Videonadzor lokala in zakoniti interes – odločba po ZIN
Številka: 0611-10/2021/11
Datum: 21. 5. 2021
Informacijski pooblaščenec (v nadaljevanju: IP) po pooblaščeni uradni osebi, državni nadzornici za varstvo osebnih podatkov …, na podlagi 2. in 8. člena Zakona o Informacijskem pooblaščencu (Uradni list RS, št. 113/2205, 51/2007–ZUstS-A; v nadaljevanju: ZInfP), 54. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, 177/20, v nadaljevanju: ZVOP-1), 29. in 32. člena Zakona o inšpekcijskem nadzoru (Uradni list RS, št. 43/07 – UPB1, v nadaljevanju: ZIN) ter člena 58(2) Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov, v nadaljevanju: Splošna uredba), v zadevi opravljanja inšpekcijskega nadzora nad izvajanjem določil ZVOP-1 in Splošne uredbe pri … (matična številka: …, v nadaljevanju: zavezanec) po uradni dolžnosti izdaja
ODLOČBO
O b r a z l o ž i t e v
I. Navedba predpisov, na katere se opira odločba:
IP je zoper zavezanca po uradni dolžnosti začel postopek inšpekcijskega nadzora nad izvajanjem določb ZVOP-1 in Splošne uredbe zaradi izvajanja videonadzora v prostorih zavezanca na naslovu …
V členu 4(1) Splošna uredba osebne podatke opredeljuje kot »katero koli informacijo v zvezi z določenim ali določljivim posameznikom; določljiv posameznik je tisti, ki ga je mogoče neposredno ali posredno določiti, zlasti z navedbo identifikatorja, kot je ime, identifikacijska številka, podatki o lokaciji, spletni identifikator, ali z navedbo enega ali več dejavnikov, ki so značilni za fizično, fiziološko, genetsko, duševno, gospodarsko, kulturno ali družbeno identiteto tega posameznika«, podatke o zdravstvenem stanju pa opredeljuje kot »osebne podatke, ki se nanašajo na telesno ali duševno zdravje posameznika, vključno z zagotavljanjem zdravstvenih storitev, in razkrivajo informacije o njegovem zdravstvenem stanju«.
V členu 4(2) Splošne uredbe je obdelava osebnih podatkov opredeljena kot »vsako dejanje ali niz dejanj, ki se izvaja v zvezi z osebnimi podatki ali nizi osebnih podatkov z avtomatiziranimi sredstvi ali brez njih, kot je zbiranje, beleženje, urejanje, strukturiranje, shranjevanje, prilagajanje ali spreminjanje, priklic, vpogled, uporaba, razkritje s posredovanjem, razširjanje ali drugačno omogočanje dostopa, prilagajanje ali kombiniranje, omejevanje, izbris ali uničenje«.
Vsi osebni podatki sami po sebi ne uživajo zaščite po ZVOP-1 in Splošni uredbi, temveč so te zaščite deležni le v primeru, če gre za obdelavo osebnih podatkov v celoti ali delno z avtomatiziranimi sredstvi in za drugačno obdelavo kakor z avtomatiziranimi sredstvi, če gre za osebne podatke, ki so del zbirke osebnih podatkov ali so namenjeni oblikovanju dela zbirke osebnih podatkov (člen 2(1) Splošne uredbe).
Obdelava osebnih podatkov je zakonita le v kolikor so izpolnjeni pogoji iz člena 6 Splošne uredbe in kadar je v skladu z namenom zbiranja osebnih podatkov. Upravljavec osebnih podatkov mora tako imeti za zakonito obdelavo osebnih podatkov ustrezno pravno podlago. Te so določene v členu 6(1) Splošne uredbe, ki predpisuje, da je obdelava zakonita le in kolikor je izpolnjen vsaj eden od naslednjih pogojev:
Točka (f) prvega pododstavka se ne uporablja za obdelavo s strani javnih organov pri opravljanju njihovih nalog.
Do takšne obdelave osebnih podatkov pa pride v primeru uvedenega videonadzornega sistema, saj videonadzorni sistem predstavlja obdelavo osebnih podatkov posameznikov.
Videonadzor je tako obdelava osebnih podatkov, kot to določa točka (2) člena 4 Splošne uredbe.
V členu 5(2) Splošne uredbe je poudarjeno načelo odgovornosti upravljavca.
Upravljavec je odgovoren za skladnost z vsemi načeli določenimi v prvem odstavku člena 5 Splošne uredbe in je to skladnost tudi zmožen dokazati (načelo odgovornosti). Načela v zvezi z obdelavo osebnih podatkov, ki izhajajo iz prvega odstavka, so: zakonitost, poštenost in preglednost, omejitev namena, najmanjši obseg podatkov, točnost, omejitev hrambe, celovitost in zaupnost.
