec podatkov se mora z nadzornim organom posvetovati v primerih, ko opredeljenih tveganj ne more ustrezno obravnavati (tj. preostala tveganja ostajajo velika).

 

Kot je pojasnjeno v smernicah evropskega odbora, med nesprejemljivo veliko preostalo tveganje spadajo primeri, ko lahko posameznika, na katerega se nanašajo osebni podatki, doletijo pomembne ali celo nepopravljive posledice, ki jih ta ne more odpraviti (na primer nezakonit dostop do podatkov, zaradi katerega je ogroženo življenje posameznikov, na katere se nanašajo osebni podatki, ali zaradi katerega je lahko posameznik odpuščen ali v finančnih težavah), in/ali kadar se zdi očitno, da se bo navedeno tveganje uresničilo (na primer ker ne bo mogoče zmanjšati števila oseb, ki imajo dostop do podatkov, zaradi načinov njihove izmenjave, uporabe ali razširjanja, ali kadar znana ranljivost ni odpravljena).

 

Upravljavec podatkov se mora posvetovati z nadzornim organom vedno, kadar ne ugotovi, kateri so zadostni ukrepi za zmanjšanje tveganj na sprejemljivo raven (tj. so preostala tveganja še vedno visoka). Poleg tega se mora upravljavec posvetovati z nadzornim organom vedno, kadar je to potrebno v skladu s pravom države članice in/ali kadar mora v skladu z njim pridobiti predhodno dovoljenje nadzornega organa glede obdelave za izvajanje naloge, ki jo upravljavec izvede v javnem interesu, vključno z obdelavo v zvezi s socialno zaščito in javnim zdravjem (člen 36(5)). Evropski odbor še poudarja, da obveznost hrambe evidence ocene učinka in njenega posodabljanja ostaja, ne glede na to, ali je glede na raven preostalega tveganja posvetovanje z nadzornim organom potrebno ali ne.

 

2. Splošne – sistemske pripombe predložene ocene učinka

 

Na splošno glede predložene ocene učinka, IP ugotavlja, da iz nje ni razbrati, katera tveganja ste identificirali v zvezi s predvideno obdelavo osebnih podatkov in kakšni naj bi bili ukrepi za zmanjševanje teh tveganj. Ocena učinkov namreč ni namenjena zgolj opisu obdelave osebnih podatkov ali tehnične rešitve z utemeljevanjem, zakaj je njena uvedba lahko koristna, temveč je namenjena vnaprejšnji identifikaciji tveganj in določitvi potrebnih ukrepov za zajezitev identificiranih tveganj. Ocena tveganj, ki naj bi izhajala iz ocene učinkov torej v predloženi oceni učinka ni izvedena.

 

Za pripravo ocene učinka Splošna uredba sicer ne predpisuje natančne vsebine ocene učinkov, vendar pa je Evropski odbor sprejel kriterije za oceno ustreznosti DPIA, ki je objavljen tudi kot priloga 2 Smernic Informacijskega pooblaščenca: Ocene učinkov na varstvo osebnih podatkov

 

  • Podan je sistematičen opis obdelave (člen 35(7a)):

    • Upoštevani so narava, obseg, okoliščine in nameni obdelave (uvodna določba 90);
    • Opredeljen je nabor podatkov, upravljavci in uporabniki ter roki hrambe;
    • Podan je opis podatkovnih tokov in udeleženih subjektov;
    • Podan je opis sredstev obdelave (strojne in programske opreme, omrežij, človeških virov in uporabljenih komunikacijskih sredstev);
    • Upoštevana je skladnost z odobrenimi kodeksi ravnanja (člen 35(8)).

  • Podana je ocena nujnosti in sorazmernosti (člen 35(7b)):

    • Opredeljeni so ukrepi za zagotavljanje skladnosti, ki vključujejo:

      • ukrepe, ki prispevajo k upoštevanju nujnosti in sorazmernosti, in spoštovanju temeljnih načel:

        • določeni, izrecni in zakoniti namen(i) (člen 5(1b));
        • zakonitost obdelave (člen 6);
        • obdelava je ustrezna, relevantna in omejena na to, kar je potrebno za namene, za katere se obdelujejo podatki (člen 5(1c));
        • upoštevani je omejitev shranjevanja – roki hrambe (člen 5(1e));

      • ukrepe, ki prispevajo k varstvu pravic posameznika:

        • informiranje posameznika o obdelavi podatkov (členi 12, 13 in 14);
        • pravica do seznanitve in prenosljivosti podatkov (člena 15 in 20);
        • pravica do popravka in izbrisa podatkov (člena 16, 17 in 19);
        • pravica do ugovora in omejitve obdelave (členi 18, 19 in 21);
        • odnosi s (pogodbenimi) obdelovalci (člen 28);
        • varovalke glede prenosa podatkov v tretje države (Poglavje V.);
        • predhodno posvetovanje (člen 36).

