Kaj morajo sobodajalci vedeti ob uporabi aplikacije eTurizem? - Upravljavec.si

»Ali sobodajalce zavezuje Splošna uredba (GDPR), saj slednji vsakega gosta vpišejo v AJPES oz. v sistem eTurizem. Podatki se za ta namen prepišejo iz osebnega dokumenta, vendar jih sobodajalci ne hranijo, kopirajo ali drugače obdelujejo.«

»Obdelava« osebnih podatkov pomeni vsako dejanje ali niz dejanj, ki se izvaja v zvezi z osebnimi podatki ali nizi osebnih podatkov z avtomatiziranimi sredstvi ali brez njih, kot je zbiranje, beleženje, urejanje, strukturiranje, shranjevanje, prilagajanje ali spreminjanje, priklic, vpogled, uporaba, razkritje s posredovanjem, razširjanje ali drugačno omogočanje dostopa, prilagajanje ali kombiniranje, omejevanje, izbris ali uničenje (drugi odstavek 4. člena Splošne uredbe, podobno tretji odstavek 6. člena ZVOP-1). »Upravljavec« pomeni fizično ali pravno osebo, javni organ, agencijo ali drugo telo, ki samo ali skupaj z drugimi določa namene in sredstva obdelave; kadar namene in sredstva obdelave določa pravo Unije ali pravo države članice, se lahko upravljavec ali posebna merila za njegovo imenovanje določijo s pravom Unije ali pravom države članice (sedmi odstavek 4. člena Splošne uredbe). »Obdelovalec« pa pomeni fizično ali pravno osebo, javni organ, agencijo ali drugo telo, ki obdeluje osebne podatke v imenu upravljavca (osmi odstavek 4. člena Splošne uredbe). »Skupni upravljavci« pomenijo dva ali več upravljavcev, ki skupaj določijo namene in načine obdelave, so skupni upravljavci.

Tudi v primeru, da se osebne podatke zbere le z namenom, da se jih nato vpiše v sistem eTurizem, to že predstavlja obdelavo osebnih podatkov in Splošna uredba nedvomno velja. Sobodajalec je v konkretnem primeru upravljavec teh osebnih podatkov z zahtevami, v okviru in z omejitvami, ki jih Splošna uredba sama predvideva. Več o dolžnostih upravljavcev osebnih podatkov si lahko preberete na prvi strani: https://upravljavec.si/.

Za zakonito zbiranje osebnih podatkov gostov s strani sobodajalca je potrebno zagotoviti ustrezno pravno podlago. Obdelava osebnih podatkov je namreč zakonita le in kolikor je izpolnjen vsaj eden od naslednjih pogojev po prvem odstavku člena 6 Splošne uredbe:

  1. posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo njegovih osebnih podatkov za enega ali več določenih namenov,
  2. obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe
  3. obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca,
  4. obdelava je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe,
  5. obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu;
  6. obdelava je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok.

Za zakonitost obdelave je dovolj, da je izpolnjena zgolj ena od samostojnih pravnih podlag, ki jih določa člen 6 Splošne uredbe. To pomeni, da če pravno podlago za obdelavo teh osebnih podatkov določa zakon, upravljavec privolitev za obdelavo teh podatkov ni dolžan pridobivati. Vsebina podatkov iz knjige gostov, ki jih gostitelji poročajo prek spletnega portala AJPES, je opredeljena v  Zakonu o prijavi prebivališča (v nadaljevanju ZPPreb-1), način posredovanja podatkov pa v Pravilniku o prijavi in odjavi gostov. Obveznost  posredovanja podatkov v situaciji lahko izhaja iz 40. člena ZPPreb-1, kar v skladu s točko c prvega odstavka člena 6 Splošne uredbe predstavlja pravno podlago za obdelavo osebnih podatkov.