Skip to content 
Kaj so posebne vrste osebni podatki?
Posebne vrste osebnih podatkov je poznal že ZVOP-1, stari Zakon o varstvu osebni podatkov pod imenom »Občutljivi osebni podatki«. Zakon o varstvu osebnih podatkov (v nadaljevanju ZVOP-2), in Uredba (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (v nadaljevanju GDPR), pa sta prinesla nekaj novosti na tem področju.
Več prispevkov na temo varstva osebnih podatkov, delovnega prava in javnega naročanja, si lahko preberete tukaj.
GDPR v 9. členu posebne vrste osebnih podatkov definira kot osebne podatke:
- ki razkrivajo rasno ali etnično poreklo posameznika,
- ki razkrivajo politično mnenje posameznika,
- ki razkrivajo versko ali filozofsko prepričanje posameznika,
- članstva v sindikatu,
- genetski zapis posameznika in biometrični zapis posameznika za namene edinstvene identifikacije posameznika,
- podatke, povezane z zdravjem posameznika, ali
- podatke, povezane s posameznikovim spolnim življenjem ali spolno usmerjenostjo.
GDPR nadalje določa, da je prepovedana obdelava takšnih podatkov razen v določenih primerih.
Ne glede na navedeno pa GDPR določa izjeme, ko je dovoljeno obdelovati posebne vrste osebnih podatkov, in sicer se lahko posebne vrste osebnih podatkov obdelujejo, če:
- je posameznik, na katerega se nanašajo osebni podatki, dal izrecno privolitev v obdelavo posebnih vrst osebnih podatkov za enega ali več določenih namenov,
- je obdelava potrebna za namene izpolnjevanja obveznosti in izvajanja posebnih pravic upravljavca ali posameznika, na katerega se nanašajo osebni podatki, na področju delovnega prava ter prava socialne varnosti in socialnega varstva, če to dovoljuje pravo Unije ali pravo države članice,
- je obdelava potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali drugega posameznika, kadar posameznik, na katerega se nanašajo osebni podatki, fizično ali pravno ni sposoben dati privolitve,
- obdelavo v okviru svojih zakonitih dejavnosti z ustreznimi zaščitnimi ukrepi izvaja ustanova, združenje ali katero koli drugo neprofitno telo s političnim, filozofskim, verskim ali sindikalnim ciljem in pod pogojem, da se obdelava nanaša samo na člane ali nekdanje člane telesa ali na osebe, ki so v rednem stiku z njim v zvezi z njegovimi nameni, ter da se osebni podatki ne posredujejo zunaj tega telesa brez privolitve posameznikov, na katere se nanašajo osebni podatki,
- je obdelava povezana z osebnimi podatki, ki jih posameznik, na katerega se nanašajo osebni podatki, sam objavi,
- je obdelava potrebna za uveljavljanje, izvajanje ali obrambo pravnih zahtevkov ali kadar koli sodišča izvajajo svojo sodno pristojnost,
- je obdelava potrebna iz razlogov bistvenega javnega interesa na podlagi prava Unije ali prava države članice, ;
- je obdelava potrebna za namene preventivne medicine ali medicine dela, oceno delovne sposobnosti zaposlenega, zdravstveno diagnozo, zagotovitev zdravstvene ali socialne oskrbe ali zdravljenja ali upravljanje sistemov in storitev zdravstvenega ali socialnega varstva,
- je obdelava potrebna iz razlogov javnega interesa na področju javnega zdravja, kot je zaščita pred resnimi čezmejnimi tveganji za zdravje ali zagotovitev visokih standardov kakovosti in varnosti zdravstvenega varstva ter zdravil ali medicinskih pripomočkov,
- je obdelava potrebna za namene arhiviranja v javnem interesu, za znanstveno ali zgodovinskoraziskovalne namene ali statistične namene v skladu s pravom Unije ali prava države članice.
GDPR prepoveduje obdelavo posebnih vrst osebnih podatkov razen v izjemnih primerih, kot jih navaja v drugem odstavku 9. člena. GDPR dovoljuje obdelavo posebnih vrst osebnih podatkov v primeru, ko je posameznik dal IZRECNO privolitev, delodajalcem, raznim sindikalnim združenjem, državi za name izvajanje socialne politike, name arhiviranja, za znanstveni ali zgodovinski in statistični namen, sodstva ali javnega zdravja.
Med posebne vrste osebnih podatkov bi lahko šteli tudi osebne podatke v zvezi s kazenskimi obsodbami in prekrški. V Republiki Sloveniji je bil v ta namen sprejet Zakon o varstvu osebnih podatkov na področju obravnavanja kaznivih dejanj.
