Skladnost s Splošno uredbo

Informacijski pooblaščenec RS (v nadaljevanju IP) je prejel vaše vprašanje glede varstva osebnih podatkov s strani kitajskih podjetij iz Alibabe. Navajate, da prejemate prodajne maile in »newsletter« teh podjetij, brez možnosti odjave in vas zanima, če je to v redu? Dalje vas zanima, glede baz podatkov, ki jih pridobijo sejmi – ali jih sejmi lahko prodajajo naprej komerkoli in pri tem posamezniki nimajo besed? Zanima vas, če smete odkupiti bazo in kontaktirati kupce brez soglasja?

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba o varstvu podatkov), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašimi vprašanji.

IP uvodoma pojasnjuje, da neželeno komunikacijo (t.i. »spam«) po elektronskih komunikacijskih kanalih (elektronska sporočila, SMS-i, klici po elektronskih omrežjih, itd.) v Sloveniji ureja Zakon o elektronskih komunikacijah (Uradni list RS, št. 109/12, 110/13, 40/14 – ZIN-B, 54/14 – odl. US, 81/15 in 40/17; ZEKom-1) v 158. členu. Za nadzor nad izvajanjem tega člena je pristojna Agencija za komunikacijska omrežja in storitve Republike Slovenije (AKOS). V zvezi z neposrednim trženjem pa je IP izdal tudi več mnenj, do katerih lahko dostopate na spletni strani IP: https://www.ip-rs.si/vop/.

Glede obveznosti varstva osebnih podatkov s strani kitajskih podjetij, ki ponujajo storitve ali blago evropskim potrošnikom, IP pojasnjuje, da pravila Splošne uredbe veljajo v nekaterih primerih neposredno tudi za podjetja, ki sicer nimajo sedeža v EU, temveč so njihove dejavnosti obdelave osebnih podatkov bodisi (a) povezane z nudenjem blaga ali storitev takim posameznikom v Uniji, ne glede na to, ali je potrebno plačilo posameznika, na katerega se nanašajo osebni podatki, ali (b) s spremljanjem njihovega vedenja, kolikor to poteka v Uniji (člen 3(2) Splošne uredbe). Če se pravila Splošne uredbe zanje uporabljajo neposredno, potem so skladno s pravom EU ta podjetja dolžna zagotavljati vse ukrepe za varstvo osebnih podatkov, kot jih predpisuje Splošna uredba.

Vaše naslednje vprašanje se nanaša na uporabo baz podatkov, ki jih zbirajo sejmi (IP predpostavlja, da ste s tem imeli v mislih kontaktne podatke razstavljavcev in/ali obiskovalcev, ki jih zbere organizator sejma) – in če je te podatke dopustno prodajati/kupovati za lastne namene, brez soglasja posameznikov? IP glede tega vprašanja pojasnjuje, da mora za vsako dejanje obdelave osebnih podatkov v zvezi z zbirko osebnih podatkov (npr. zbirko kontaktov obiskovalcev sejma), obstajati ustrezna pravna podlaga skladno s členom 6(1) Splošne uredbe (dodatni pogoji so določeni za obdelave posebnih vrst osebnih podatkov, ki so bolj občutljive narave). Posamezna dejanja obdelave osebnih podatkov so na primer: zbiranje osebnih podatkov, uporaba podatkov iz zbirke za pošiljanje e-sporočil, itd. Za vsako tovrstno dejanje mora torej obstajati ustrezna pravna podlaga, pri tem pa privolitev posameznika predstavlja le eno od možnih pravnih podlag in ni vselej potrebna za izvedbo posamezne obdelave osebnih podatkov. O vseh namenih obdelave osebnih podatkov in pravnih podlagah, pa morajo biti posamezniki tudi ustrezno informirani skladno s členoma 13 ali 14 Splošne uredbe. IP je v okviru svojih preventivnih aktivnosti pripravil tudi spletno stran upravljavec.si, namenjeno podjetjem za lažje zagotavljanje skladnosti svojega poslovanja z zakonodajo na področju varstva osebnih podatkov.

Upamo, da smo vam s svojimi pojasnili uspeli pomagati.

Lep pozdrav,

Pripravil:

Anže Novak, univ. dipl. prav.

Svetovalec Pooblaščenca za preventivo

Informacijski pooblaščenec

Mojca Prelesnik, univ. dipl. prav.

informacijska pooblaščenka