  • Obvladovana so tveganja za pravice in svoboščine posameznika:

    • pri čemer so tveganja ocenjena z vidika posameznika, tako da:

        • so upoštevani viri tveganj (uvodna določba 90);

        • so upoštevani možni učinki na pravice posameznika v primeru nezakonitega dostopa, spremembe ali izgube podatkov;
        • sta ocenjeni verjetnost in resnost tveganj (uvodna določba 90).

    • Opredeljeni so ukrepi za obvladovanje tveganj (člen35(7d) in uvodna določba 90).

  • Vključene so zainteresirane strani:

    • Pridobljeno je mnenje DPO (člen 35(2));

    • Pridobljena so mnenja posameznikov oziroma predstavnikov posameznikov, kjer je to primerno (člen 35(9)).

Sama izvedba ocene učinkov je povezana tudi z izbiro metodologije za njeno izvedbo. Glede metodologije, predlagamo, da si preberete omenjene smernice IP (strani 20 do 35), ki so vam lahko v pomoč za ustrezno pripravo ocene učinkov. Napotke v zvezi z izvedbo ocene učinkov lahko najdete tudi na spletni strani IP, podstran Ocena učinkov v zvezi z varstvom podatkov.

 

IP še pripominja, da je za preglednost in razumljivost ocene učinkov treba upoštevati koherenten pristop glede na predvideno strukturo (npr. v vaši rubriki Nameni obdelave in vrste osebnih podatkov, se cilj pod tč. I. nanaša na digitalizacijo potnih nalogov oz. izdelave evidenc službenih poti za namen zakonite računovodske in davčne obravnave. Dalje v Utemeljitvi k namenu pod točko I, pa se ocena učinkov ne opredeljuje do digitalizacije potnih nalogov oz. evidence službenih poti za namen računovodske in davčne obravnave. Obrazložitev pod tč. I se nanaša na možnost spremljanja podatka o tem, kateri avtomobili so v realnem času dejansko na razpolaga uporabnikom določeni lokaciji, kar je prva alineja točke II. iz tabele namenov obdelav, medtem ko jasne povezave med uvedbo GPS in digitalizacijo potnih nalogov oz. izdelave evidenc službenih poti za namen zakonite računovodske in davčne obravnave, iz obrazložitve ni zaslediti).   

 

3. Vsebinske pripombe predložene ocene učinkov

 

Ker je IP podal pripombe glede celovitosti izvedene ocene učinkov že v prejšnjem razdelku, v tem delu zgolj izpostavljamo nekatera vsebinska vprašanja, do katerih se je treba v končni oceni učinka opredeliti.

  

  • V utemeljitvi k namenu pod točko I. opisujete težavo ne-optimalnega izkoriščanja vozil – navajate, da se redno dogaja, da je službeno vozilo rezervirano za cel dan, medtem ko je dejansko v uporabi le nekaj ur dnevno, kar povzroča neizkoričenost kapacitet in dodatne stroške. Menite, da je to mogoče rešiti le z uvedbo GPS, pri čemer bo aplikacija samodejno sporočila, da se avto nahaja na določeni lokaciji, kjer je pripravljen za nadaljnjo uporabo.

IP meni, da je uvedba GPS tehnologije za naveden namen vprašljiva zlasti z vidika, ali se zasledovanega cilja ne da doseči na drug način, ki manj posega v zasebnost – iz obrazložitve namreč ne izhaja, zakaj je zaradi ažurnega sporočanja, kdaj je vozilo pripravljeno za novo uporabo, treba slediti lokaciji vozila med potjo. IP pa ne izključuje možnosti, da je uvedba GPS naprav dopustna zaradi drugih razlogov, pri čemer pa se opredeljena funkcionalnost GPS naprave lahko uporablja tudi za namen ugotavljanja, da je vozilo na voljo za novo uporabo v voznem parku.