Osebni podatki, ki so zbrani za določene, izrecne in zakonite namene, se ne smejo nadalje obdelovati na način, ki ni združljiv s temi nameni (točka (b) člena 5(1) Splošne uredbe). Zavezanec, ki je upravljavec osebnih podatkov, ki z uvedenim videonadzorom nastajajo, mora pri tem v skladu z načelom odgovornosti (člen 5(2) Splošne uredbe) spoštovati vsa načela iz člena 5(1) Splošne uredbe, zlasti načelo najmanjšega obsega podatkov in načelo omejitve shranjevanja ter poskrbeti, da so osebni podatki, ki jih pri tem obdeluje, ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo.
Glede izvajanja videonadzora s strani posameznika je potrebno uvodoma tudi pojasniti, da se po prvem odstavku 7. člena ZVOP-1 določbe tega zakona ne uporabljajo za obdelavo osebnih podatkov, ki jo izvajajo posamezniki izključno za osebno uporabo, družinsko življenje ali za druge domače potrebe. Podobno določbo vsebuje tudi točka (c) člena 2(2) Splošne uredbe. Videonadzor, ki ga posameznik izvaja na svoji nepremičnini, se tako praviloma šteje kot obdelava osebnih podatkov za osebno uporabo in domače potrebe, razen v primeru, ko se z njim snemajo tudi javne površine, prostor, ki ni v lasti posameznika, ki videonadzor izvaja, skupni prostori večstanovanjske stavbe ali izvaja videonadzor nad površinami na naslovu, kjer je registrirano tudi opravljanje poslovne dejavnosti.
Glede obvestila o izvajanju videonadzora:
Kdor izvaja videonadzor, mora o tem objaviti obvestilo (74. člen ZVOP-1). Obvestilo mora biti vidno in razločno objavljeno na način, ki omogoča posamezniku, da se seznani z njegovim izvajanjem najkasneje, ko se nad njim začne izvajati videonadzor. Takšno obvestilo mora tako vsebovati naslednje informacije:
Poleg teh informacij mora zavezanec posameznikom, od katerih zbira osebne podatke, torej tudi tistim, nad katerimi izvaja videonadzor, zagotoviti tudi informacije iz člena 13 Splošne uredbe.
Glede zavarovanja osebnih podatkov:
Na področju zavarovanja osebnih podatkov še vedno velja ZVOP-1, ki v 24. členu določa predmet zavarovanja osebnih podatkov, in sicer, da zavarovanje osebnih podatkov obsega organizacijske, tehnične in logično-tehnične postopke in ukrepe, s katerimi se varujejo osebni podatki, preprečuje slučajno ali namerno nepooblaščeno uničevanje podatkov, njihova sprememba ali izguba ter nepooblaščena obdelava teh podatkov, tako da se:
Na podlagi 5. točke prvega odstavka 24. člena ZVOP – 1 zavarovanje osebnih podatkov tako obsega organizacijske, tehnične in logično-tehnične postopke in ukrepe, s katerimi se varujejo osebni podatki, preprečuje slučajno ali namerno nepooblaščeno uničevanje podatkov, njihova sprememba ali izguba ter nepooblaščena obdelava teh podatkov tako, da se omogoča poznejše ugotavljanje, kdaj so bili posamezni osebni podatki vneseni v zbirko osebnih podatkov, uporabljeni ali drugače obdelani in kdo je to storil, in sicer za obdobje, ko je mogoče zakonsko varstvo pravice posameznika zaradi nedopustnega posredovanja ali obdelave osebnih podatkov.
V primeru obdelave osebnih podatkov, ki so dostopni preko telekomunikacijskega sredstva ali omrežja, morajo strojna, sistemska in aplikativno programska oprema zagotavljati, da je obdelava osebnih podatkov v zbirkah osebnih podatkov v mejah pooblastil uporabnika osebnih podatkov.
Postopki in ukrepi za zavarovanje osebnih podatkov morajo biti ustrezni glede na tveganje, ki ga predstavlja obdelava in narava določenih osebnih podatkov, ki se obdelujejo.
Poleg določbe o predmetu zavarovanja, ZVOP-1 v prvem odstavku 25. člena določa tudi dolžnost zavarovanja osebnih podatkov, in sicer, da so upravljavci osebnih podatkov in pogodbeni obdelovalci dolžni zagotoviti zavarovanje osebnih podatkov na način iz 24. člena ZVOP-1.
Pri presoji ustreznosti postopkov in ukrepov, s katerimi se zagotavlja ustrezna raven varnosti osebnih podatkov, je potrebno nadalje upoštevati tudi določbo člena 32 Splošne uredbe, ki določa, da ob upoštevanju najnovejšega tehnološkega razvoja in stroškov izvajanja ter narave, obsega, okoliščin in namenov obdelave, pa tudi tveganj za pravice in svoboščine posameznikov, ki se razlikujejo po verjetnosti in resnosti, upravljavec in obdelovalec z izvajanjem ustreznih tehničnih in organizacijskih ukrepov zagotovita ustrezno raven varnosti glede na tveganje, vključno med drugim z naslednjimi ukrepi, kot je ustrezno:
Pri določanju ustrezne ravni varnosti se upoštevajo zlasti tveganja, ki jih pomeni obdelava, zlasti zaradi nenamernega ali nezakonitega uničenja, izgube, spremembe, nepooblaščenega razkritja ali dostopa do osebnih podatkov, ki so poslani, shranjeni ali kako drugače obdelani.
