Obdelava OP ob registraciji na spletnem portalu
+ -Opozorilo: Mnenje je bilo izdano na podlagi določb Zakona o varstvu osebnih podatkov (ZVOP-1, Uradni list RS, št. 94/07 - uradno prečiščeno besedilo), ki je z dnem 26. 1. 2023 prenehal veljati in ga je nadomestil nov Zakon o varstvu osebnih podatkov (ZVOP-2, Uradni list RS, št. 163/22), zato mnenje ni več nujno aktualno. Mnenja po ZVOP-2 so na voljo tukaj.
Datum: 23.12.2022Številka: 07121-1/2022/1426
Kategorije: Informiranje posameznika, Privolitev, Svetovni splet
Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaše zaprosilo za mnenje glede skladnosti postopka registracije na spletnem portalu s predpisi s področja varstva osebnih podatkov.
Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba o varstvu podatkov), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, 177/20, v nadaljevanju: ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju: ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.
Upravljavec mora pred uvedbo posamezne rešitve (v konkretnem primeru postopka registracije uporabnika) presoditi dopustnost in sorazmernost obdelav osebnih podatkov, ki bodo obdelovani v njenem okviru.
Upravljavec mora presoditi, ali je za registracijo uporabnika nujno potrebna obdelava vseh osebnih podatkov, ki jih zahteva, ter posamezniku ob pridobitvi njegovih osebnih podatkov (ob registraciji) zagotoviti tudi informacije o namenu in pravni podlagi za to obdelavo.
Predhodna informiranost posameznika o obdelavi njegovih podatkov je ključen element zakonite obdelave osebnih podatkov, saj se lahko le na podlagi ustreznih informacij o tem, komu lahko zaupa določene svoje podatke in za kakšen namen, posameznik svobodno odloči, ali bo to storil ali ne.
O b r a z l o ž i t e v:
IP uvodoma poudarja, da lahko podaja nezavezujoča mnenja in pojasnila, ne sme pa izven konkretnih inšpekcijskih postopkov preverjati namenov oziroma obsega obdelave osebnih podatkov v konkretnem primeru. Presojo o ustreznosti lahko izvede le v okviru konkretnega inšpekcijskega ali upravnega postopka. To pomeni, da IP v okviru izdaje mnenja ne more presojati ustreznosti konkretnega postopka registracije s predpisi s področja varstva osebnih podatkov.
IP tako splošno pojasnjuje, da je treba pri vsaki obdelavi osebnih podatkov primarno ugotoviti, na kateri pravni podlagi temelji konkretna obdelava. Splošna uredba o varstvu podatkov v prvem odstavku 6. člena določa različne pravne podlage za zakonito obdelavo osebnih podatkov. Obdelava je tako zakonita le in kolikor je za konkretni namen obdelave in konkretne osebne podatke izpolnjen eden od naslednjih pogojev:
a) posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov;
b) obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe;
c) obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca;
d) obdelava je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe;
e) obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu;
f) obdelava je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok.
Privolitev posameznika iz zgoraj navedene točke a) je torej tudi ena od možnih pravnih podlag za zakonito obdelavo osebnih podatkov, ki navadno pride v poštev v postopkih registracije na posameznih spletnih portalih. Ob tem IP izpostavlja, da je treba, kadar je posameznik privolil v obdelavo njegovih osebnih podatkov v enega ali več namenov, upoštevati podrobnejša določila glede pogojev, po katerih se šteje, da je privolitev veljavna, ki so določeni v 7. členu Splošne uredbe o varstvu podatkov. Privolitev posameznika mora biti prostovoljno podana, konkretna, razumljiva izjava ali drugo nedvoumno pritrdilno dejanje in dokazljiva. Molk, vnaprej označena okenca ali kakršnakoli nedejavnost tako ne pomenijo privolitve. Prostovoljno je privolitev dana, kadar ima posameznik resnično izbiro in nadzor nad svojimi osebnimi podatki. Posameznik ne sme čutiti prisile ali negativnih posledic, če privolitve ne poda. Prav tako ne sme biti postavljen v situacijo, ko privolitve ne more zavrniti ali preklicati brez morebitnih sankcij oz. škodnih posledic.
Posameznik mora torej jasno podati privolitev za zbiranje in obdelavo svojih osebnih podatkov za konkreten namen. Namen mora biti jasno in nedvoumno opredeljen, saj je konkreten, ekspliciten in legitimen namen obdelave predpogoj za pridobitev veljavne privolitve. Upravljavec mora biti zmožen dokazati, da je posameznik privolil v obdelavo svojih osebnih podatkov. Posameznik ima tudi pravico, da svojo privolitev kadarkoli prekliče.
