Številka: 0611-623/2021/10
Datum: 17. 5. 2022
Informacijski pooblaščenec (v nadaljevanju: IP) po pooblaščeni uradni osebi, državni nadzornici za varstvo osebnih podatkov …, na podlagi 2. in 8. člena Zakona o Informacijskem pooblaščencu (Uradni list RS, št. 113/2205, 51/07–ZUstS-A; v nadaljevanju: ZInfP), 54. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07 – uradno prečiščeno besedilo in 177/20, v nadaljevanju: ZVOP-1), člena 57 in 58 Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov, v nadaljevanju: Splošna uredba) ter 29. in 32. člena Zakona o inšpekcijskem nadzoru (Uradni list RS, št. 43/07 - UPB1 in 40/14, v nadaljevanju: ZIN), v zadevi opravljanja inšpekcijskega nadzora zoper zavezanca … (matična številka: …, v nadaljevanju: zavezanec) nad izvajanjem določb ZVOP-1 in Splošne uredbe zaradi načina zagotavljanja varnosti osebnih podatkov pri izvajanju postopkov samoplačniškega testiranja na prisotnost virusa SARS-CoV-2, izdaja naslednjo
ODLOČBO
1. Zavezanec … mora:
posameznikom, od katerih pridobiva ali je že pridobil podatke za namen izvajanja postopkov samoplačniškega testiranja na prisotnost virusa SARS-CoV-2 v jedrnati, pregledni, razumljivi in lahko dostopni obliki ter v jasnem in preprostem jeziku zagotoviti vse informacije iz prvega in drugega odstavka člena 13 Splošne uredbe na način, ki je pri zavezancu običajen način obveščanja, kot je na primer splošno (generalno) obvestilo na oglasni deski pri zavezancu ali pred vstopom v objekt, kjer se izvaja testiranje ali na internetni spletni strani zavezanca ipd., s čimer bo posameznike, na katere se osebni podatki nanašajo, seznanil z vsemi informacijami iz člena 13 Splošne uredbe, ki se morajo posameznikom zagotoviti v primeru, kadar se osebni podatki pridobivajo od posameznika, na katerega se osebni podatki nanašajo.
2. Zavezanec mora ukrep iz 1. točke izreka te odločbe izvršiti v roku petnajstih (15) dni od prejema te odločbe.
3. Zavezanec mora o izvedenih ukrepih iz 1. točke izreka te odločbe najkasneje v roku petih (5) dni po odpravi nepravilnosti pisno obvestiti Informacijskega pooblaščenca. Obvestilo mora vsebovati tudi navedbe in dokaze o tem, da je zavezanec izvršil ukrepe iz 1. točke izreka te odločbe in na kakšen način jih je izvršili.
4. Organu v tem postopku posebni stroški niso nastali, zavezanec pa sam trpi svoje stroške inšpekcijskega postopka.
O b r a z l o ž i t e v
I. Navedba predpisov, na katere se opira odločba:
Osebni podatek pomeni katero koli informacijo v zvezi z določenim ali določljivim posameznikom, določljiv posameznik pa je tisti, ki ga je mogoče neposredno ali posredno določiti, zlasti z navedbo identifikatorja, kot je ime, identifikacijska številka, podatki o lokaciji, spletni identifikator, ali z navedbo enega ali več dejavnikov, ki so značilni za fizično, fiziološko, genetsko, duševno, gospodarsko, kulturno ali družbeno identiteto tega posameznika (člen 4(1) Splošne uredbe).
Podatek o zdravstvenem stanju posameznika pomeni osebni podatek, ki se nanaša na telesno ali duševno zdravje posameznika, vključno z zagotavljanjem zdravstvenih storitev, in razkriva informacije o njegovem zdravstvenem stanju (člen 4(15) Splošne uredbe).