Glede na 5. točko prvega odstavka 24. člena ZVOP-1 mora pravna ali fizična oseba, ki izvaja videonadzor, zagotoviti evidenco pregledovanja videoposnetkov, na osnovi katere bo mogoče pozneje ugotoviti, kdaj so bili posamezni osebni podatki (videoposnetki) iz evidence videonadzornega sistema uporabljeni ali drugače obdelani in kdo je to storil, in sicer za obdobje, ko je možno zakonsko varstvo pravice posameznika zaradi nedopustnega posredovanja ali obdelave osebnih podatkov. Iz evidence pregledovanja videoposnetkov mora biti za vsako pregledovanje posnetkov razvidno sledeče: datum in čas pregledovanja, ime oseb, ki so posnetke pregledovale, naziv podjetja oz. organa, kjer so te osebe zaposlene ter razlog pregledovanja. Pregledovanje videoposnetkov lahko beleži računalniški program, torej se vodi avtomatsko, lahko pa se vodi tudi ročno.
Skladno z zgoraj citiranim členom je zavezanec tudi dolžan voditi evidenco pregledovanja videoposnetkov.
Glede na tretji odstavek 22. člena ZVOP-1 mora upravljavec osebnih podatkov za vsako posredovanje osebnih podatkov zagotoviti, da je mogoče pozneje ugotoviti, kateri osebni podatki so bili posredovani, komu, kdaj in na kakšni podlagi, in sicer za obdobje, ko je mogoče zakonsko varstvo pravice posameznika zaradi nedopustnega posredovanja osebnih podatkov.
Videonadzorni sistem mora biti zavarovan pred dostopom nepooblaščenih oseb (peti odstavek 74. člena ZVOP-1). Upravljavec mora zagotavljati tudi sledljivost obdelave, torej biti zmožen dokazati, da obdelava osebnih podatkov poteka v skladu s Splošno uredbo in ZVOP-1 (npr. pregledovanja, posredovanja videoposnetkov) in določiti pooblaščene osebe za upravljanje z videonadzornim sistemom in zbirko videoposnetkov (22., 24. in 25. člen ZVOP-1, člen 32 in 24 Splošne uredbe).
II. Ugotovitve IP ter pojasnila in stališča zavezanca:
Uvodoma IP poudarja, da v predmetnem postopku inšpekcijskega nadzora ugotavlja zakonitost obdelave osebnih podatkov, ki nastajajo z uvedenim videonadzornim sistemom pri poslovni enoti zavezanca, in sicer …. V skladu z navedenim se vsa uradna pisanja vročajo na naslov, kjer je sedež poslovne enote zavezanca in pri kateri se inšpekcijski nadzor opravlja.
V postopku inšpekcijskega nadzora je bil zavezanec opozorjen, da je v postopku pred IP dolžan navajati resnico. Zavezanec je pojasnil, da:
a) zunanja snema vrt, za katerega plačujemo letno najemino …. Nameščena je zaradi vandalizma, zaščite osebja in strank;
b) notranja kamera, ki snema …. Nameščena je za zaščito imetja, kontrole toka denarja in zaščito osebja in strank;
c) notranja kamera, ki pokriva prostor, kjer se nahaja …. Nameščena je zaradi vandalizma nad …, za zaščito strank in osebja;
Zavezanec je tekom postopka inšpekcijskega nadzora predložil:
Na Seznanitev zavezanca z ugotovitvami v postopku inšpekcijskega nadzora in poziv na izjasnitev pred odločitvijo št. … z dne … je zavezanec dodatno pojasnil, da je zaposlene seznanil z videonadzorom od prvega dne izvajanja, to je od dne … dalje, da je do uvedbe videonadzora prišlo tudi na podlagi prošnje zaposlenih zaradi njihove varnosti ter da je zaposlene pisno seznanil dne … oziroma so slednji pisno, s svojim podpisom dne … seznanitev z videonadzornim sistemom potrdili na izjavi, ki jo je zavezanec predložil tekom tega postopka.
V nadaljevanju je pojasnil, da … obratuje od dne … kot lokal v katerem se točijo tudi alkoholne pijače. Tekom poslovanja so po … letih ugotovili, da potrebujejo dodatne rešitve zaradi preprečevanja nasilnih izgredov s strani gostov zaradi varnosti zaposlenih in premoženja. V preteklosti je zavezancu že večkrat nastala škoda na inventarju, tudi večkrat letno. Zavezanec je tudi navedel, da je dne … policijski postaji posredoval posnetek videonadzorne kamere zaradi …. Varnostne službe zaradi visokih stroškov ne more najeti. Meni, da zaradi navedenih razlogov obstaja zakonita pravna podlaga za uvedbo videonadzora tudi v notranjih površinah … na podlagi člena 6(1)(d) in člena 6(1)(f) Splošne uredbe. Pri vstopu v …, pa gostje glede na obvestilo o izvajanju videonadzora, podajo svojo privolitev na podlagi člena 6(1)(a) Splošne uredbe, saj se, po navedbah zavezanca, z vstopom v …, ki je pod videonadzorom in o katerem so pred vstopom obveščani, strinjajo.