Več informacij o privolitvi lahko najdete lahko najdete tudi na spletni strani IP:
IP nadalje pojasnjuje, da mora upravljavec pred uvedbo posamezne rešitve (v konkretnem primeru postopka registracije uporabnika) presoditi dopustnost in sorazmernost obdelav osebnih podatkov, ki bodo obdelovani v njenem okviru. Vsaka obdelava osebnih podatkov mora potekati transparentno in skladno z določbami Splošne uredbe o varstvu podatkov. Upravljavec je tako dolžan posameznika seznaniti z rešitvijo, načinom njenega delovanja, namenom njene namestitve, nameni, za katere bodo pridobljeni podatki uporabljeni, ter o ostalih pomembnih vidikih obdelave osebnih podatkov, ki so določeni v 13. členu Splošne uredbe o varstvu podatkov. Skladno z navedenim členom je dolžan upravljavec v primeru, kadar so bili osebni podatki pridobljeni od posameznika, na katerega se ti nanašajo, le-temu takrat, ko pridobi osebne podatke, zagotoviti naslednje informacije:
(a) identiteto in kontaktne podatke upravljavca in njegovega predstavnika, kadar ta obstaja;
(b) kontaktne podatke pooblaščene osebe za varstvo podatkov, kadar ta obstaja;
(c) namene, za katere se osebni podatki obdelujejo, kakor tudi pravno podlago za njihovo obdelavo;
(d) kadar obdelava temelji na točki (f) člena 6(1), zakonite interese, za uveljavljanje katerih si prizadeva upravljavec ali tretja oseba;
(e) uporabnike ali kategorije uporabnikov osebnih podatkov, kadar obstajajo;
(f) kadar je ustrezno, informacije o tem, da namerava upravljavec prenesti osebne podatke uporabniku v tretji državi ali mednarodni organizaciji, ter o obstoju ali neobstoju sklepa Komisije o ustreznosti ali v primeru prenosov iz člena 46 ali 47 ali drugega pododstavka člena 49(1) sklic na ustrezne ali primerne zaščitne ukrepe in sredstva za pridobitev njihove kopije ali kje so na voljo;
(g) tudi nekatere druge informacije, opredeljene v drugem odstavku istega člena.
Dodatno drugi odstavek 14. člena Splošne uredbe zahteva med drugim tudi zagotovitev informacij o roku hrambe, obstoju pravic posameznika in možnosti pritožbe nadzornemu organu.
Informacije se posamezniku dajo na način, določen v 12. členu Splošne uredbe o varstvu podatkov. Navedene informacije morajo biti čim bolj jasne, pregledne in uporabnikom razumljive ter lahko dostopne. Predhodna informiranost posameznika o obdelavi njegovih podatkov je ključen element zakonite obdelave osebnih podatkov, saj se lahko le na podlagi ustreznih informacij o tem, komu lahko zaupa določene svoje podatke in za kakšen namen, posameznik svobodno odloči, ali bo to storil ali ne.
Opisana obveznost informiranja posameznika odpade le izjemoma, in sicer takrat, kadar posameznik, na katerega se nanašajo osebni podatki, že ima informacije.
Ob tem IP posebej opozarja na načelo najmanjšega obsega podatkov, ki določa, da morajo biti pod pogojem, da obstaja pravna podlaga, osebni podatki, ki se obdelujejo, ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo. Navedeno načelo pomeni, da je potrebno obdelovati samo toliko osebnih podatkov uporabnikov, kolikor je nujno potrebno za izpolnitev namena v konkretnem primeru (torej registracijo uporabnika).
IP na podlagi navedenega pojasnjuje, da je upravljavec odgovoren za izbiro rešitve in zakonitost ter sorazmernost obdelav osebnih podatkov, ki se izvajajo v okviru njenega delovanja. Upravljavec v okviru opisanih pogojev torej sam odloča o ukrepih, ki so potrebni za nemoteno in učinkovito delovanje storitve, kot tudi o načinu dostopa do podatkov v njenem okviru. V skladu s tem mora tako v konkretnem primeru upravljavec spletnega portala presoditi, ali je za registracijo uporabnika nujno potrebna navedba vseh osebnih podatkov, ki jih zahteva oziroma ki jih navajate v vašem zaprosilu za mnenje (mobilne in PIN številke). Splošno gre sicer vse podatke obdelovati le takrat, ko je to resnično potrebno (ne na zalogo) in po vsebini primerno glede na namene, za katere se zbirajo oziroma nadalje obdelujejo.
Upravljavec osebnih podatkov vam mora torej ob pridobitvi vaših osebnih podatkov (ob registraciji) zagotoviti tudi informacije o namenu in pravni podlagi za to obdelavo, torej tudi za obdelavo mobilne in PIN številke.
IP sklepno ponavlja, da v okviru mnenja ne more dokončno presojati konkretnega ravnanja posameznega upravljavca. Presoja glede zakonitosti obdelave oziroma obstoja pravne podlage za obdelavo posameznih osebnih podatkov in odgovornost zanjo je vedno na upravljavcu osebnih podatkov.
S spoštovanjem.
Pripravil:
Matej Sironič,
Svetovalec pooblaščenca
za varstvo osebnih podatkov
Mojca Prelesnik, univ. dipl. prav.,
Informacijska pooblaščenka