Obdelava osebnih podatkov pa je vsako dejanje ali niz dejanj, ki se izvaja v zvezi z osebnimi podatki ali nizi osebnih podatkov z avtomatiziranimi sredstvi ali brez njih, kot je zbiranje, beleženje, urejanje, strukturiranje, shranjevanje, prilagajanje ali spreminjanje, priklic, vpogled, uporaba, razkritje s posredovanjem, razširjanje ali drugačno omogočanje dostopa, prilagajanje ali kombiniranje, omejevanje, izbris ali uničenje (člen 4(2) Splošne uredbe).
Obdelava osebnih podatkov tako pomeni tudi razkritje osebnih podatkov s posredovanjem, razširjanjem ali drugačnim omogočanjem dostopa do osebnih podatkov.
Podatek o obolelosti za boleznijo covid-19 pa je podatek v zvezi z zdravjem oziroma podatek o zdravstvenem stanju posameznika (člen 4 (15) Splošne uredbe).
Obdelava osebnih podatkov je zakonita le v kolikor so izpolnjeni pogoji iz člena 6 Splošne uredbe in kadar je v skladu z namenom zbiranja osebnih podatkov. Upravljavec osebnih podatkov mora tako imeti za zakonito obdelavo osebnih podatkov ustrezno pravno podlago. Te so določene v členu 6(1) Splošne uredbe, ki predpisuje, da je obdelava zakonita le in kolikor je izpolnjen vsaj eden od naslednjih pogojev:
a) posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov;
b) obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe;
c) obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca;
d) obdelava je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe;
e) obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu;
f) obdelava je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok.
Točka (f) prvega pododstavka se ne uporablja za obdelavo s strani javnih organov pri opravljanju njihovih nalog.
Pravno podlago za obdelavo posebnih vrst osebnih podatkov, kot so podatki o zdravstvenem stanju, določa člen 9 Splošne uredbe, in sicer je v prvem odstavku določeno, da je prepovedana obdelava osebnih podatkov, ki razkrivajo rasno ali etnično poreklo, politično mnenje, versko ali filozofsko prepričanje ali članstvo v sindikatu, in obdelava genetskih podatkov, biometričnih podatkov za namene edinstvene identifikacije posameznika, podatkov v zvezi z zdravjem ali podatkov v zvezi s posameznikovim spolnim življenjem ali spolno usmerjenostjo, drugi odstavek pa nadalje določa, da se odstavek 1 ne uporablja, če velja eno od naslednjega:
| (a) | posameznik, na katerega se nanašajo osebni podatki, je dal izrecno privolitev v obdelavo navedenih osebnih podatkov za enega ali več določenih namenov, razen kadar pravo Unije ali pravo države članice določa, da posameznik, na katerega se nanašajo osebni podatki, ne sme odstopiti od prepovedi iz odstavka 1; |
| (b) | obdelava je potrebna za namene izpolnjevanja obveznosti in izvajanja posebnih pravic upravljavca ali posameznika, na katerega se nanašajo osebni podatki, na področju delovnega prava ter prava socialne varnosti in socialnega varstva, če to dovoljuje pravo Unije ali pravo države članice ali kolektivna pogodba v skladu s pravom države članice, ki zagotavlja ustrezne zaščitne ukrepe za temeljne pravice in interese posameznika, na katerega se nanašajo osebni podatki; |
| (c) | obdelava je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali drugega posameznika, kadar posameznik, na katerega se nanašajo osebni podatki, fizično ali pravno ni sposoben dati privolitve; |
| (d) | obdelavo v okviru svojih zakonitih dejavnosti z ustreznimi zaščitnimi ukrepi izvaja ustanova, združenje ali katero koli drugo neprofitno telo s političnim, filozofskim, verskim ali sindikalnim ciljem in pod pogojem, da se obdelava nanaša samo na člane ali nekdanje člane telesa ali na osebe, ki so v rednem stiku z njim v zvezi z njegovimi nameni, ter da se osebni podatki ne posredujejo zunaj tega telesa brez privolitve posameznikov, na katere se nanašajo osebni podatki; |
| (e) | obdelava je povezana z osebnimi podatki, ki jih posameznik, na katerega se nanašajo osebni podatki, sam objavi; |
| (f) | obdelava je potrebna za uveljavljanje, izvajanje ali obrambo pravnih zahtevkov ali kadar koli sodišča izvajajo svojo sodno pristojnost; |