Zavezanec je pojasnil, da je dodatno prilagodil zorni kot zunanje kamere, ki snema vhod in zunanjo teraso – vrt na način, da le-ta zajema zgolj in samo vhod in teraso, v celoti pa je izključen del, kjer se lahko parkirajo vozila oziroma pločnik po katerem hodijo tudi mimoidoči. Kamera je tako usmerjena le na mize in stole, ki so v uporabi lokala. Prav tako je zunaj …, zaradi dostopa do zunanje terase namestil dodatna obvestila o izvajanju videonadzora, tako, da gost z vstopom na teraso ali v lokal poda ustrezno soglasje. Zavezanec je predložil tudi zaslonsko slike zunanje kamere s počrnjenim delom zaslonske slike, seznam zaposlenih, ki so podpisali izjavo o seznanitvi z uvedenim videonadzornim sistemom ter fotografijo … iz leve in desne strani z obvestilom, ki opozarja goste o uvedenem videonadzoru.
IP je tako tekom postopka inšpekcijskega nadzora ugotovil sledeče dejansko stanje:
a) zunanja kamera snema vhod in zunanjo teraso – vrt;
b) prva notranja kamera snema strežniške prostore in točilni pult ter desno stran objekta;
c) druga notranja kamera snema strežniške prostore ter pokriva levo stran objekta in …;
Zavezancu se pojasnjuje, da 75. člen ZVOP-1 ureja pogoje za uvedbo videonadzora dostopa v poslovne prostore, 77. člen pa nadzor samih prostorov. Pri tem so zavoljo večjega posega v zasebnost zaposlenih v drugem primeru pogoji za uvedbo takšnega nadzora bistveno strožji.
Videonadzor dostopa v poslovne prostore (75. člen ZVOP-1) se sme izvajati zaradi varnosti ljudi in premoženja, zagotavljanja nadzora vstopa in izstopa ali če obstaja možnost ogrožanja zaposlenih. O uvedbi videonadzora sprejme pristojna oziroma pooblaščena oseba pisno odločitev z obrazloženimi razlogi, o tem mora pisno obvestiti vse zaposlene, ki opravljajo delo v nadzorovanem prostoru. Osebni podatki, zbrani z videoposnetki, se smejo hraniti največ eno leto po nastanku.
Videonadzor dostopa v uradne službene oziroma poslovne prostore se skladno z določbami 75. člena ZVOP-1 lahko izvaja, če je to potrebno:
Odločitev o uvedbi videonadzora sprejme pristojni funkcionar, predstojnik, direktor ali drug pristojen oziroma pooblaščen posameznik osebe javnega sektorja ali osebe zasebnega sektorja. V svoji odločitvi, ki mora biti sklenjena v pisni obliki, mora ustrezno razložiti razloge za uvedbo videonadzora za vsako nameščeno video kamero posebej. Kamere, ki zaradi svojega položaja že očitno niso namenjene kontroli dostopa, tako ne morejo biti postavljene na tej podlagi, če pa so, jih je treba odstraniti. Potreba po varovanju ljudi in premoženja mora biti izkazana, zlasti tako, da se kamere namesti pred dele poslopja, kjer se nahaja premoženje večje vrednosti (npr. skladišče) ali ki jih je sicer treba varovati (npr. zaradi nahajanja tajnih podatkov). Prav tako takšnega videonadzora ni dovoljeno postaviti izključno zaradi kontrole izrabe delovnega časa, ker ima delodajalec za ta namen praviloma na voljo številne in bistveno manj invazivne metode.
77. člen ZVOP-1 izvajanje videonadzora delovnih prostorov dopušča le v izjemnih primerih, kadar je to nujno potrebno za varnost ljudi ali premoženja ali za varovanje tajnih podatkov ter poslovne skrivnosti, tega namena pa ni možno doseči z milejšimi sredstvi. Določba torej uvedbo in izvajanje videonadzora v delovnih prostorih zasebnega sektorja sicer dopušča, vendar le, če je to nujno, da se zavarujejo konkretni subjekti in objekti varstva: varnost ljudi, varnost premoženja, varovanje tajnih podatkov in varovanje poslovne skrivnosti, ob tem pa mora biti izpolnjen še drugi pogoj, ki ga določa 77. člen ZVOP-1, to je, da zavarovanja teh konkretnih subjektov in objektov ni možno doseči z milejšimi ukrepi. Zakon torej eksplicitno našteva, koga in kaj ter zakaj se lahko varuje, zato drugi nameni niso dopustni, na primer izvajanje videonadzora zaradi preverjanja dela zaposlenih.
Namen stroge določbe 77. člena ZVOP-1 je varovanje posameznikove zasebnosti, ki mora obstajati tudi v delovnih prostorih in se vanjo ne sme čezmerno oziroma nesorazmerno posegati. V obravnavanem primeru je zavezanec navedel, da z izvajanjem videonadzora notranjega dela prostorov lokala zagotavlja varnost zaposlenih, strank in premoženja.