GDPR državam članicam omogoča, da ohranijo ali uvedejo dodatne pogoje, tudi omejitve, glede obdelave genetskih, biometričnih ali podatkov v zvezi z zdravjem.
Za vas opravimo pregled skladnosti poslovanja z GDPR in ZVOP-2, izdelamo vse potrebne dokumente, nudimo pravno svetovanje s področja varstva osebnih podatkov in še več
GDPR prav tako določa, da je v primerih obdelave posebnih vrst osebnih podatkov, treba v celoti upoštevati določila v zvezi z vodenjem Evidenc dejavnosti obdelave osebnih podatkov.
GDPR nadalje določa, da je treba Oceno učinka v zvezi z varstvom podatkov izvesti v primerih, ko se predvidevajo obsežne obdelave posebnih vrst podatkov iz prvega odstavka 9. člena GDPR ali osebnih podatkov v zvezi s kazenskimi obsodbami in prekrški iz 10. člena GDPR.
Pooblaščeno osebno za varstvo podatkov je skladno s 37. členom GDPR, potrebno imenovati vedno, ko temeljne dejavnosti upravljavca ali obdelovalca zajemajo obsežno obdelavo posebnih vrst podatkov v skladu z 9. členom GDPR in osebnih podatkov v zvezi s kazenskimi obsodbami in prekrški iz 10. člena GDPR.
Že same uvodne določbe GDPR napeljujejo na dejstvo, da lahko razkritje posebnih vrst osebnih podatkov negativno vpliva na posameznika oziroma lahko resno ogrozi njihov ugled, ali pa celo omeji možnost zaposlitve.
Ravno iz tega je GDPR posebne vrste osebnih podatkov posebej uredil in tudi od upravljavcev takšnih podatkov zahteva višjo stopnjo varnosti, med drugim vodenje evidenc dejavnosti obdelave, izdelavo ocene učinkov v zvezi z obdelavo osebnih podatkov in obvezno imenovanje pooblaščene osebe za varstvo podatkov.
Pravno svetovanje
Kako posebne vrste osebnih podatkov ureja ZVOP-2
ZVOP-2 določa, da morajo upravljavci po ZVOP-2 voditi dnevnike obdelave, kadar se v avtomatiziranih sistemih obdelave osebnih podatkov izvajajo obsežne obdelave posebnih vrst osebnih podatkov, o naslednjih dejanjih obdelave osebnih podatkov:
- zbiranje,
- spreminjanje,
- vpogled,
- razkritje, vključno s prenosi,
- izbris,
- druga dejanja obdelave, ki jih določa zakon.
ZVOP-2 nadalje določa, da mora dnevnik obdelave, za dejanja obdelave vsebovati:
- vrsto dejanja obdelave,
- datum in čas obdelave,
- identifikacijo osebe, ki je izvedla dejanje obdelave, ter identifikacijo uporabnikov osebnih podatkov, da je mogoče naknadno ugotoviti točno identiteto teh oseb.
Vsebina dnevnika obdelave se hrani dve leti od zaključka koledarskega leta, v katerem so bila zabeležena dejanja obdelave, če drug zakon ne določa drugače.
ZVOP-2 nadalje določa, da se za informacijske sisteme, v katerih:
- upravljavec ali obdelovalec kot svojo temeljno dejavnost izvaja obsežne obdelave posebnih vrst osebnih podatkov, ali
- se obdelujejo posebne vrste osebnih podatkov več kot 10.000 posameznikov,
smiselno uporabljajo določbe o varnostnih zahtevah in priglasitvi incidentov iz zakona, ki ureja informacijsko varnost, ki se nanašajo na izvajalce bistvenih storitev, če upravljavec glede teh obdelav ni dolžan izvajati ukrepov po zakonu, ki ureja informacijsko varnost.
ZVOP-2 je upravljavcem naložil večjo varnost informacijskega sistema v primerih, ko obdelujejo posebne vrste osebnih podatkov. Upravljavec je dolžan upoštevati določbe Zakona o informacijski varnosti v delu, ki govori o poročanju varnostnih incidentov. Nadalje je ZVOP-2 upravljavcu in obdelovalcu osebnih podatkov naložil vodenje dnevnikov obdelav osebnih podatkov v primeru, ko se osebni podatki hranijo v informacijskem sistemu.
