Obdelava OP s strani Rekono d.o.o.

Informacijski pooblaščenec (v nadaljevanju: IP) je dne 5. 5. 2021 prejel vaše elektronsko sporočilo, v katerem navajate, da ste zaskrbljeni zaradi rekono prijav, ki se jih zdaj poslužujejo banke, zavarovalnice in skoraj vsi ostali, in sicer gredo vaši osebni podatki preko zunanje družbe, ki je navaden d.o.o., pri čemer Rekono od vas zahteva poleg naslova elektronske pošte tudi telefonsko številko; če številke ne date, ne morete več uporabljati storitev bank, zavarovalnic in podobnih, pri prijavi v svojo banko pa tudi davčno številko in naslov bivanja. Menite, da Rekono d.o.o. obdeluje nesorazmerno veliko podatkov za to, da se lahko prijavite v banko in plačate račune, pri čemer banka že ima vse vaše podatke. Če torej želite uporabljati storitve banke, zavarovalnice ipd. še naprej, morate razgaliti osebne podatke neznani družbi, ki deluje od leta 2019 in ima po podatkih, dostopnih na bizi.si, le enega zaposlenega. Obenem morate deliti osebne podatke na telefonu, ki jih ne želite, saj že uporabljate sigen-ca certifikat. Zanima vas mnenje IP, ali imate potrošniki možnost izbire, na kakšen način se boste prijavljali v storitve raznih ponudnikov, in ali družba Rekono obdeluje preveč osebnih podatkov.

Uvodoma pojasnjujemo, da se IP izven inšpekcijskega ali drugega upravnega postopka ne more in ne sme dokončno opredeljevati do zakonitosti obdelav osebnih podatkov. Zato vam na podlagi informacij, ki ste nam jih posredovali, v nadaljevanju v skladu z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1 in 177/20, v nadaljevanju: ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A, v nadaljevanju: ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.

Če družba Rekono d.o.o. od vas pridobiva osebne podatke, ima vlogo upravljavca osebnih podatkov in je zavezana upoštevati določbe Splošne uredbe, in sicer mora v prvi vrsti vse vaše osebne podatke pridobivati in nadalje obdelovati na eni od zakonitih pravnih podlag v skladu s prvim odstavkom 6. člena Splošne uredbe, pri določanju vsebine in obsega pridobivanja osebnih podatkov pa slediti osnovnim načelom obdelave osebnih podatkov iz prvega odstavka 5. člena Splošne uredbe, kar med drugim pomeni, da vas mora ob pridobivanju osebnih podatkov jasno in nedvoumno seznaniti z vsemi potrebnimi informacijami iz 13. člena Splošne uredbe. Če bi družba Rekono d.o.o. od vas zahtevala osebne podatke, ki jih za zagotavljanje storitev ne potrebuje, bi bilo to nesorazmerno, kakršnakoli obdelava takih podatkov pa nezakonita.

Obrazložitev:

V skladu s pojmovanjem Splošne uredbe predstavlja »obdelavo osebnih podatkov« vsako dejanje ali niz dejanj, ki se izvaja v zvezi z osebnimi podatki ali nizi osebnih podatkov z avtomatiziranimi sredstvi ali brez njih, kot je zbiranje, beleženje, urejanje, strukturiranje, shranjevanje, prilagajanje ali spreminjanje, priklic, vpogled, uporaba, razkritje s posredovanjem, razširjanje ali drugačno omogočanje dostopa, prilagajanje ali kombiniranje, omejevanje, izbris ali uničenje (4. člen Splošne uredbe).

Prvi odstavek 5. člena Splošne uredbe[1] nadalje opredeljuje osnovna načela obdelave osebnih podatkov, in sicer določa, da morajo biti osebni podatki obdelani zakonito, pošteno in na pregleden način in zbrani za določene, izrecne in zakonite namene ter se ne smejo nadalje obdelovati na način, ki ni združljiv s temi nameni, da morajo biti ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo, da morajo biti točni in po potrebi posodobljeni, da morajo biti hranjeni v obliki, ki dopušča identifikacijo posameznikov, le toliko časa, kolikor je potrebno za namene, za katere se osebni podatki obdelujejo, in da morajo biti obdelani na način, ki zagotavlja ustrezno varnost osebnih podatkov.