| (g) | obdelava je potrebna iz razlogov bistvenega javnega interesa na podlagi prava Unije ali prava države članice, ki je sorazmerno z zastavljenim ciljem, spoštuje bistvo pravice do varstva podatkov ter zagotavlja ustrezne in posebne ukrepe za zaščito temeljnih pravic in interesov posameznika, na katerega se nanašajo osebni podatki; |
| (h) | obdelava je potrebna za namene preventivne medicine ali medicine dela, oceno delovne sposobnosti zaposlenega, zdravstveno diagnozo, zagotovitev zdravstvene ali socialne oskrbe ali zdravljenja ali upravljanje sistemov in storitev zdravstvenega ali socialnega varstva na podlagi prava Unije ali prava države članice ali v skladu s pogodbo z zdravstvenim delavcem ter zanjo veljajo pogoji in zaščitni ukrepi iz odstavka 3; |
| (i) | obdelava je potrebna iz razlogov javnega interesa na področju javnega zdravja, kot je zaščita pred resnimi čezmejnimi tveganji za zdravje ali zagotovitev visokih standardov kakovosti in varnosti zdravstvenega varstva ter zdravil ali medicinskih pripomočkov, na podlagi prava Unije ali prava države članice, ki zagotavlja ustrezne in posebne ukrepe za zaščito pravic in svoboščin posameznika, na katerega se nanašajo osebni podatki, zlasti varovanje poklicne skrivnosti; |
| (j) | obdelava je potrebna za namene arhiviranja v javnem interesu, za znanstveno - ali zgodovinskoraziskovalne namene ali statistične namene v skladu s členom 89(1) na podlagi prava Unije ali prava države članice, ki je sorazmerno z zastavljenim ciljem, spoštuje bistvo pravice do varstva podatkov ter zagotavlja ustrezne in posebne ukrepe za zaščito temeljnih pravic in interesov posameznika, na katerega se nanašajo osebni podatki. |
Osebni podatki iz odstavka 1 se lahko obdelujejo v namene iz točke (h) odstavka 2, kadar jih obdeluje ali je za njihovo obdelavo odgovoren strokovnjak, za katerega velja obveznost varovanja poklicne skrivnosti v skladu s pravom Unije ali pravom države članice ali pravili, ki jih določijo pristojni nacionalni organi, ali druga oseba, za katero tudi velja obveznost varovanja skrivnosti v skladu s pravom Unije ali pravom države članice ali pravili, ki jih določijo pristojni nacionalni organi. Države članice lahko ohranijo ali uvedejo dodatne pogoje, tudi omejitve, glede obdelave genetskih, biometričnih ali podatkov v zvezi z zdravjem.
Člen 5 Splošne uredbe določa načela v zvezi z obdelavo osebnih podatkov, in sicer morajo biti osebni podatki:
| (a) | obdelani zakonito, pošteno in na pregleden način v zvezi s posameznikom, na katerega se nanašajo osebni podatki („zakonitost, pravičnost in preglednost“); |
| (b) | zbrani za določene, izrecne in zakonite namene ter se ne smejo nadalje obdelovati na način, ki ni združljiv s temi nameni; nadaljnja obdelava v namene arhiviranja v javnem interesu, v znanstveno- ali zgodovinskoraziskovalne namene ali statistične namene v skladu s členom 89(1) ne velja za nezdružljivo s prvotnimi nameni („omejitev namena“); |
| (c) | ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo („najmanjši obseg podatkov“); |
| (d) | točni in, kadar je to potrebno, posodobljeni; sprejeti je treba vse razumne ukrepe za zagotovitev, da se netočni osebni podatki brez odlašanja izbrišejo ali popravijo ob upoštevanju namenov, za katere se obdelujejo („točnost“); |
| (e) | hranjeni v obliki, ki dopušča identifikacijo posameznikov, na katere se nanašajo osebni podatki, le toliko časa, kolikor je potrebno za namene, za katere se osebni podatki obdelujejo; osebni podatki se lahko shranjujejo za daljše obdobje, če bodo obdelani zgolj za namene arhiviranja v javnem interesu, za znanstveno- ali zgodovinskoraziskovalne namene ali statistične namene v skladu s členom 89(1), pri čemer je treba izvajati ustrezne tehnične in organizacijske ukrepe iz te uredbe, da se zaščitijo pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki („omejitev shranjevanja“); |
| (f) | obdelujejo se na način, ki zagotavlja ustrezno varnost osebnih podatkov, vključno z zaščito pred nedovoljeno ali nezakonito obdelavo ter pred nenamerno izgubo, uničenjem ali poškodbo z ustreznimi tehničnimi ali organizacijskimi ukrepi („celovitost in zaupnost“). |
Upravljavec je odgovoren za skladnost z odstavkom 1 in mora biti to skladnost tudi zmožen dokazati („odgovornost“).