ZVOP – 1 je prav v tem smislu ločil 75. in 77. člen z vidika pričakovane zasebnosti, saj povprečen posameznik pričakuje večjo stopnjo zasebnosti v notranjosti lokala, kot pri vratih lokala oziroma na samem vhodu. Videonadzor znotraj delovnih prostorov, v konkretnem primeru videonadzor miz v lokalu pa pomeni bistveno večji poseg v zasebnost zaposlenih (in obenem gostov), kot videonadzor, ki se izvaja le na vhodnih vratih.
(člen 6(1)(f) Splošne uredbe):
Pri presoji ustreznosti zakonitega interesa kot pravne podlage (točka (f) člena 6(1) Splošne uredbe), je potrebno opraviti tristopenjski test, ob upoštevanju kriterija razumnega pričakovanja posameznikov, na katere se nanašajo osebni podatki, glede na njihovo razmerje do upravljavca:
Upravljavec mora pred namestitvijo videonadzornega sistema vedno kritično preučiti, ali je ta ukrep najprej primeren za dosego zakonitega cilja in ali je ustrezen in potreben za doseganje namenov. Izvajanje videonadzora je treba izbrati le, če namena obdelave ne bi bilo mogoče razumno doseči z drugimi sredstvi, ki manj posegajo v temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki.
V primerih, ko želi upravljavec preprečiti kazniva dejanja, povezana z varovanjem njegovega premoženja, lahko namesto, da bi namestil sistem videonadzora, sprejme tudi alternativne varnostne ukrepe, kot je angažiranje varnostne službe, zagotovitev boljše razsvetljave, namestitev varnostnih ključavnic, zaščitnih oken in vrat…Ti ukrepi so lahko enako učinkoviti kot videonadzorni sistemi proti vlomu, tatvinam in vandalizmu.
Upoštevati je potrebno, da se navedeno presoja različno od primera do primera, odločilen je vpliv posega v temeljne človekove pravice in svoboščine posameznikov, pri čemer pa je potrebno upoštevati tudi razumna pričakovanja zasebnosti posameznikov, na katere se nanašajo osebni podatki, glede na njihovo razmerje do upravljavca – objektiven pogled oziroma kriterij na razumna pričakovanja z vidika tretje osebe.
Upoštevati je potrebno, da se navedeno presoja različno od primera do primera, odločilen je vpliv posega v temeljne človekove pravice in svoboščine posameznikov, pri čemer pa je potrebno upoštevati tudi „razumna pričakovanja zasebnosti posameznikov, na katere se nanašajo osebni podatki, glede na njihovo razmerje do upravljavca“ – objektiven pogled oziroma kriterij na razumna pričakovanja z vidika tretje osebe. Kriterij tehtanja interesov upravljavca/tretje osebe in posameznika se presoja skupaj z uvodno izjavo 47 Splošne uredbe, ki opredeljuje razumno pričakovanje posameznikov, na katere se nanašajo osebni podatki, glede na njihovo razmerje do upravljavca.
Razumno pričakovanje zasebnosti posameznika je, da nad njim ni vzpostavljenega videonadzora, ko se nahaja v javnih prostorih, še posebno, če se ti tipično uporabljajo za regeneracijo oziroma prostočasne aktivnosti v prostorih kjer se posamezniki zbirajo in/ali komunicirajo, npr. za omizjem v restavracijah, v parkih, kinematografih, fitnesih, ipd.[1]
Pri presoji kriterija zakonitega interesa je IP odločil, da videonadzor nad gosti pri zavezancu, ki ga zavezanec izvaja z obema notranjima kamerama in zunanjo kamero s katero snema teraso, ne prestane zgoraj navedenega tristopenjskega testa, saj v konkretnem primeru obstoj zakonitega interesa v prostorih …, kjer se nahajajo gostje ne obstaja (npr. za mizami kjer gostje sedijo v … ali na terasi).
Zavezanec je videonadzor gostov v prostorih … in na vrtu z zunanjo kamero utemeljeval z zakonitim interesom varnosti ljudi in premoženja, vendar pa je pri tem potrebno upoštevati, da gre delno tudi za delovne prostore, vsaj v neposrednem območju pri … in pričakovano zasebnost gostov v lokalu, pri tem pa zakoniti interes zavezanca (varovanje premoženja) glede na zgoraj obrazloženo v tem delu prevlada nad pričakovano zasebnost zaposlenih na delovnem mestu zavezanca v delu, ko zavezanec z videonadzornim sistemom varuje premoženje, ki se nahaja v neposredni bližini točilnega pulta (pijače večje vrednosti, blagajna ipd.).
Glede navedb zavezanca, da izvaja videonadzor v … in na terasi tudi na podlagi privolitve posameznikov (tako gostov in zaposlenih), saj gostje z vstopom v … oziroma na teraso in obvestilom o izvajanju videonadzora, podajo svoje soglasje, zaposleni pa so podali tudi svoje pisno soglasje dne …, je potrebno poudariti sledeče.
