Obverščanje posameznikov o obdelavi OP

Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaše zaprosilo za mnenje glede obveščanja strank o obdelavi osebnih podatkov na vašem spletnem mestu.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba o varstvu podatkov), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju: ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju: ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.

IP uvodoma poudarja, da lahko podaja nezavezujoča mnenja in pojasnila, ne sme pa izven konkretnih inšpekcijskih postopkov preverjati primernosti izbrane pravne podlage ali namenov oziroma obsega obdelave osebnih podatkov v konkretnem primeru.

Glede obveščanja posameznikov IP pojasnjuje, da so informacije, ki jih je treba zagotoviti posamezniku, na katerega se nanašajo osebni podatki, z vidika varstva osebnih podatkov na splošno urejene v členih 13 in 14 Splošne uredbe o varstvu podatkov. Ta dva člena določata obveznost upravljavca, da posamezniku zagotovi točno določene informacije povezane z obdelavo njegovih osebnih podatkov.

Skladno z določbo 13. člena je dolžan upravljavec v primeru, kadar so bili osebni podatki  pridobljeni od posameznika, na katerega se ti nanašajo, le-temu takrat, ko pridobi osebne podatke, zagotoviti naslednje informacije:

1. identiteto in kontaktne podatke upravljavca in njegovega predstavnika, kadar ta obstaja;
2. kontaktne podatke pooblaščene osebe za varstvo podatkov, kadar ta obstaja;
3. namene, za katere se osebni podatki obdelujejo, kakor tudi pravno podlago za njihovo obdelavo;
4. kadar obdelava temelji na točki (f) člena 6(1), zakonite interese, za uveljavljanje katerih si prizadeva upravljavec ali tretja oseba;
5. uporabnike ali kategorije uporabnikov osebnih podatkov, kadar obstajajo;
6. kadar je ustrezno, informacije o tem, da namerava upravljavec prenesti osebne podatke uporabniku v tretji državi ali mednarodni organizaciji, ter o obstoju ali neobstoju sklepa Komisije o ustreznosti ali v primeru prenosov iz člena 46 ali 47 ali drugega pododstavka člena 49(1) sklic na ustrezne ali primerne zaščitne ukrepe in sredstva za pridobitev njihove kopije ali kje so na voljo;
7. tudi nekatere druge informacije, opredeljene v drugem odstavku istega člena.

Dodatno drugi odstavek 13. člena Splošne uredbe zahteva med drugim tudi zagotovitev informacij o roku hrambe, obstoju pravic posameznika in možnosti pritožbe nadzornemu organu.

Informacije se posamezniku dajo na način, določen v 12. členu Splošne uredbe o varstvu podatkov. Posamezniku je torej treba ob pridobitvi njegovih osebnih podatkov zagotoviti navedene informacije o obdelavi osebnih podatkov. Opisana obveznost informiranja posameznika odpade le izjemoma, in sicer takrat, kadar posameznik, na katerega se nanašajo osebni podatki, že ima informacije.

IP deli mnenje iz vašega zaprosila, da se informacije o obdelavi osebnih podatkov, ki se zagotavljajo ob obisku spletnega mesta (www.gov.si), na katerega je bila prestavljena vsebina vašega dosedanjega spletnega mesta, nanašajo na to konkretno spletno mesto, s katerim upravlja pristojno ministrstvo in na katerem gostujejo tudi drugi organi, med njimi tudi vaš. Ne vsebuje pa to obvestilo informacij o posameznih obdelavah osebnih podatkov s strani vašega organa kot upravljavca osebnih podatkov. IP meni, da bi lahko informacije, ki se zagotovijo posamezniku ob obisku spletnega mesta vašega organa, vsebovale tako informacije o obdelavi, ki veljajo za spletno mesto, na katerem gostujete, kot tudi informacije o obdelavah s strani vašega organa. V vsakem primeru mora obvestilo vsebovati vse sestavine iz 13. člena Splošne uredbe o varstvu podatkov.

Več o obveznostih upravljavcev glede seznanitev posameznikov z informacijami glede obdelave, ki so potrebne za zagotavljanje načela transparentnosti, si lahko preberete v revidiranih smernicah, ki jih je izdala delovna skupina WP 29 in so dostopne na naslednji povezavi:

https://www.ip-rs.si/fileadmin/user_upload/Pdf/mnenja/Mednarodna_mnenja/mnenja_na_eu_ravni/20180413_WP260rev01_Article29WPTransparencyGuidelines.pdf.

IP vam svetuje, da obvestilo oziroma pojasnilo, ki ga dajete posameznikom, preučite v luči navedenih pojasnil.  IP sklepno ponavlja, da v okviru mnenja ne more vnaprej potrjevati posameznih rešitev z vidika skladnosti s Splošno uredbo o varstvu podatkov. To je namreč naloga upravljavca. IP pa lahko o tem dokončno presoja zgolj v okviru inšpekcijskega ali upravnega postopka.

S spoštovanjem.

Pripravil:

Matej Sironič,                                                  

Svetovalec pooblaščenca

za varstvo osebnih podatkov

Informacijski pooblaščenec:

Mojca Prelesnik, univ. dipl. prav.,

pooblaščenka