Številka: 0610-66/2021/19
Datum: 24. 3. 2022
Informacijski pooblaščenec (v nadaljevanju IP) izdaja po državni nadzornici za varstvo osebnih podatkov … na podlagi 2. in 8. člena Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZustS-A, v nadaljevanju: ZInfP), 37. in 54. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1 in 177/20, v nadaljevanju: ZVOP-1), petega odstavka 29. in prvega odstavka 32. člena Zakona o inšpekcijskem nadzoru (Uradni list RS, št. 43/07 – UPB1 in 40/14, v nadaljevanju: ZIN), ter člena 58(2) Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov, v nadaljevanju: Splošna uredba), v zadevi inšpekcijskega nadzora nad izvajanjem določb ZVOP-1 in Splošne uredbe pri zavezancu … (v nadaljevanju: zavezanec), po uradni dolžnosti naslednjo
ODLOČBO
1. Zavezanec … mora zaradi ugotovljenih nepravilnosti v zvezi z izvajanjem določb ZVOP-1 in Splošne uredbe urediti odnos z družbo … kot obdelovalcem, in sicer tako, da obdelavo osebnih podatkov s strani navedenega obdelovalca uredi v pogodbi ali drugem pravnem aktu, kot to določa člen 28 Splošne uredbe ali pa prekiniti sodelovanje z navedeno družbo na način, da ji onemogoči dostop do revizijskih sledi videonadzornega sistema, s katerim upravlja zavezanec.
2. Ukrep iz 1. točke izreka te odločbe mora zavezanec izvršiti v roku 30 (trideset) dni od prejema te odločbe.
3. Zavezanec mora o izvršenem ukrepu iz 1. točke izreka te odločbe v roku 5 (pet) dni po izvršitvi pisno obvestiti IP in predložiti dokazila.
4. Organu posebni stroški niso nastali, zavezanec pa trpi svoje stroške postopka.
Obrazložitev
1. Namen in vsebina inšpekcijskega nadzora
IP vodi postopek inšpekcijskega nadzora pod opravilno številko zadeve 0610-66/2021 zoper zavezanca nad izvajanjem določb ZVOP-1 in Splošne uredbe zaradi suma kršitve varnosti osebnih podatkov pri izvajanju videonadzora pri zavezancu.
2. Procesna dejanja v postopku nadzora in navedbe zavezanca
IP je postopek inšpekcijskega nadzora zoper zavezanca začel zaradi suma kršitve varnosti osebnih podatkov pri izvajanju videonadzora pri zavezancu, ki izhaja iz navedb v obvestilu o kršitvi varnosti osebnih podatkov, ki ga je zavezanec skladno z določbami člena 33 Splošne uredbe posredoval IP dne 8. 3. 2021 in ga je IP prejel dne 10. 3. 2021. Zavezanec v obvestilu navaja, da je iz razgovorov med zaposlenimi zaznal, da je posnetek dogodka, ki se je zgodil jeseni 2020, ko se je ena od zaposlenih med delovnim časom močno zaletela v drsna vrata na … oddelku, po elektronski pošti zaokrožil med zaposlenimi. Po pripovedovanju zaposlenih naj bi varnostnik, zaposleni pri družbi …, pogodbenemu izvajalcu storitev fizičnega, tehničnega in intervencijskega varovanja, posnetek dogodka po elektronski pošti poslal enemu od zaposlenih pri zavezancu. Zaposleni so posnetek gledali, zelo verjetno pa so si ga tudi pošiljali med seboj. Identiteta osebe na posnetku zavezancu ni znana, prav tako zavezanec ni priložil nobenega dokazila. Zavezanec v obvestilu navaja, da je bil z družbo … podpisan sporazum o obdelavi osebnih in/ali občutljivih osebnih podatkov, ki pa ga ni priložil obvestilu. O varnostnem dogodku je bilo obveščeno vodstvo in pravna služba zavezanca. Z zaznano domnevno kršitvijo je bila seznanjena tudi družba … in pozvana k pojasnilu ter ukrepanju.
Zaradi potrebe po razjasnitvi zadeve in ugotovitvi dejanskega stanja je IP zavezanca dne 17. 3. 2021 pozval k podaji pisnega pojasnila, dokumentacije in izjave glede dogodka, ki je predmet inšpekcijskega nadzora. Zavezanec je bil pozvan, da posreduje krovno pogodbo za izvajanje storitev fizičnega, tehničnega in intervencijskega varovanja med zavezancem in družbo … ter pripadajoči sporazum o obdelavi osebnih in/ali občutljivih osebnih podatkov, pojasni, katere ukrepe je sprejel, da bi preprečil oziroma ublažil posledice varnostnega dogodka za posameznika (posameznico), katere osebni podatki (videoposnetek) so bili nepooblaščeno obdelani v okviru obravnavanega varnostnega dogodka, pojasni, katere ukrepe je sprejel, da bi preprečil tovrstne varnostne dogodke v bodoče in posreduje pojasnilo družbe … glede domnevne kršitve in njenem ukrepanju.