Na portalu vam nudimo tudi storitev pooblaščene osebe za varstvo osebnih podatkov – DPO. V vašem imenu bomo sodelovali z nadzornim organom in prevzemali vprašanja posameznikov in vam pomagali pri oblikovanju odgovorov ter pravno svetovali
Varstvo osebnih podatkov z uporabo biometrije in genskih podatkov
ZVOP-2 je v 4. poglavju posebej uredil varstvo osebnih podatkov z uporabo biometrije in genskih podatkov. Že GDPR je med posebne vrste osebnih podatkov uvrstil tudi biometrične podatke in genetske podatke.
ZVOP-2 v 81. členu določa, da je genske podatke posameznika dopustno obdelovati, kadar to določa drug zakon, za namene:
- zagotavljanja zdravstvenega varstva ali
- za izvajanje pogodbe, kadar je pogodba sklenjena izključno zaradi obdelave genskih podatkov v korist pogodbene stranke, ki je posameznik.
ZVOP tudi izrecno prepoveduje:
- povezovanje zbirk biometričnih osebnih podatkov z drugimi zbirkami in omogočati prenosljivost teh podatkov v skladu z 20. členom GDPR, razen če to določa drug zakon ali v to privoli posameznik, na katerega se biometrični osebni podatki nanašajo in
- da upravljavec ali obdelovalec osebnih podatkov v okviru trženja ali podobne druge poslovne dejavnosti zahteva, pridobi ali nadalje obdeluje biometrične osebne podatke v zameno za določene storitve, četudi so te storitve za posameznika, na katerega se nanašajo osebni podatki, brezplačne.
ZVOP-2 določa, da je prepovedano obdelava osebnih podatkov z biometrijo in obdelava genskih podatkov, ki je v nasprotju s 4. poglavjem ZVOP-2.
Obdelava osebnih podatkov z uporabo biometrije in genskih osebnih podatkov je dopustna samo, če jo ureja drug zakon, drug zakon pa lahko pogoje uporabe biometrije in obdelavo genskih osebnih podatkov, uredi tudi strožje.
ZVOP-2 je izrecno prepovedal uporabo biometrije in obdelavo genskih osebnih podatkov za namen trženja, izrecno pa je tudi prepovedal povezovanje zbirk osebnih podatkov in prenos osebnih podatkov k drugemu upravljavcu.
Ureditev za javni sektor
Obdelava biometričnih osebnih podatkov v javnem sektorju se lahko določi le z zakonom, če je to nujno potrebno za:
- varnost ljudi,
- varnost premoženja,
- varovanje tajnih podatkov,
- identifikacijo pogrešanih ali umrlih posameznikov ali
- za varovanje poslovnih skrivnosti,
- teh namenov pa ni mogoče doseči z milejšimi sredstvi.
Obdelava biometričnih osebnih podatkov v javnem sektorju se lahko določi z zakonom tudi za namen identifikacije posameznikov pri izdaji sredstev elektronske identifikacije v skladu z zakonom, ki ureja sredstva elektronske identifikacije, in če je tako identifikacijo posameznik zahteval.
Obdelavo biometričnih osebnih podatkov v javnem sektorju je izjemoma dopustno izvajati tudi pod pogojem, da so dejanja obdelave teh podatkov potrjena v skladu s pristojnostmi nadzornega organa za potrjevanje iz 52. člena ZVOP-2 na način, ki zagotavlja obdelavo in uporabo teh podatkov posameznika pod njegovim izključnim nadzorom ali izključno oblastjo ter mu omogoča, da izrecno dovoli obdelavo teh podatkov drugim obdelovalcem in upravljavcem za namen dokazovanja točnosti svoje identitete.
V javnem sektorju se lahko z drugim zakonom izjemoma uvede obdelava biometričnih osebnih podatkov v zvezi z vstopom v stavbo ali dele stavbe, ki se izvedejo na način, da:
- se pred začetkom obdelave biometričnih osebnih podatkov pisno obvesti posameznike, če gre za zaposlene javne uslužbence, pa mora upravljavec z zaposlenimi izvesti predhodno posvetovanje o sorazmernosti obdelave,
- upravljavec v javnem sektorju, ki namerava obdelovati biometrične osebne podatke, pred začetkom obdelave posreduje nadzornemu organu opis nameravanih obdelav in razloge za njihovo uvedbo,
- nadzorni organ po prejemu posredovanih informacij iz prejšnjega odstavka v dveh mesecih odloči, ali je biometrija v skladu s tem zakonom dovoljena. Rok se ob upoštevanju zapletenosti predvidene obdelave lahko podaljša za največ dva meseca,
in če je to nujno potrebno za varnost ljudi, varnost premoženja, varovanje tajnih podatkov ali poslovnih skrivnosti.