Splošna uredba v členu 12 (1) določa, da upravljavec sprejme ustrezne ukrepe, s katerimi zagotovi posamezniku, na katerega se nanašajo osebni podatki, vse informacije iz členov 13 in 14 ter sporočila iz členov 15 do 22 in 34, povezana z obdelavo, v jedrnati, pregledni, razumljivi in lahko dostopni obliki ter jasnem in preprostem jeziku, kar velja zlasti za vse informacije, namenjene posebej otroku. Informacije se posredujejo v pisni obliki ali z drugimi sredstvi, vključno, kjer je ustrezno z elektronskimi sredstvi. Na zahtevo posameznika, na katerega se nanašajo osebni podatki, se lahko informacije predložijo ustno, pod pogojem, da se identiteta posameznika, na katerega se nanašajo osebni podatki, dokaže z drugimi sredstvi.
V členu 13(1) Splošne uredbe je določeno, da kadar se osebni podatki v zvezi s posameznikom, na katerega se nanašajo osebni podatki, pridobijo od tega posameznika, upravljavec zadevnemu posamezniku takrat, ko pridobi osebne podatke, zagotovi vse naslednje informacije:
(a) identiteto in kontaktne podatke upravljavca in njegovega predstavnika, kadar ta obstaja;
(b) kontaktne podatke pooblaščene osebe za varstvo podatkov, kadar ta obstaja;
(c) namene, za katere se osebni podatki obdelujejo, kakor tudi pravno podlago za njihovo obdelavo;
(d) kadar obdelava temelji na točki (f) člena 6(1), zakonite interese, za uveljavljanje katerih si prizadeva upravljavec ali tretja oseba;
(e) uporabnike ali kategorije uporabnikov osebnih podatkov, če obstajajo;
(f) kadar je ustrezno, dejstvo, da upravljavec namerava prenesti osebne podatke v tretjo državo ali mednarodno organizacijo, ter obstoj ali neobstoj sklepa Komisije o ustreznosti ali v primeru prenosov iz člena 46 ali 47 ali drugega pododstavka člena 49(1) sklic na ustrezne ali primerne zaščitne ukrepe in sredstva za pridobitev njihove kopije ali kje so na voljo.