Predmetna zakonodaja za zakonito izvajanje videonadzora ne zahteva soglasja zaposlenih, temveč njihovo pisno seznanitev z uvedenim videonadzorom, zavezanec pa mora izkazati, da je videonadzor uveden na podlagi določb ZVOP-1 in načel Splošne uredbe ter z namenom, ki ga je zakonodajalec predvidel kot zakoniti, ne glede na morebitna soglasja zaposlenih, le-ta namreč ne morejo dati pravne podlage uvedenemu videonadzoru, ki ni v skladu z namenom, ki ga je zakonodajalec predvidel kot dopustnega in zakonitega.
Soglasja zaposlenih, iz katerih bi izrecno izhajalo, da tudi s snemanjem delovnih prostorov oziroma delovnih mest soglašajo, tako ne morejo imeti takšne pravne veljave, da bi bilo snemanje delovnih mest, ki ne izpolnjuje vseh pogojev iz 77. člena ZVOP-1 dopustno oziroma zasledovalo dopustni namen in imelo zakonito pravno podlago, bilo bi namreč v nasprotju s kogentnimi določbami zakonodajalca, saj je izvajanje videonadzora delovnih prostorov dopustno le v izjemnih primerih, kadar je to nujno potrebno, da se zavarujejo konkretni subjekti in objekti varstva, pri tem pa milejši ukrepi za dosego istega namena niso mogoči.
Zgolj obvestilo o izvajanju videonadzora pred vstopom v objekt ali na površino kjer se videonadzor izvaja, katerega namen je posameznike seznaniti z izvajanjem videonadzora in jim omogočiti kontaktne informacije pri katerem upravljavcu osebnih podatkov (izvajalcu videonadzora) in kako (navedbo telefonske številke) lahko dostopajo do vseh informacij, ki jih mora upravljavec zagotoviti v skladu s členom 13 Splošne uredbe, pa namreč ne more zadoščati namenu obveščanja posameznika o vseh elementih obdelave njegovih osebnih podatkov, ki jih mora upravljavec podati za veljavno privolitev posameznika.
Prav tako je potrebno izpostaviti, da pravna podlaga “privolitev posameznika” kot jo določa člen 6(1)(a) Splošne uredbe po kateri posameznik, na katerega se nanašajo osebni podatki, privoli v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov, mora biti podana v skladu s pogoji iz člena 7 Splošne uredbe. Privolitev bi morala biti dana z jasnim pritrdilnim dejanjem, ki pomeni, da je posameznik, na katerega se nanašajo osebni podatki, prostovoljno, specifično, ozaveščeno in nedvoumno izrazil soglasje k obdelavi osebnih podatkov v zvezi z njim, kot je s pisno, tudi z elektronskimi sredstvi, ali ustno izjavo.[2] Privolitev bi morala zajemati vse dejavnosti obdelave, izvedene v isti namen ali namene. Kadar je obdelava večnamenska, bi bilo treba privolitev dati za vse namene obdelave. Če je privolitev posameznika, na katerega se nanašajo osebni podatki, dana na podlagi zahteve z elektronskimi sredstvi, mora biti zahteva jasna in natančna, prav tako pa ne sme po nepotrebnem ovirati uporabe storitve, za katero se zagotavlja. Dokazno breme, da je bila privolitev dana, je na upravljavcu osebnih podatkov, ki mora biti zmožen dokazati, da je posameznik, na katerega se nanašajo osebni podatki, privolil v obdelavo svojih osebnih podatkov.
Člen 7 Splošne uredbe še določa, da ima posameznik, na katerega se nanašajo osebni podatki, pravico, da svojo privolitev kadar koli prekliče. Preklic privolitve ne vpliva na zakonitost obdelave na podlagi privolitve pred njenim preklicem. O tem se pred privolitvijo obvesti posameznika, na katerega se nanašajo osebni podatki. Privolitev mora biti enako enostavno preklicati kot dati. Pri ugotavljanju, ali je bila privolitev dana prostovoljno, se med drugim zlasti upošteva, ali je izvajanje pogodbe, vključno z zagotavljanjem storitve, pogojeno s privolitvijo v obdelavo osebnih podatkov, ki ni potrebna za izvedbo zadevne pogodbe.
Pri tem je v nadaljevanju glede na navedbe zavezanca potrebno tudi poudariti, da člen 6(1)(d) Splošne uredbe določa kot razlog za zakonito obdelavo osebnih podatkov primere kadar je obdelava potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe, kar pomeni za zaščito interesa, ki je bistven za življenje posameznika, na katerega se nanašajo osebni podatki, ali za življenje druge fizične osebe. Obdelava osebnih podatkov na podlagi življenjskih interesov druge fizične osebe bi se načeloma lahko izvajala le, kadar obdelave ni mogoče očitno izvesti na drugi pravni podlagi. Nekatere vrste obdelave lahko služijo tako pomembnim razlogom v javnem interesu kot življenjskim interesom posameznika, na katerega se nanašajo osebni podatki, na primer kadar je obdelava potrebna v humanitarne namene, tudi za spremljanje epidemij in njihovega širjenja ali v izrednih humanitarnih razmerah, zlasti pri naravnih nesrečah in nesrečah, ki jih povzroči človek.