IP je odgovor zavezanca na poziv prejel dne 7. 4. 2021. Zavezanec je sicer odgovoril na vsa vprašanja IP in predložil zahtevano dokumentacijo, vendar ni dovolj jasno pojasnil, kako dejansko poteka videonadzor pri zavezancu, kako so razdeljene odgovornosti pri izvajanju videonadzora med zavezancem in družbo …, pojasniti pa tudi ni znal, kako zagotavlja sledljivost obdelave osebnih podatkov pri izvajanju videonadzora, koliko časa se hrani dnevnik uporabe videonadzornega sistema, kateri podatki se hranijo v dnevnikih sledljivosti in kdo lahko dostopa do dnevnikov sledljivosti.
IP je zato zavezanca dne 10. 5. 2021 pozval k še eni dopolnitvi pisnega pojasnila. Odgovore zavezanca na dodatna vprašanja je IP prejel dne 27. 5. 2021. Ker kljub dodatnim pojasnilom zavezanca še vedno ni bilo mogoče ugotoviti, kako so razdeljene naloge in odgovornosti pri izvajanju videonadzora med zavezancem in družbo …, je IP uvedel postopek inšpekcijskega nadzora tudi zoper družbo … in jo dne 3. 6. 2021 pozval k podaji pisnega pojasnila dokumentacije in izjave glede storitev, ki jih opravlja za zavezanca, delitvi odgovornosti pri obdelavi osebnih podatkov pri opravljanju teh storitev ter glede ukrepanja pri obravnavi varnostnega dogodka, ki je predmet postopka inšpekcijskega nadzora.
Odgovor družbe … na zgoraj navedeni poziv je IP prejel dne 23. 6. 2021. Po pregledu odgovorov je bilo ugotovljeno, da se odgovori družbe … glede vodenja evidenc in zagotavljanja sledljivosti obdelave osebnih podatkov razlikujejo od navedb zavezanca, zato je bil dne 15. 9. 2021 izveden še inšpekcijski nadzor na lokaciji zavezanca. Zapisnik o opravljenem inšpekcijskem nadzoru, ki je bil po dogovoru z zavezancem sestavljen naknadno v prostorih IP, je bil usklajen in s strani zavezanca podpisan dne 7. 10. 2021 ter podpisan tudi s strani IP posredovan zavezancu dne 18. 10. 2021.
IP je dne 9. 11. 2021 zavezanca pisno seznanil z ugotovitvami inšpekcijskega nadzora in ga pozval, da se v roku 60 dni od prejema dopisa opredeli do ugotovitev IP oziroma v primeru, če so bile nepravilnosti odpravljene, pojasni na kakšen način in kdaj so bile nepravilnosti odpravljene ter posreduje ustrezna dokazila.
IP je odziv zavezanca na ugotovitve postopka inšpekcijskega nadzora prejel dne 12. 1. 2022. Zavezanec je pojasnil, da je ugotovljene nepravilnosti odpravil, ni pa predložil vseh ustreznih dokazil. IP je zato zavezanca dne 24. 1. 2022 pozval k predložitvi vseh dokumentov. V pozivu je IP izpostavil, da je pogodba veljavna šele s podpisom obeh pogodbenih strank, saj je zavezanec odzivu na ugotovitve inšpekcijskega nadzora priložil pogodbi o obdelavi osebnih podatkov z družbo … in družbo …, podpisani zgolj s strani zavezanca, ter pojasnil, da sta bili pogodbi obema obdelovalcema posredovani v podpis.
Dne 9. 2. 2022 je IP prejel dokumentacijo in dokazila, k predložitvi katerih je pozval zavezanca dne 24. 1. 2022. Zavezanec je predložil vsa zahtevana dokazila, razen podpisane pogodbe o obdelavi osebnih podatkov z družbo …, ker naj z njo še ne bi razpolagal.
