Spor je začel stanovalec večstanovanjske stavbe, ki se ni strinjal z namestitvijo videonadzornega sistema vhoda in nekaterih skupnih prostorov stavbe. Stanovalci so pred namestitvijo videonadzora že namestili domofon in dostop v stavbo le z uporabo magnetne kartice, vendar so se še naprej pojavljale tatvine, vlomi in vandalizem. Sodišče EU je v obrazložitvi podalo dva jasna odgovora, ki bosta v veliko pomoč:

1. upravljavcem pri uporabi zakonitega interesa kot pravnega temelja (točke (f) člena 6(1) GDPR) in

2. pripravljavcu slovenskega ZVOP-2 pri spoštovanju prirejenosti pravnih temeljev in pri zadržanosti prenormiranja nekaterih področij.

Test zakonitega interesa (LIA)

Spomnimo, da uporaba točke (f) člena 6(1) GDPR zahteva, da so kumulativno izpolnjeni trije pogoji:

– da se z obdelavo zasleduje legitimen (zakonit) interes upravljavca ali tretjih oseb in

– da je obdelava potrebna za uresničitev tega interesa in

– da ne prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se podatki nanašajo.

Sodišče se je tokrat prvič izreklo, da mora biti zakonit interes na datum, ko se podatki obdelujejo, “obstoječ in dejanski, ne pa hipotetičen. Vendar v okviru presoje vseh okoliščin obravnavanega primera ni mogoče zahtevati, da so premoženje in osebe že bili ogroženi”.

V zvezi z izpolnjenostjo pogoja potrebnosti obdelave je sodišče spomnilo na načelo najmanjšega obsega podatkov (v teoriji včasih poimenovanega tudi načelo sorazmernosti obdelave širše) iz točke (c) člena 6(1) Direktive 95/46 (točka (c) člena 5(1) GDPR) in na svoje prejšnje sodbe, v katerih ugotavlja, da morajo biti v splošnem odstopanja in omejitve varstva osebnih podatkov strogo omejeni na tisto, kar je nujno. Ne glede na to, da bo konkretno vsebinsko odločitev moralo sprejeti romunsko (predložitveno) sodišče, pa je bilo sodišče EU tokrat zelo konkretno pri navajanju, kaj vse je treba upoštevati pri presoji potrebnosti videonadzora, vzpostavljenega za namen varstva ljudi in premoženja. Kot ustrezno spoštovanje načela sorazmernosti je navedlo naslednje okoliščine:

– da so bili predhodno sprejeti alternativni (milejši) ukrepi, kot je uvedba domofona in magnetnih    kartic, ki pa niso preprečili tatvin, vlomov in vandalizma,

– da je videonadzor omejen na skupne dele solastnine in na poti, po katerih se do njih dostopi.

Sodišče se je strinjalo s Komisijo, da je treba potrebnost videonadzornega sistema presojati upoštevaje, ali so pravila za njegovo namestitev in delovanje takšna, da čim manj omejijo pravice posameznikov, hkrati pa je vidoenadzor še vedno učinkovit. Preučiti je na primer treba, ali zadostuje, da videonadzor deluje le ponoči ali zunaj običajnega delovnega časa in blokira ali zamegli posnetke, posnete na območjih, na katerih nadzor ni potreben.

Pri presoji izpolnjenosti tretjega pogoja je sodišče kot bistveni element tehtanja v vsakem posameznem primeru opredelilo težo posega v pravice posameznika, pri čemer težo posega opredeljujejo predvsem občutljivost obdelavih podatkov ter narava in konkretne podrobnosti njihove obdelave, “zlasti število oseb, ki imajo dostop do teh podatkov in načine dostopa do njih”. Po našem mnenju je na tej točki treba ustrezno opredeliti tudi elemente zagotavljanja varnosti hranjenih posnetkov (opredeliti postopek in dokumentiranje dostopanja do posnetkov, zagotoviti sledljivost dostopov do posnetkov, preučiti varnost morebitnega brezžičnega prenosa slike, uničenje in podobno). Pomemben element tehtanja so po sodbi sodišča še razumna pričakovanja posameznikov – po našem mnenju je s transparentnostjo upravljavca mogoče v precejšnji meri vplivati na ta faktor presoje. Ob tehtanju pa seveda ne gre pozabiti na to, da so na drugi strani tehtnice lahko bolj ali manj pomembni legitimni interesi upravljavca oziroma tretjih – sama legitimnost interesa (prvi pogoj), namreč ne definira potrebnosti dejavnosti obdelave, s katero se ta legitimen cilj zasleduje (drugi pogoj), in še ničesar ne pove o njegovi pomembnosti v razmerju do interesov (pravic, svoboščin) posameznikov, ki jih zadeva dejavnost obdelave (tretji pogoj).

Vpliv na ZVOP-2

Sodišče je spomnilo, da člen 7 Direktive 95/46 določa izčrpen in taksativen seznam primerov, v katerih je mogoče šteti, da je obdelava osebnih podatkov dopustna in navedlo, da “države članice ne smejo niti dodati novih načel glede zakonitosti obdelave osebnih podatkov iz navedenega člena niti določiti dodatnih zahtev, ki bi spreminjale obseg enega od šestih načel, določenih v tem členu”[1]. To še toliko bolj velja za člen 6(1) Splošne uredbe o varstvu podatkov (GDPR).

Prav tako je sodišče spomnilo, da “člen 7(f) te direktive nasprotuje tudi temu, da država članica kategorično in na splošno izključi možnost za nekatere vrste osebnih podatkov, da se obdelajo, ne da bi omogočila tehtanje zadevnih nasprotujočih si pravic in interesov v posebnem primeru. Država članica tako za te vrste ne sme dokončno določiti izida tehtanja nasprotujočih si pravic in interesov, ne da bi omogočala drugačen izid zaradi posebnih okoliščin konkretnega primera[2].

Upajmo, da bo tokrat predlagatelj le poslušal in z ZVOP-2 ne bo posegal v člen 6(1) GDPR, kar so bile težnje nekaterih predlogov v javni obravnavi.

Sodbo si lahko v celoti preberete na tej povezavi.

[1] V tem smislu že sodba z dne 24. novembra 2011, ASNEF in FECEMD, C‑468/10 in C‑469/10, EU:C:2011:777, točki 30 in 32), na katero je sodšče spomnilo že s sodbo z dne 19. oktobra 2016, Breyer, C‑582/14, EU:C:2016:779, točka 57.

[2] V tem smislu že sodba z dne 24. novembra 2011, ASNEF in FECEMD, C‑468/10 in C‑469/10, EU:C:2011:777, točki 47 in 48), na katero je sodšče spomnilo že s sodbo z dne 19. oktobra 2016, Breyer, C‑582/14, EU:C:2016:779, točka 62.

 

dr.  Nataša Pirc Musar