Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Iskalnik po mnenjih GDPR

+ -
Datum: 11.09.2019
Naslov: Videonadzor v CUDV
Številka: 0712-1/2019/2072
Vsebina: Ocene učinkov v zvezi z varstvom podatkov , Video in avdio nadzor, Zavarovanje osebnih podatkov
Pravni akt: Mnenje

Informacijski pooblaščenec (v nadaljevanju IP) je prejel vaše zaprosilo za mnenje. Opisujete problematiko nadzora nad posamezniki v centrih za usposabljanje, delo in varstvo (v nadaljevanju CUDV). Kot možno rešitev predlagate videonadzor, s katerim bi se izognili neprijetnim situacijam, različnim zgodbam osebja in obenem zaščitili najbolj ranljivo skupino, težko gibalno in duševno prizadetih otrok, mladostnikov in odraslih, ki se ne morejo postaviti zase. Izpostavljate, da trenutna zakonodaja ni naklonjena videonadzoru na delovnem mestu, vendar se vam zdi potrebno razmisliti o spremembi, ki bi v takih primerih dovoljevala izjemo, saj je potrebno zaščititi šibkejšega - ranljive otroke, mladostnike in odrasle, ki zase ne morejo odgovarjati.

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov, v nadaljevanju Splošna uredba), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem. Ob tem poudarjamo, da IP izven postopka inšpekcijskega nadzora oziroma drugega upravnega postopka konkretnih obdelav osebnih podatkov ne more presojati.

 

Za vsako obdelavo osebnih podatkov, tudi za videonadzor, je treba imeti ustrezno in zakonito pravno podlago. Pravne podlage so določene v členu 6(1) Splošne uredbe in za javni sektor (kamor sodi CUDV kot javni zavod) je to v skladu s še veljavnim prvim odstavkom 9. člena ZVOP-1 v zvezi s točko c) člena 6(1) Splošne uredbe načeloma zakon. Zakonsko podlago za izvajanje videonadzora, do drugačne ureditve v novem zakonu, predstavljajo določbe 74. do 77. člena ZVOP-1. V teh določbah pa je posebej urejen zgolj videonadzor območij, ki predstavljajo dostope v službene ali poslovne prostore, in območij, ki predstavljajo delovne prostore zaposlenih pri izvajalcu videonadzora, medtem ko je pri presoji zakonitosti videonadzora vseh drugih območij potrebno presoditi, ali zanj obstaja katera od splošnih pravnih podlag za obdelavo.

 

Upoštevati je treba, da gre v primeru, ki ga opisujete, lokacijsko za prostore, ki so za posameznika bolj občutljive narave, saj gre za socialnovarstveni zavod za usposabljanje, delo in varstvo posameznikov z motnjo v razvoju, v katerem se praviloma obdelujejo tudi zdravstveni podatki posameznikov, ki sodijo med posebne vrste osebnih podatkov (člen 9 Splošne uredbe). Če se za obdelavo posebnih vrst podatkov uporablja sistem videonadzora, pa mora upravljavec določiti tako ustrezno izjemo za obdelavo posebnih kategorij osebnih podatkov v skladu s členom 9(2) Splošne uredbe (tj. izvzetje iz splošnega pravila, da je obdelava posebnih vrst osebnih podatkov prepovedana) kot tudi pravno podlago iz člena 6(1) Splošne uredbe. K uvajanju ukrepov, ki predvidevajo poseg v zasebnost posameznikov, kar videonadzor po naravi stvari pomeni, je treba zato pristopati še posebej skrbno in previdno. Podrobno je potrebno pretehtati nujnost, učinkovitost in sorazmernost predvidenih ukrepov glede na zasledovane cilje, upoštevati možnost drugih ukrepov, če in ko so ti na voljo.

 

IP pojasnjuje, da bi šlo v primeru izvajanja videonadzora v CUVD na eni strani za videonadzor delovnih prostorov, ki ga ureja 77. člen ZVOP-1, ter na drugi strani za videonadzor območja, kjer se nahajajo uporabniki, obiskovalci ter morebiti tudi druge osebe, za ugotavljanje dopustnosti katerega pa je potrebno uporabiti določbo člena 6(1)(e) Splošne uredbe v zvezi s četrtim odstavkom 9. člena ZVOP-1. Slednji določa, da se v javnemu sektorju lahko izjemoma obdelujejo tisti osebni podatki, ki so nujni za izvrševanje zakonitih pristojnosti, nalog ali obveznosti javnega sektorja, če se s to obdelavo ne poseže v upravičen interes posameznika, na katerega se osebni podatki nanašajo. Pri presoji utemeljenosti obdelave osebnih podatkov na tej pravni podlagi je ključno tehtanje interesov javnega sektorja na eni strani in na drugi strani interesov posameznika, na katerega se nanašajo osebni podatki. Pri tem obdelava osebnih podatkov pri videonadzoru ne sme biti nesorazmerna ter ne sme prekomerno poseči v zasebnost posameznika.