Poleg informacij iz člena 13(1) Splošne uredbe upravljavec v skladu s členom 13(2) takrat, ko pridobi osebne podatke, posamezniku, na katerega se ti nanašajo, zagotovi naslednje informacije, ki so potrebne za zagotovitev poštene in pregledne obdelave:
(a) obdobje hrambe osebnih podatkov ali, kadar to ni mogoče, merila, ki se uporabijo za določitev tega obdobja;
(b) obstoj pravice, da se od upravljavca zahtevajo dostop do osebnih podatkov in popravek ali izbris osebnih podatkov ali omejitev obdelave v zvezi s posameznikom, na katerega se nanašajo osebni podatki, ali obstoj pravice do ugovora obdelavi in pravice do prenosljivosti podatkov;
(c) kadar obdelava temelji na točki (a) člena 6 (1) ali točki (a) člena 9 (2), obstoj pravice, da se lahko privolitev kadarkoli prekliče, ne da bi to vplivalo na zakonitost obdelave podatkov, ki se je na podlagi privolitve izvajala do njenega preklica;
(d) pravico do vložitve pritožbe pri nadzornem organu;
(e) ali je zagotovitev podatkov zakonska ali pogodbena obveznost ali pa obveznost, ki je potrebna za sklenitev pogodbe, ter ali mora posameznik, na katerega se nanašajo osebni podatki, zagotoviti osebne podatke, ter kakšne so morebitne posledice, če se taki podatki ne zagotovijo, in
(f) obstoj avtomatiziranega sprejemanja odločitev, vključno z oblikovanjem profilov iz člena 22 (1) in (4), ter vsaj v takih primerih smiselne informacije o razlogih zanj, kot tudi pomen in predvidene posledice take obdelave za posameznika, na katerega se nanašajo osebni podatki.
Na podlagi člena 13(4) se odstavki 1, 2 in 3 ne uporabljajo, kadar in kolikor posameznik, na katerega se nanašajo osebni podatki, že ima informacije.
II. Ugotovitve IP in razlogi, ki narekujejo odreditev inšpekcijskega ukrepa:
Tekom inšpekcijskega postopka je bil zavezanec opozorjen, da mora v postopku pred IP govoriti resnico. Po prejetih pojasnilih zavezanca, glede na ugotovljeno dejansko stanje v predmetnem postopku nadzora, IP ugotavlja, da je zavezanec ustrezno zagotavljal varnost osebnih podatkov pri izvajanju postopkov samoplačniškega testiranja na prisotnost virusa SARS-CoV-2.
Pravna podlaga za obdelavo osebnih podatkov posameznikov za namen izvajanja postopkov samoplačniškega testiranja na prisotnost virusa SARS-CoV-2 je člen 6(1)(c) Splošne uredbe – obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca in točka (h) člena 9(2) Splošne uredbe v povezavi s 14.č členom Zakona o zbirkah podatkov s področja zdravstvenega varstva (Uradni list RS, št. 65/00, s spr., v nadaljevanju: ZZPPZ). Za izvedbo testiranja za ugotavljanje prisotnosti virusa SARS-CoV-2 med zavezancem in posameznikom oziroma naročnikom testiranja, katerim zavezanec za opravljeno zdravstveno storitev izstavi račun, sicer nastane pogodbeno razmerje, vendar pa ZZPPZ določa dolžnost posredovanja podatkov v Centralni register podatkov o pacientih (v nadaljevanju: CRPP). V skladu s petim odstavkom 14.č člena ZZPPZ se podatek v CRPP posreduje takoj, ko nastane ali se prejme pri izvajanju zdravstvene oskrbe, vendar najpozneje do konca delavnika.
Nacionalni inštitut za javno zdravje je za izvajalce testiranj pripravil navodila Poročanje rezultatov testov COVID-19 v Centralni register podatkov o pacientih (CRPP), Metodološka in tehnična navodila za uporabnike, ki so objavljena na spletni strani NIJZ. Obvezno je treba vnesti naslednje podatke (str. 15):
- ZZZS številka zavarovane osebe ali EMŠO (v primeru tuje zavarovane osebe TZO oziroma ZZZS številka, ki se začne s 7), če oseba nima ZZZS številke ali EMŠO, se uporabi lokalni identifikator, ki ga določi informacijski sistem izvajalca testa;
- datum rojstva pacienta (se lahko avtomatsko napolni iz vira ZZZS ali CRPP/RPPE),
- ime in priimek pacienta (se lahko avtomatsko napolni iz vira ZZZS ali CRPP/RPPE),
- naslov in država bivanja, če gre za tujca,
- mobilna številka pacienta, v kolikor jo pacient poda (opcijsko brez številke zgolj za utemeljene primere, npr. oskrbovanci v socialno varstvenih zavodih. NIJZ posebej opozarja na pomembnost vnosa pravilne številke),
- indikator obveščanje pacienta preko nacionalnega sistema: 1 - obveščaj pacienta, 2 - pacienta obvešča
vstopna točka sama, 3 - pacient ne dovoli obveščanja po SMS,
- indikacija za testiranje,
- datum odvzema vzorca,
- prisotnost simptomov (v primeru DA se označi tudi datum začetka),
- epidemiološka anamneza (tesen stik z okuženo osebo v zadnjih 14 dneh),
- tip (vrsta) testa.