3. Zakonske določbe
IP uvodno pojasnjuje, da se je Splošna uredba pričela uporabljati dne 25. 5. 2018. Glede na to, da Republika Slovenija ni sprejela zakona, s katerim bi uredila izvajanje Splošne uredbe in razveljavila določbe obstoječega ZVOP-1, se bosta v Republiki Sloveniji do uveljavitve takšnega predpisa uporabljala dva predpisa, ki na sistemski ravni urejata področje varstva osebnih podatkov, in sicer Splošna uredba ter ZVOP-1. Splošna uredba se v članicah Evropske unije uporablja neposredno, v Republiki Sloveniji pa so po 25. 5. 2018 ostale v veljavi le še tiste določbe ZVOP-1, ki jih Splošna uredba ne ureja drugače in niso v nasprotju z določbami te uredbe.
Videonadzor je obdelava osebnih podatkov, kot to določa člen 4(2) Splošne uredbe, kar pomeni, da mora izvajalec videonadzora zagotoviti skladnost obdelave s Splošno uredbo in poleg zakonitost in omejitve namena upoštevati še vsa ostala načela v zvezi z obdelavo, ki jih določa člen 5 Splošne uredbe. Splošna uredba je hierarhično nad nacionalnim predpisom, a ker smo imeli v Republiki Sloveniji videonadzor še pred pričetkom uporabe Splošne uredbe bolj podrobno reguliran v ZVOP-1, in ker te določbe niso v neskladju s Splošno uredbo, so ostale določbe 74. do vključno 77. člena ZVOP-1 v veljavi tudi po 25. 5. 2018, ko se je v Republiki Slovenji pričela uporabljati Splošna uredba.
Kot je pojasnjeno v Smernicah Evropskega odbora za varstvo podatkov (EDPB) 3/2019 o obdelavi osebnih podatkov z video napravami (https://edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines_201903_video_devices_sl.pdf), varnost videonadzornega sistema sestavljajo zaupnost sistema in podatkov, celovitost in razpoložljivost. Kot je navedeno v členu 32(1) Splošne uredbe, mora biti obdelava osebnih podatkov med videonadzorom ne le zakonsko dovoljena, ampak jo morajo upravljavci in obdelovalci tudi ustrezno zavarovati. Izvedeni organizacijski in tehnični ukrepi morajo biti sorazmerni s tveganji za pravice in svoboščine posameznikov, ki izhajajo iz nenamernega ali nezakonitega uničenja, izgube, spremembe, nepooblaščenega razkritja ali dostopa do podatkov video nadzora. V skladu s členoma 24 in 25 Splošne uredbe morajo upravljavci izvesti tehnične in organizacijske ukrepe tudi za zaščito vseh načel varstva podatkov med obdelavo ter vzpostaviti sredstva, s katerimi lahko posamezniki, na katere se nanašajo osebni podatki, uveljavljajo pravice, kot so opredeljene v členih 15–22 Splošne uredbe. Upravljavci podatkov bi morali sprejeti notranji okvir in notranje politike, ki bi zagotavljali to izvajanje ob določitvi sredstev za obdelavo in med izvajanjem obdelave, vključno z izvedbo ocene učinka v zvezi z varstvom podatkov, če je potrebna. Upravljavec mora zagotavljati sledljivost obdelave, torej biti zmožen dokazati, da obdelava osebnih podatkov poteka v skladu s Splošno uredbo.
ZVOP-1 v petem odstavku 74. člena določa, da mora biti videonadzorni sistem zavarovan pred dostopom nepooblaščenih oseb. Na področju zavarovanja osebnih podatkov še vedno velja tudi ZVOP-1 (24. in 25. člen). Glede na 5. točko prvega odstavka 24. člena ZVOP-1 mora pravna ali fizična oseba, ki izvaja videonadzor, zagotoviti evidenco pregledovanja videoposnetkov, na osnovi katere bo mogoče pozneje ugotoviti, kdaj so bili posamezni osebni podatki (videoposnetki) iz evidence videonadzornega sistema uporabljeni ali drugače obdelani in kdo je to storil, in sicer za obdobje, ko je možno zakonsko varstvo pravice posameznika zaradi nedopustnega posredovanja ali obdelave osebnih podatkov. Iz evidence pregledovanja videoposnetkov mora biti za vsako pregledovanje posnetkov razvidno sledeče: datum in čas pregledovanja, ime oseb, ki so posnetke pregledovale, naziv podjetja oz. organa, kjer so te osebe zaposlene ter razlog pregledovanja. Pregledovanje videoposnetkov lahko beleži računalniški program, torej se vodi avtomatsko, lahko pa se vodi tudi ročno. Glede na tretji odstavek 22. člena ZVOP-1 mora upravljavec osebnih podatkov tudi za vsako posredovanje osebnih podatkov zagotoviti, da je mogoče pozneje ugotoviti, kateri osebni podatki so bili posredovani, komu, kdaj in na kakšni podlagi, in sicer za obdobje, ko je mogoče zakonsko varstvo pravice posameznika zaradi nedopustnega posredovanja osebnih podatkov.