 

Iz navedenega izhaja, da videonadzor v prostorih CUVD načeloma ni prepovedan, temveč je dopusten pod pogoji iz člena 6(1)(e) Splošne uredbe v zvezi s četrtim odstavkom 9. člena ZVOP-1 in iz prvega odstavka 77. člena ZVOP-1 oziroma eventualno na podlagi člena 6(1)(d) Splošne uredbe, če pa se obdelujejo tudi osebni podatki posebne vrste (npr. osebni podatki v zvezi z zdravjem), mora biti nadalje podana še izjema po členu 9(2) Splošne uredbe.

 

IP pojasnjuje, da glede izvajanja videonadzora znotraj delovnih prostorov 77. člen ZVOP-1 določa posebna pravila. Ta se lahko izvaja le v izjemnih primerih, kadar je to nujno potrebno za varnost ljudi ali premoženja ali za varovanje tajnih podatkov ter poslovne skrivnosti, tega namena pa ni možno doseči z milejšimi sredstvi. Videonadzor se lahko izvaja le glede tistih delov prostorov, kjer je potrebno varovati prej navedene interese. Prepovedano je izvajati videonadzor v delovnih prostorih izven delovnega mesta, zlasti v garderobah, dvigalih in sanitarnih prostorih. Zaposleni morajo biti pred začetkom izvajanja videonadzora znotraj delovnih prostorov vnaprej pisno obveščeni o njegovem izvajanju, poleg tega pa se mora delodajalec pred uvedbo videonadzora znotraj delovnih prostorov posvetovati z reprezentativnim sindikatom pri delodajalcu. Izvajalec videonadzora mora v vsakem primeru izrecno ugotoviti, ali obstaja milejši ukrep, ki bi omogočal, da zaposleni ne bi bili podvrženi snemanju, torej, ali je uvedba videonadzora zares sorazmerna v ožjem smislu. Zaradi invazivnega posega v zasebnost delavca je zakonodajalec postavil zelo stroge pogoje za vzpostavitev videonadzora znotraj delovnih prostorov.

 

CUDV bi torej moral kot upravljavec osebnih podatkov, ki bi se obdelovali pri izvajanju videonadzora, najprej opredeliti, v katerih prostorih centra bi izvajal videonadzor, namen takega videonadzora in katere pravne dobrine bi želel z njim varovati, ob tem pa upoštevati poseg v informacijsko zasebnost zaposlenih, uporabnikov ter drugih oseb, prisotnih na nadzorovanih območjih, ki ga bi izvajanje takega videonadzora predstavljalo. Nadalje bi moral ugotoviti, ali obstajajo milejša sredstva, s katerimi bi lahko zavaroval pravno dobrino in bi v manjši meri ali pa sploh ne posegala v pravico navedenih oseb do varstva njihovih osebnih podatkov. Prav tako pa bi moral opraviti tehtanje med navedeno pravico in pravnimi dobrinami, ki si v danem primeru stojijo nasproti tj. med grožnjo za življenje in zdravje uporabnikov, ki se nahajajo v nadzorovanih prostorih CUDV, in posegom v ustavno pravico posameznikov do varstva osebnih podatkov ter pri tem upoštevati vse okoliščine konkretnega primera. Če bi po opravljeni presoji upravljavec ugotovil, da izpolnjuje pogoje za izvajanje želenega videonadzora, pa bi tega moral izvajati v skladu s splošnimi načeli iz člena 5 Splošne uredbe, predvsem bi moral spoštovati načelo najmanjšega obsega podatkov ter poskrbeti, da bi bili osebni podatki, ki jih bi pri tem obdeloval, ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo. Pomembno je namreč, da tudi v primerih, ko se ugotovi, da je pred varstvom informacijske zasebnosti posameznika treba dati prednost varstvu drugih pravnih dobrin, ta prednost ni absolutna, ampak se v navedeno pravico poseže le tako in toliko, kolikor je to potrebno za zavarovanje te druge dobrine.

 

Ob navedenem IP opozarja tudi na obveznosti, ki jih ima upravljavec osebnih podatkov v zvezi z varnostjo obdelave iz 31. člena Splošne uredbe oziroma zavarovanjem osebnih podatkov iz 24. in 25. člena ZVOP-1. Upravljavec mora namene varnosti oziroma zavarovanja osebnih podatkov sprejeti in izvajati ustrezne postopke in ukrepe, ki jih predvidevajo določbe navedenih členov. Še posebej visoko stopnjo varnosti obdelave je potrebno zagotoviti v primeru obdelave posebnih vrst osebnih podatkov.