Vsi izvajalci zdravstvene dejavnosti morajo rezultate posredovati v CRPP. Zavezanec je pojasnil, da podatke, ki jih od posameznikov zbira za namen izvajanja postopkov samoplačniškega testiranja na prisotnost virusa SARS-CoV-2 z obrazcem PCR (ime, priimek, elektronski naslov in mobilno telefonsko številko) hrani največ do … ur, nato jih razreže ter da s posebno napravo skenira kartico oziroma vsebino zdravstvenega zavarovanja za vnos podatkov v informacijski sistem …, nato pa se podatki posredujejo na ... Podatke, ki jih zavezanec pridobi s skeniranjem ali na podlagi obrazca PCR, ne hrani oziroma slednje hrani največ … ur.
Na podlagi zgoraj navedenega je IP ugotovil, da je zavezanec imel pravno podlago, da je od vsakega posameznika, ki je prišel na test, pridobil ime in priimek, mobilno telefonsko številko in številko zdravstvene izkaznice oziroma podatke iz izkaznice zdravstvenega zavarovanja, ker je te podatke moral posredovati v CRPP. IP je ugotovil tudi, da zavezanec ni imel pravne podlage za zbiranje elektronskih naslovov od vseh testiranih oseb, ampak le od tistih, ki so želeli, da jim rezultate testiranja sporoči po elektronski pošti ali jih preko slednje kontaktira za drug namen (pravna podlaga privolitev (člen 6(1)(a) Splošne uredbe - posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov).
Nameni obdelave osebnih podatkov so bili namreč doseženi, ko je zavezanec osebne podatke vnesel v CRPP in ko so bili testirani posamezniki obveščeni o rezultatih testa. Pri tem je potrebno poudariti, da zavezanec osebnih podatkov posameznikov po preteku … ur ne hrani več oziroma z njimi ne razpolaga, niti nima možnosti vpogleda v osebne podatke posameznika po izvedbi postopka testiranja oziroma zaključku slednjega.
Zavezanec tako mora v informacijah o obdelavi osebnih podatkov pojasniti, katere osebne podatke zbira na podlagi pogodbe in zakona ter katere na podlagi privolitve ter kakšen je namen njihovega zbiranja, čas hrambe teh podatkov in navesti tudi vse druge informacije na podlagi člena 13 Splošne uredbe.
Glede zgoraj navedenega bo moral zavezanec posameznike obvestiti oziroma dopolniti vsebino obrazca s katerim se zagotavlja pravica do informacij skladno s členom 13 Splošne uredbe na način, da bodo informacije granulirane oziroma razčlenjene na namene obdelave osebnih podatkov oziroma te podatke, ki jih zahteva člen 13 Splošne uredbe, vključiti v navedeni obrazec PCR na način, da bodo razvidne vse informacije skladno s členom 13 Splošne uredbe, kot je opisano zgoraj.
Pri tem je zavezancu lahko v pomoč tudi obrazec »Vzorec obvestila posameznikom glede obdelave osebnih podatkov (člen 13 Splošne uredbe)«, ki se nahaja na spletni strani IP: https://www.ip-rs.si/obrazci/varstvo-osebnih-podatkov/.
Zavezanec mora posameznike obvestiti o pravicah do informacij skladno s členom 13 Splošne uredbe pred zbiranjem osebnih podatkov (pridobitvijo, vpogledi, posredovanjem ali kakršnokoli drugo obdelavo osebnih podatkov), pri tem pa takšno obvestilo ustrezno posredovati na način, da ga objavi na obrazcu PCR, pred vstopom v objekt ali na spletni strani zavezanca.