Kadar obdelavo osebnih podatkov v imenu upravljavca izvaja (pogodbeni) obdelovalec, mora za to obstajati pisna pogodba ali drug ustrezen akt, ki mora vsebovati vse elemente, ki jih določa člen 28 Splošne uredbe. Pogodba je potrebna, da obe stranki poznata svoje obveznosti in odgovornosti, ki iz tega izhajajo. Upravljavci so odgovorni za skladnost s Splošno uredbo in imenujejo le tiste obdelovalce, ki lahko zagotavljajo zadostna jamstva, da se zadosti zahtevam Splošne uredbe in da se ustrezno varujejo tudi pravice posameznikov.
4. Ugotovljeno dejansko stanje in zaključki IP
Aktualni videonadzorni sistem … zavezanca tvorijo strežnik videonadzornega sistema, dve (2) delovni postaji (odjemalca) in šestnajst (16) kamer, ki so povezani v samostojno VLAN omrežje. Strežnik se nahaja v strežniški omari v računalniškem centru v kletnih prostorih …. Vpogled v videoposnetke, ki so shranjeni na strežniku, je mogoč le preko dveh delovnih postaj, od katerih se ena nahaja v ločenem, osteklenelem in zaklenjenem prostoru pri vhodu v stavbo …centra, ki ga uporabljajo varnostniki (zaposleni pri družbi …), druga pa se nahaja v prostorih …. Na delovni postaji v … uporabniki videonadzornega sistema spremljajo le živo sliko, na delovni postaji, ki jo uporabljajo varnostniki, pa je omogočen dostop do žive slike, pregledovanje posnetkov za nazaj in izvoz posnetkov. Varnostniki lahko spremljajo živo sliko in imajo dostop do posnetkov vseh šestnajst (16) delujočih kamer videonadzornega sistema.
V postopku inšpekcijskega nadzora je bilo ugotovljeno, da videonadzorni sistem zavezanca ni izpolnjeval in še vedno ne izpolnjuje zahtev, ki so glede zavarovanja osebnih podatkov določene v členih 24, 25 in 32 Splošne uredbe in v 24. in 25. členu ZVOP-1.
Ugotovljeno je bilo, da ima zavezanec z družbo … sklenjen Okvirni sporazum o storitvah fizičnega, tehničnega in intervencijskega varovanja št. … z dne 24. 6. 2020, Aneks št. 1 k temu sporazumu z dne 15. 7. 2020 in Sporazum o obdelavi osebnih in/ali občutljivih osebnih podatkov št. … z dne 9. 7. 2020. Obdelovalec je dolžan naloge izvajati izključno po navodilih upravljavca, nobeden od navedenih dokumentov pa ne vsebuje specifičnih zahtev za zagotavljanje varnosti videonadzornega sistema in sledljivosti njegove uporabe.
Zavezanec je dne 14. 1. 2022 sklenil Pogodbo o obdelavi osebnih podatkov z družbo … katere priloga so tudi Navodila za obdelavo osebnih podatkov (videonadzor), ki vključujejo tudi obvezno vodenje evidence uporabe sistema za videonadzor s strani družbe …. S sklenitvijo te pogodbe in dodelitvijo uporabniškega imena in gesla vsakemu uporabniku videonadzornega sistema je zavezanec sicer zagotovil boljši pregled nad obdelavo podatkov videonadoznega sistema, ne more pa sam dokazati skladnosti obdelave osebnih podatkov s Splošno uredbo, saj podatkov v evidenci uporabe sistema za videonadzor brez sodelovanja družbe … ni mogoče preveriti, ker zavezanec nima dostopa do dnevnikov sledljivosti. Skladno z določbami člena 24 Splošne uredbe je odgovornost upravljavca, da zagotovi in je zmožen dokazati, da obdelava osebnih podatkov poteka v skladu s Splošno uredbo. Ker ima dostop do dnevnikov sledljivosti videonadzornega sistema le družba …, je tako obdelovalec osebnih podatkov v upravljanju zavezanca, zavezanec pa glede na to vlogo z družbo … nima ustrezno urejenega pogodbenega odnosa. Na poziv IP je zavezanec predložil Pogodbo za storitve …za obdobje treh let z dne 20. 5. 2015, ki torej ni več veljavna, in Pogodbo o obdelavi osebnih in/ali občutljivih osebnih podatkov z dne 28. 9. 2017, ki se navezuje na prej navedeno neveljavno pogodbo in dve naročilnici za dela, ki so sicer vezana na videonadzorni sistem, a so že zaključena, in sicer za ureditev administriranja sistema kontrole pristopa in pregled varnostnih kamer v prostoru varnostne službe oz. policije, zagon, test in predajo v uporabo ter za dograditev sistema in pristopne kontrole na …. Nobeden od navedenih pogodbenih dokumentov ne ureja razmerja med zavezancem in družbo … kot obdelovalcem pri obdelavi osebnih podatkov v okviru videonadzornega sistema, s katerim upravlja zavezanec.