Iz česar sledi, da namen tega razloga kot enega izmed možnih razlogov oziroma pravnih podlag za zakonito obdelavo osebnih podatkov, ki ga je navajal zavezanec, ni varovanje življenja posameznikov, ki so zaposleni in gostje … kot poslovne enote zavezanca, kjer zavezanec izvaja kot glavno dejavnost … Slednja se tudi ne more šteti kot posameznikom nevarna dejavnost pri kateri bi bilo potrebno zaščititi življenjske interese posameznikov, prav tako pa v zasebnem sektorju obstaja pravna podlaga za zakonito obdelavo osebnih podatkov pri izvajanju videonadzora, in sicer zakoniti interes upravljavca, pri čemer morajo biti izkazani že zgoraj navedeni razlogi.
Vendar pa zavezanec ni izkazal utemeljenost razlogov, ki jih zakonodajalec določa že v 77. členu ZVOP-1 za snemanje delovnih prostorov, to je pogoja, da bi uvedba takšnega videonadzora tudi izven konkretnega mesta snemanja … in blagajne bila nujno potrebna za varnost ljudi ali premoženja ali za varovanje tajnih podatkov ter poslovne skrivnosti, tega namena pa ni možno doseči z milejšimi sredstvi, prav tako pa tudi ne obstoja zakonitega interesa (člen 6(1)(f) Splošne uredbe) kot pravne podlage za zakonito obdelavo osebnih podatkov v notranjosti … in terase v skladu z zgoraj navedenim tristopenjskim testom.
Na navedbe zavezanca, da z uvedenim videonadzorom varuje življenja zaposlenih in gostov je potrebno obrazložiti, da videonadzor kot takšen ne more zagotavljati zadostnega preventivnega učinka glede preprečevanja nasilnih izgredov in dejanj, vsaj ne v takšni meri, da bi se lahko smatral kot edini učinkoviti način preprečevanja izgredov oziroma drugih nasilnih dejanj.
Zavezanec mora, v kolikor presodi, da so takšna dejanja pogosta in v takšni obliki, da ogrožajo življenja posameznikov uvesti druge, preventivne in varovalne ukrepe, kot je na primer navzočnost varnostne službe ipd., kar je navedel tudi sam, pri čemer ekonomski razlog stroška takšne varnostne službe ali drugih primernih ukrepov, ne zadošča za uvedbo videonadzornega sistema na podlagi zakonitega interesa kot pravne podlage za zakonito obdelavo osebnih podatkov, ki z uvedenim videonadzornim sistemom nastajajo.
Zavezanec je v skladu z določbami 75. člena ZVOP-1 izkazal pogoje za uvedbo videonadzora glede dostopa v uradne službene oziroma poslovne prostore, in sicer glede snemanja:
Zavezanec bo tako moral prilagoditi zorni kot zunanje kamere, ki snema vhod in zunanjo teraso – vrt tako, da bo z njo snemal zgolj vstop v objekt, kot to izhaja iz 1. točke izreka te odločbe.
Zavezanec je o snemanju pisno obvestil zaposlene (…, … in …) v skladu z določbo tretjega odstavka 75. člena ZVOP-1 z dopisom »…«, ki je datiran na dan …. Zavezanec je pri tem pojasnil, da je zaposlene seznanil z izvajanjem videonadzora, ki je bil uveden dne … ob uvedbi videonadzornega sistema, ki ga je uvedel tudi na željo zaposlenih, pisno pa je zaposlene seznanil z dopisom »…«, ki je datiran na dan … ter podpisom vseh zaposlenih (…, …, …), pri tem pa obrazložil, da je datum na dopisu »…«, ki je datiran na dan … in ki ga je IP prejel dne …, datiran nepravilno, in sicer se pravilno glasi …
V skladu z zgoraj navedenim in na podlagi pojasnil zavezanca, ki jih je podal, se zavezanca seznanja, da je utemeljene razloge za uvedeni videonadzorni sistem s katerim zavezanec snema tudi delovna mesta v notranjosti … in posledično tudi zaposlene in goste, v skladu z določbami 77. člena ZVOP-1, sicer izkazal zaradi varovanja premoženja, vendar pa ne v takšnem obsegu, da zorna kota obeh notranjih kamer zajameta celotno površino … na način, da posežeta tako v pričakovano zasebnost zaposlenih na delovnem mestu kot gostov.
Gre za dve kameri, in sicer:
Zavezanec je o snemanju delovnih prostorov pisno obvestil zaposlene (…, … in …) v skladu z določbo četrtega odstavka 77. člena ZVOP-1 z dopisom »…«, ki je datiran na dan …. Zavezanec je pri tem pojasnil, da je zaposlene seznanil z izvajanjem videonadzora, ki je bil uveden dne … ob uvedbi videonadzornega sistema, ki ga je uvedel tudi na željo zaposlenih, pisno pa je zaposlene seznanil z dopisom »…«, ki je datiran na dan … ter podpisom vseh zaposlenih (…, …, …), pri tem pa obrazložil, da je datum na dopisu »…«, ki je datiran na dan … in ki ga je IP prejel dne …, datiran nepravilno, in sicer se pravilno glasi ….