Kar pomeni, da mora zavezanec navesti kot pravno podlago za zbiranje vseh podatkov, razen elektronskega naslova, člen 6(1)(c) Splošne uredbe – obdelava je potrebna za izpolnnitev zakonske obveznosti, ki velja za upravljavca in točko (h) člena 9(2) Splošne uredbe v povezavi s 14.č členom ZZPPZ.
V primeru obdelave elektronskega naslova posameznikov pa je potrebna privolitev posameznika (člen 6(1)(a) Splošne uredbe - posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov), ki mora biti prostovoljna, specifična, informirana in nedvoumna.
III. Sklepno:
Točka (d) člena 58(2) Splošne uredbe določa, da nadzorni organ upravljavcu ali obdelovalcu odredi, naj dejanja obdelave, če je to ustrezno, na določen način in v določenem roku uskladi z določbami Splošne uredbe.
Glede na obrazloženo je bilo treba zavezancu zaradi ugotovljenih nepravilnosti, na podlagi 2. in 8. člena ZInfP, 1. točke prvega odstavka 54. člena ZVOP-1, prvega odstavka 32. člena ZIN ter točke (d) člena 58(2) Splošne uredbe, odrediti odpravo ugotovljenih nepravilnosti in uskladitev dejanj obdelave osebnih podatkov z določbami členov 5, 12 in 13 Splošne uredbe, kot to izhaja iz 1. točke izreka te odločbe.
Peti odstavek 29. člena ZIN določa, da mora zavezanec v primeru, če je inšpektor odredil odpravo nepravilnosti in pomanjkljivosti ter zavezancu določil rok za njihovo odpravo, o odpravljenih nepravilnostih takoj obvestiti inšpektorja. Skladno z navedenim mora zavezanec o vseh izvedenih ukrepih iz 1. točke izreka te odločbe najkasneje v roku petih (5) dni po odpravi nepravilnosti pisno obvestiti IP. Obvestilo mora vsebovati tudi navedbe in dokaze o tem, da je zavezanec izvršil ukrepe iz 1. točke izreka te odločbe in na kakšen način jih je izvršil.
Izrek o stroških postopka temelji na določbi prvega odstavka 31. člena ZIN, po kateri stroške inšpekcijskega postopka, ki so bili nujni za ugotovitev dejstev, ki dokazujejo, da je zavezanec kršil zakon ali drugi predpis, trpi zavezanec. Zavezanec tekom postopka stroškov postopka sicer ni priglasil, organu pa posebni stroški postopka niso nastali.
Ta odločba je izdana po uradni dolžnosti in je na podlagi 22. člena Zakona o upravnih taksah Uradni list RS, št. 106/10 – uradno prečiščeno besedilo, 14/15 – ZUUJFO, 84/15 – ZZelP-J, 32/16, 30/18 – ZKZaš in 189/20 – ZFRO) takse prosta.
POUK O PRAVNEM SREDSTVU:
Ta odločba je v upravnem postopku dokončna. Zoper njo v skladu z določbo 55. člena ZVOP-1 ni dovoljena pritožba, dopustno pa je sprožiti upravni spor. Upravni spor se sproži z vložitvijo tožbe pri Upravnem sodišču, Fajfarjeva 33, 1000 Ljubljana, v roku tridesetih (30) dni od njene vročitve. Tožba se vloži neposredno pisno pri navedenem sodišču ali se mu pošlje po pošti. Šteje se za pravočasno vloženo, če je oddana zadnji dan tožbenega roka priporočeno po pošti. Tožbi je poleg odločbe, ki se izpodbija, v izvirniku, prepisu ali kopiji potrebno priložiti tudi po en prepis ali kopijo tožbe in prilog za toženca, če je kdo prizadet z upravnim aktom pa tudi zanj.
…
Vročiti:
- …