ZVOP-2 uporabo biometrije v javnem sektorju močno omejuje, dovoljuje jo predvsem z vidika varnosti ljudi, premoženja in varovanja tajnih podatkov in identifikacije pogrešanih in umrlih posameznikov in seveda pod pogoje, da je le-ta določena v zakonu.
Pod izjemnimi pogoji ZVOP-2 dovoljuje tudi uporabo biometrije s privolitvijo posameznika, predvsem za pridobitev identifikacijske kartice ter za dostop in omejeno gibanje v določenih delih stavbe. Za kar je treba pridobiti potrditev nadzornega organa, v primeru uporabe biometrije za dostop do prostorov pa tudi odločba nadzornega organa.
Za vas opravimo pregled skladnosti poslovanja z GDPR in ZVOP-2, izdelamo vse potrebne dokumente, nudimo pravno svetovanje s področja varstva osebnih podatkov in še več
Ureditev za zasebni sektor
ZVOP-2 v 83. členu določa, da se lahko obdelava biometričnih osebnih podatkov v zasebnem sektorju izvaja le v skladu z določbami ZVOP-2, če je to nujno potrebno:
- za opravljanje dejavnosti,
- za varnost ljudi,
- za varnost premoženja,
- za varovanje tajnih podatkov ali poslovnih skrivnosti.
Dejanja obdelave biometričnih osebnih podatkov morajo biti potrjena v skladu z 52. členom ZVOP-2 s strani nadzornega organa.
ZVOP-2 nadalje določa, da oseba zasebnega sektorja lahko obdeluje biometrične osebne podatke zaradi varstva točnosti identitete svojih strank. Taka obdelava je dopustna, če to za namene varovanja zgoraj navedenih interesov:
- določa drug zakon,
- posebej določa pogodba ali
- so stranke dale izrecno privolitev.
Kadar se biometrični osebni podatki obdelujejo na podlagi pogodbe s potrošnikom, mora upravljavec posamezniku, na katerega se nanašajo osebni podatki, omogočiti tudi način identifikacije brez obdelave biometričnih osebnih podatkov.
Pred začetkom obdelave biometričnih osebnih podatkov morajo biti posamezniki o tem pisno obveščeni, kadar gre za zaposlene, pa mora upravljavec z zaposlenimi izvesti predhodno posvetovanje o sorazmernosti obdelave.
Oseba zasebnega sektorja, ki namerava obdelovati biometrične osebne podatke, pred začetkom obdelave posreduje nadzornemu organu:
- opis nameravanih obdelav in
- razloge za njihovo uvedbo.
Nadzorni organ po prejemu posredovanih informacij v dveh mesecih odloči, ali je biometrija v skladu s tem zakonom dovoljena. Rok se ob upoštevanju zapletenosti predvidene obdelave lahko podaljša za največ dva meseca.
Oseba zasebnega sektorja lahko začne izvajati biometrične ukrepe po prejemu odločbe, s katero je izvajanje biometričnih ukrepov dovoljeno.
Zoper odločbo nadzornega organa iz šestega odstavka tega člena ni pritožbe, dovoljen pa je upravni spor.
ZVOP-2 določa, da lahko biometrične osebne podatke oseba zasebnega sektorja obdeluje zaradi izvajanj svoje dejavnosti, zaradi zagotavljanja varnosti ljudi in premoženja in zaradi varovanja tajnih podatkov in poslovne skrivnosti. Vsa dejanja biometričnih osebnih podatkov morajo biti potrjena pri nadzornem organu. Lahko pa biometrične podatke za name identificiranja stranke, obdelujejo osebne zasebnega sektorja, če to določa zakon, pogodba ali če v to stranka privoli.
Mora pa oseba zasebnega sektorja pred uvedbo obdelave osebnih podatkov z biometrijo posameznike o tem pisno obvestiti, v primeru zaposlenih delavcev, pa morajo opraviti tudi pogovor glede sorazmernosti ukrepa.
Osebe zasebnega prava nadzornemu organu pred začetkom izvajanja ukrepov biometrije posredovati opis nameravanih obdelav in razloge, zakaj bo to uvedel, nadzorni organ mu v roku dveh mesecev, ki se lahko izjemoma podaljša še za dva meseca, izda odločbo, s katero mu obdelavo dovoli ali zavrne.
Zoper odločbo nadzornega organa ni dovoljena pritožba, dovoljen pa je upravni spor. Po prejemu odločbe nadzornega organa, s katero dovoli uporabo biometrije, se lahko začnejo izvajati ukrepi biometrije.
Če potrebujete odzivnega in sposobnega pooblaščenca za varstvo podatkov – DPO, nas kontaktirajte