Morebitnih zahtev posameznikov za uveljavljanje pravic posameznikov nad podatki videonadzornega sistema, ki izhajajo iz Splošne uredbe, zavezanec do sedaj še ni prejel. Za kakršnokoli tovrstno zahtevo mora oziroma bi moral posameznik podati uradno zaprosilo, ki bi se evidentiralo v delovodniku vhodne/izhodne pošte. Zaprosilo bi najprej obravnavala pravna služba in v primeru potrebe oziroma upravičene obdelave podatkov videonadzornega sistema (vpogled, priprava posnetka, izpis), bi se le ta opravila na delovni postaji varnostnikov. Ob prisotnosti predstavnika pravne službe in računalniškega centra zavezanca bi potrebno obdelavo izvedel varnostnik, po potrebi (pregled ali izpis dnevnikov sledljivosti) pa bi zavezanec za pomoč zaprosil tudi predstavnika družbe …. Rezultat obdelave (odgovor vlagatelju), bi bil dokumentiran v delovodniku vhodno/izhodne pošte. Tudi tovrstne obdelave podatkov videonadzornega sistema, s katerimi upravlja zavezanec, zavezanec z družbo … ni ustrezno uredil.
5. Obrazložitev inšpekcijskih ukrepov
Kot je razvidno iz obrazložitve te odločbe, je bilo v predmetnem postopku inšpekcijskega nadzora ugotovljeno, da določene naloge pri obdelavi osebnih podatkov, ki jih mora zavezanec izvajati kot upravljavec osebnih podatkov v okviru videonadzornega sistema, v imenu zavezanca izvaja …, ki je tako v donosu do zavezanca (pogodbeni) obdelovalec, zavezanec pa tega odnosa ni uredil skladno z določbami člena 28 Splošne uredbe.
Zaradi ugotovljenih nepravilnosti je bilo treba zavezancu na podlagi 1. točke prvega odstavka 54. člena ZVOP-1, prvega odstavka 32. člena ZIN ter točke (d) člena 58(2) Splošne uredbe odrediti odpravo ugotovljenih nepravilnosti, in sicer v roku, ki je določen v 2. točki te odredbe.
Odredba v 3. točki, da je zavezanec po izvršitvi ukrepa iz 1. točke izreka te odločbe dolžan v roku 5 (pet) dni po njihovi izvršitvi pisno obvestiti IP, temelji na določbi petega odstavka 29. člena ZIN, ki določa, da mora zavezanec o odpravljenih nepravilnostih takoj obvestiti inšpektorja.
Na podlagi 118. člena Zakona o splošnem upravnem postopku (Uradni list RS, št. 24/06-UPB2, s spremembami in dopolnitvami; v nadaljevanju ZUP) se v odločbi odloči o stroških postopka. Organu v tem postopku posebni stroški niso nastali, stroške inšpekcijskega postopka, ki so bili nujni za ugotovitev dejstev, ki dokazujejo, da zavezanec krši zakon ali drug predpis, pa skladno s prvim odstavkom 31. člena ZIN trpi zavezanec, zato je tako odločeno v 4. točki izreka te odločbe.
Ta odločba je izdana po uradni dolžnosti in je na podlagi 22. člena Zakona o upravnih taksah (Uradni list RS, št. 106/10 – UPB5, 14/15 – ZUUJFO, 84/15 – ZZelP-J in 32/16) takse prosta.
Pouk o pravnem sredstvu:
Ta odločba je v upravnem postopku dokončna. Zoper njo po določbi 55. člena ZVOP-1 ni dovoljena pritožba, mogoč pa je upravni spor z vložitvijo tožbe na Upravno sodišče Republike Slovenije, Fajfarjeva 33, 1000 Ljubljana, v roku 30 dni po prejemu te odločbe. Tožba se vloži pri pristojnem sodišču neposredno pisno ali se mu pošlje po pošti. Tožbi v dveh izvodih je treba priložiti to odločbo v izvirniku ali neoverjeno kopijo.
