Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Iskalnik po mnenjih GDPR

+ -
Datum: 11.09.2019
Naslov: Veljavnost GDPR za sobodajalce
Številka: 0712-1/2019/2074
Vsebina: Pravne podlage
Pravni akt: Mnenje

Informacijski pooblaščenec (v nadaljevanju IP) je prejel vaš dopis, v katerem sprašujete, ali morajo imeti sobodajalci karkoli vezano na Splošno uredbo (ang. GDPR), ker vsakega gosta vpišejo v AJPES (sistem eTurizem). Podatki se za ta namen prepišejo iz osebnega dokumenta, vendar jih sobodajalci ne hranijo, kopirajo ali drugače obdelujejo.

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju – Splošna uredba), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1 - v nadaljevanju ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 - v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem. Ob tem IP poudarja, da izven postopka inšpekcijskega nadzora konkretnih obdelav osebnih podatkov ne more presojati.

 

IP uvodoma pojasnjuje pomen osnovnih pojmov, in sicer »obdelava« (osebnih podatkov) pomeni vsako dejanje ali niz dejanj, ki se izvaja v zvezi z osebnimi podatki ali nizi osebnih podatkov z avtomatiziranimi sredstvi ali brez njih, kot je zbiranje, beleženje, urejanje, strukturiranje, shranjevanje, prilagajanje ali spreminjanje, priklic, vpogled, uporaba, razkritje s posredovanjem, razširjanje ali drugačno omogočanje dostopa, prilagajanje ali kombiniranje, omejevanje, izbris ali uničenje (drugi odstavek 4. člena Splošne uredbe, podobno tretji odstavek 6. člena ZVOP-1). »Upravljavec« pomeni fizično ali pravno osebo, javni organ, agencijo ali drugo telo, ki samo ali skupaj z drugimi določa namene in sredstva obdelave; kadar namene in sredstva obdelave določa pravo Unije ali pravo države članice, se lahko upravljavec ali posebna merila za njegovo imenovanje določijo s pravom Unije ali pravom države članice (sedmi odstavek 4. člena Splošne uredbe). »Obdelovalec« pa pomeni fizično ali pravno osebo, javni organ, agencijo ali drugo telo, ki obdeluje osebne podatke v imenu upravljavca (osmi odstavek 4. člena Splošne uredbe). »Skupni upravljavci« pomenijo
dva ali več upravljavcev, ki skupaj določijo namene in načine obdelave, so skupni upravljavci.

 

Glede na zgornje definicije in razpoložljive informacije vam IP pojasnjuje, da tudi v primeru, da le zberete podatke, da jih vpišete v sistem eTurizem, to še vedno pomeni obdelavo osebnih podatkov in Splošna uredba nedvomno velja tudi za vas kot upravljavca teh osebnih podatkov z zahtevami, v okviru in z omejitvami, ki jih ta uredba sama predvideva.

 

IP pojasnjuje, da to še ne pomeni, da je zbiranje podatkov, kot jih opisujete, tudi nezakonito, če za to obstaja ustrezna pravna podlaga. Obdelava osebnih podatkov je namreč zakonita le in kolikor je izpolnjen vsaj eden od naslednjih pogojev po členu 6(1) Splošne uredbe:

  1. posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo njegovih osebnih podatkov za enega ali več določenih namenov,
  2. obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe
  3. obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca,
  4. obdelava je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe,
  5. obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu;
  6. obdelava je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok.

 

IP ob tem poudarja, da je za zakonitost obdelave dovolj, da je izpolnjena zgolj ena od samostojnih pravnih podlag, ki jih določa člen 6 Splošne uredbe. To pomeni, da če pravno podlago za obdelavo teh osebnih podatkov določa zakon, upravljavec privolitev za obdelavo teh podatkov ni dolžan pridobivati. Vsebina podatkov iz knjige gostov, ki jih gostitelji poročajo prek spletnega portala AJPES, je opredeljena v  Zakona o prijavi prebivališča (v nadaljevanju ZPPreb-1), način posredovanja podatkov pa v Pravilniku o prijavi in odjavi gostov. Obveznost  posredovanja podatkov v situaciji, ki izhaja iz vašega dopisa, izhaja iz 40. člena ZPPreb-1. Za morebitne ostale obdelave osebnih podatkov pa vam za več informacij IP priporoča, da si preberete vsebine na spletni strani https://upravljavec.si/.

V upanju, da ste dobili odgovor na svoje vprašanje, vas lepo pozdravljamo.

 

 

Pripravila:
mag. Nuša Kavšek, univ. dipl. prav.

svetovalka IP za varstvo osebnih podatkov

 

 

Mojca Prelesnik, univ. dipl. prav.

informacijska pooblaščenka