III. Sklepno:
Točka (d) člena 58(2) Splošne uredbe določa, da nadzorni organ upravljavcu odredi, naj dejanja obdelave, če je to ustrezno, na določen način in v določenem roku uskladi z določbami Splošne uredbe.
Glede na obrazloženo je bilo treba zavezancu zaradi ugotovljenih nepravilnosti, na podlagi 2. in 8. člena ZInfP, 1. točke prvega odstavka 54. člena ZVOP-1, prvega odstavka 32. člena ZIN ter točke (d) člena 58(2) Splošne uredbe, odrediti odpravo ugotovljenih nepravilnosti.
Zavezanec … mora v roku petnajstih (15) dni od vročitve te odločbe:
Zavezanec mora o izvedenih ukrepih iz 1. točke izreka te odločbe najkasneje v roku petih (5) dni po odpravi nepravilnosti pisno obvestiti IP. Obvestilo mora vsebovati tudi navedbe in dokaze o tem, da je zavezanec izvršil ukrepe iz 1. točke izreka te odločbe in na kakšen način jih je izvršili.
Peti odstavek 29. člena ZIN določa, da mora zavezanec v primeru, če je inšpektor odredil odpravo nepravilnosti in pomanjkljivosti ter zavezancu določil rok za njihovo odpravo, o odpravljenih nepravilnostih takoj obvestiti nadzornika. Skladno z navedenim mora zavezanec o izvedenih ukrepih iz 1. točke izreka te odločbe najkasneje v roku petih (5) dni po odpravi nepravilnosti pisno obvestiti IP. Obvestilo mora vsebovati tudi navedbe in dokaze o tem, da je zavezanec izvršil ukrepe iz 1. točke izreka te odločbe in na kakšen način jih je izvršil.
Izrek o stroških postopka temelji na določbi prvega odstavka 31. člena ZIN, po kateri stroške inšpekcijskega postopka, ki so bili nujni za ugotovitev dejstev, ki dokazujejo, da je zavezanec kršil zakon ali drugi predpis, trpi zavezanec.
Po prvem odstavku 118. člena Zakona o splošnem upravnem postopku (Uradni list RS, št. 24/06 – uradno prečiščeno besedilo, 105/06 – ZUS-1, 126/07, 65/08, 8/10, 82/13 in 175/20 – ZIUOPDVE), v nadaljevanju: ZUP) odloči organ v odločbi o stroških postopka, kdo trpi stroške postopka, koliko znašajo ter komu in v katerem roku jih je treba plačati. Na podlagi drugega odstavka 113. člena ZUP gredo v primeru, če se je postopek začel po uradni dolžnosti, stroški postopka v breme stranke, če se je postopek končal za stranko neugodno, ali če se v postopku izkaže, da ga je ta povzročila s svojim protipravnim ravnanjem. Če se je postopek končal za stranko ugodno, gredo stroški v breme organa, razen osebnih stroškov stranke (stroški za njen prihod, izgubo časa in zaslužka).
IP posebni stroški postopka niso nastali, zavezanec pa nosi svoje stroške postopka sam. V skladu z navedenim je IP o stroških postopka odločil kot to izhaja iz 3. točke izreka te odločbe.
Ta odločba je izdana po uradni dolžnosti in je na podlagi 22. člena Zakona o upravnih taksah (Uradni list RS, št. 106/10 – uradno prečiščeno besedilo, 14/15 – ZUUJFO, 84/15 – ZZelP-J, 32/16, 30/18 – ZKZaš in 189/20 – ZFRO) takse prost.
POUK O PRAVNEM SREDSTVU:
Ta odločba je v upravnem postopku dokončna. Zoper njo v skladu z določbo 55. člena ZVOP-1 ni dovoljena pritožba, dopustno pa je sprožiti upravni spor. Upravni spor se sproži z vložitvijo tožbe pri Upravnem sodišču, Fajfarjeva 33, 1000 Ljubljana, v roku tridesetih (30) dni od njene vročitve. Tožba se vloži neposredno pisno pri navedenem sodišču ali se mu pošlje po pošti. Šteje se za pravočasno vloženo, če je oddana zadnji dan tožbenega roka priporočeno po pošti. Tožbi je poleg odločbe, ki se izpodbija, v izvirniku, prepisu ali kopiji potrebno priložiti tudi po en prepis ali kopijo tožbe in prilog za toženca, če je kdo prizadet z upravnim aktom pa tudi zanj.
…
Vročiti:
Smernice Evropskega odbora za varstvo podatkov (angl. Guidelines 3/2019 on processing of personal data through videodevices), točka 38, stran 13. ↑
To lahko vključuje označitev okenca ob obisku spletne strani ali pisna izjava, izbiro tehničnih nastavitev za storitve informacijske družbe ali katero koli drugo izjavo ali ravnanje, ki v tem okviru jasno kaže na to, da posameznik, na katerega se nanašajo osebni podatki, sprejema predlagano obdelavo svojih osebnih podatkov. Molk, vnaprej označena okenca ali nedejavnost zato ne pomenijo privolitve. ↑