 

  • V utemeljitvi k namenu pod točko II na strani 5 opisujete, da morate za zagotavljanje optimalne dostopnosti vaših storitev strankam (cenitve na terenu, itd.), poznati lokacijo posameznega službenega vozila v določenem času, saj se le na ta način optimalno koordinira zaposlene na terenu, da se hitro odzovejo na zahteve strank.

IP ugotavlja, da naveden razlog za uvedbo GPS v službena vozila lahko predstavlja ustrezen razlog za uvedb GPS tehnologije, pri čemer je treba izpeljati oceno tveganja in opredeliti, kako je mogoče identificirana tveganja zmanjšati in kateri so ukrepi za preprečevaje neupravičenega nadzora nad zaposlenimi s strani delodajalca (npr. beleženje vpogledov, kratek rok hrambe osebnih podatkov oz. takojšnja anonimizacija, itd.).

 

  • V utemeljitvi k namenu pod tč. II (5-8) obširno naslavljate tudi težavo razhajanja med dejanskimi in predvidenimi prevoženimi kilometri pri pripravi potnih nalogov. V zvezi s tem pojasnjujete, da ste v preteklosti že spreminjali sistem poročanja glede predvidenih in opravljenih službenih poti, vendar do razhajanja še vedno prihaja. Menite, da bi težavo rešila uvedba GPS tehnologije.

V zvezi s tem razlogom IP ugotavlja, da iz obrazložitve ni razvidno, kakšen je namen »zmanjševanja razlik med predvidenimi in dejansko prevoženimi kilometri«. Dalje tudi ni razvidno, kako bi lahko uvedba GPS naprav zmanjšala ali preprečila razhajanje med številom predvidenih in dejanskih prevoženih poti (vprašanje primernosti sredstva za dosego tega cilja).

Če hipotetično predpostavimo, da je namen uvedbe GPS tehnologije večji nadzor nad zaposlenimi, s ciljem preprečevanja uporabe službenih avtomobilov v druge (zasebne) namene (na kar lahko kaže razhajanje med predvidenimi in dejansko prevoženimi kilometri), potem je treba ta namen natančno opredeliti v oceni učinkov. V zvezi s tem ciljem bi bilo treba tudi pretehtati, ali je tak ukrep sorazmeren glede na zasledovan cilj in kakšni bi bili lahko uvedeni zaščitni ukrepi, da se pretirano ne posega v zasebnost zaposlenih.

 

  • Navajate tudi, da bi avtomatsko sporočanje prevoženih kilometrov pomagalo skrbniku voznega parka, da zagotavlja pravočasno in redno servisiranje vozil.

IP v zvezi s tem tudi ugotavlja, da v obrazložitvi ni izpeljan test nujnosti – da se tega cilja ne da doseči na drug način, ki v manjši meri posega v zasebnost zaposlenih. Zaradi ažurnega beleženja prevoženih kilometrov in avtomatskega poročanje o prevoženih kilometrih skrbniku voznega parka, ni potrebe po beleženju geolokacije vozila oziroma podatkov o prevoženih poteh – kar sicer beleži GPS naprava.

 

IP poudarja, da je treba za pravilno izvedbo ocene učinkov natančno in realno opredeliti namene obdelav osebnih podatkov in nato izvesti oceno tveganj, da se lahko ugotovi zakonitost posega v pravico do varstva osebnih podatkov. Neustrezno ali nerealno izvedena ocena tveganj lahko povzroči nezakonito obdelavo osebnih podatkov, saj sama izvedba ocene učinkov ne zagotavlja zakonite obdelave osebnih podatkov. Sama izvedba ocene učinkov namreč zgolj pripomore k temu, da upravljavci pred obdelavo osebnih podatkov sistematično ocenijo zakonitost obdelave, dokumentacija pa jim služi za lažje dokazovanje skladnosti obdelave osebnih podatkov pred pristojnimi institucijami.

 

Lep pozdrav,

           

 

Pripravil:                                                                                                        

Anže Novak, univ. dipl. prav.                                       

Svetovalec Pooblaščenca za preventivo                                        

 

 

Mojca Prelesnik, univ. dipl. prav.

informacijska pooblaščenka