 

Prav tako bi bilo v konkretnem primeru najverjetneje treba izvesti oceno učinka v zvezi z varstvom podatkov (DPIA) skladno s členom 35 Splošne uredbe. V primeru, ko je iz ocene učinka v zvezi z varstvom podatkov razvidno, da bi obdelava povzročila veliko tveganje, če upravljavec ne bi sprejel ukrepov za ublažitev tveganja, pa se mora upravljavec pred obdelavo še posvetovati z IP, kot to zahteva člen 36 Splošne uredbe. Podrobnejši opis ocen učinkov v zvezi z varstvom podatkov kot orodja za pravočasno identifikacijo in upravljanje tveganj v povezavi z osebnimi podatki, obrazložitev zakonskih določb ter odgovori na vprašanja, kdo, kdaj, zakaj in kako naj izvede oceno učinkov, so podani v smernicah IP, ki so dostopne na povezavi: https://www.ip-rs.si/fileadmin/user_upload/Pdf/Ocene_ucinkov/Smernice_o_ocenah_ucinka__DPIA__julij2018.pdf. Seznam dejanj obdelav osebnih podatkov, za katere velja zahteva po izvedbi ocene učinka v zvezi z varstvom osebnih podatkov in ga je pripravil IP, pa je dostopen tu: https://www.ip-rs.si/fileadmin/user_upload/Pdf/Ocene_ucinkov/Seznam_dejanj_obdelav_osebnih_podatkov__za_katere_velja_zahteva_po_izvedbi_ocene_ucinka_v_zvezi_z_varstvom_osebnih_podatkov.pdf.

 

IP izpostavlja, da zgolj na podlagi razpoložljivih informacij iz vašega dopisa ter v okviru nezavezujočega mnenja ne more oceniti, ali bi bil videonadzor v konkretnem primeru zakonit. Upoštevati je treba, poleg razpoložljivosti in obremenjenosti zaposlenih ter možnosti drugačnega nadzora nad uporabniki, tudi lokacije in domet kamer, dosedanje izkušnje ob pojavu določenega negativnega dogodka, posebnosti dosedanjih incidentov ter druge relevantne okoliščine konkretnega primera, ki jih je mogoče v celoti proučiti le v okviru inšpekcijskega postopka. Upravljavec osebnih podatkov pa je tisti, ki mora na podlagi zgoraj opisanih pogojev sprejeti dokončno odločitev, ali bo videonadzor uvedel ali ne.

 

Za več informacij v zvezi z videonadzorom vas napotujemo na še vedno aktualne smernice IP o videonadzoru, ki so dostopne na povezavi: https://www.ip-rs.si/fileadmin/user_upload/Pdf/smernice/Smernice_o_videonadzoru_web.pdf. Podrobnejše informacije o obveznostih upravljavcev v zvezi z vzpostavitvijo videonadzora so objavljene na povezavi: https://www.ip-rs.si/varstvo-osebnih-podatkov/obveznosti-upravljavcev/vzpostavitev-videonadzora/. IP pa je v zvezi z navedenim področjem izdal že veliko neobveznih mnenj, ki so objavljena na spletni strani IP https://www.ip-rs.si/vop/, vsebinsko področje »Video in avdio nadzor«.

 

Prav tako je Evropski odbor za varstvo podatkov (EDPB) sprejel smernice o videonadzoru. Smernice pojasnjujejo uporabo Splošne v povezavi z obdelavo osebnih podatkov pri izvajanju videonadzora s ciljem enotne uporabe Splošne uredbe. Smernice so bile dane v javno razpravo. Na voljo so na spletni strani EDPB: https://edpb.europa.eu/our-work-tools/general-guidance/gdpr-guidelines-recommendations-best-practices_en.

 

Na koncu IP še pojasnjuje, da ni pristojen za spreminjanje zakonodaje. Zato vam svetujemo, da vaš predlog v zvezi z ureditvijo videonadzora naslovite na ministrstva, ki so pristojna za urejanje te materije (predvsem Ministrstvo za pravosodje, Ministrstvo za izobraževanje, znanost in šport ter Ministrstvo za delo, družino, socialne zadeve in enake možnosti).

 

 

Lep pozdrav,

 

                                                                                                     Mojca Prelesnik, univ. dipl. prav.,                                               

                                                                                                           informacijska pooblaščenka

 

Pripravila:                                                                                                                              

Tina Ivanc, univ. dipl. prav.,
svetovalka IP za varstvo osebnih podatkov