V prvem odstavku 6. člena[2] so določene zakonite pravne podlage za obdelavo osebnih podatkov, in sicer so to privolitev, sklenitev ali izvajanje pogodbe, izvajanje zakonskih zahtev oziroma izvajanje javnih nalog in zakoniti interesi, ki prevladajo nad interesi posameznika; pri čemer je za zakonitost obdelave osebnih podatkov dovolj, da je izpolnjena ena od navedenih pravnih podlag.

Osnovna načela obdelave osebnih podatkov med drugim vzpostavljajo dolžnost upravljavca, da posameznika takrat, ko od njega pridobiva osebne podatke, seznani z določenimi informacijami o obdelavi osebnih podatkov v skladu s 13. členom Splošne uredbe[3], med drugim tudi s pravno podlago za obdelavo osebnih podatkov, pri čemer mora biti upravljavec sposoben pojasniti pravno podlago za vsak zahtevan osebni podatek in se pri tem zavedati, da pridobivanje osebnih podatkov, ki jih ne potrebuje, ni dopustno, saj s tem krši načelo najmanjšega obsega podatkov.

Če družba Rekono d.o.o. od vas pridobiva osebne podatke, ima (ne glede na velikost ali pravno obliko) vlogo upravljavca osebnih podatkov in je zaradi tega zavezana upoštevati vse navedene (in tudi druge) določbe Splošne uredbe in drugih predpisov o varstvu osebnih podatkov (enako kot banka ali zavarovalnica, če obdeluje vaše osebne podatke). To pomeni, da mora v prvi vrsti vse vaše osebne podatke pridobivati in nadalje obdelovati na eni od zakonitih pravnih podlag, pri določanju vsebine in obsega pridobivanja osebnih podatkov slediti osnovnim načelom obdelave osebnih podatkov ter vas ob pridobivanju osebnih podatkov jasno in nedvoumno seznaniti z vsemi potrebnimi informacijami. Če bi družba Rekono d.o.o. od vas zahtevala osebne podatke, ki jih za zagotavljanje storitev ne potrebuje, bi bilo to nesorazmerno, kakršnakoli obdelava takih podatkov (vključno s pridobivanjem in hrambo) pa nezakonita.

Predlagamo vam, da preverite, na kakšni pravni podlagi družba Rekono d.o.o. obdeluje vaše osebne podatke in ali vse podatke, ki jih zahteva, tudi potrebuje za zagotavljanje storitev. Do vseh teh informacij ste upravičeni na podlagi 13. člena Splošne uredbe in jih lahko, še zlasti, če z njimi niste bili seznanjeni takrat, ko je upravljavec od vas osebne podatke pridobil, kadarkoli zahtevate. Če družba Rekono d.o.o. vaših osebnih podatkov ne obdeluje na zakoniti pravni podlagi, če zbira podatke, ki jih za zagotavljanje storitev ne potrebuje, ali če vam ob pridobivanju vaših osebnih podatkov ne nudi ustreznih informacij v zvezi z njihovo obdelavo, to predstavlja kršitev Splošne uredbe in lahko pri IP podate prijavo.

V zvezi z vašim vprašanjem, ali imate potrošniki možnost izbire, na kakšen način se boste prijavljali v storitve raznih ponudnikov, bi se po mnenju IP morali obrniti na svojo banko in pridobiti informacije o morebitnih drugih možnostih. Kolikor je IP znano, so banke pri zagotavljanju storitev spletnih plačil od 1. 1. 2021 vezane na novo področno zakonodajo, ki določa višje standarde zagotavljanja varnosti spletnih plačil, zlasti pri ugotavljanju istovetnosti posameznikov, kar nedvomno predstavlja razlog za pridobivanje večjega obsega osebnih podatkov od posameznikov – tako s strani bank kot s strani drugih subjektov, ki pri zagotavljanju teh storitev sodelujejo – pri čemer so eni in drugi zavezani k upoštevanju predpisov o varstvu osebnih podatkov. Če menite, da vas banka s tem načinom omejuje ali onemogoča pri izvajanju pravic v skladu s potrošniško zakonodajo, pa vam predlagamo, da se obrnete na Tržni inšpektorat.

S spoštovanjem,

Pripravila:                                                                                           

Mojca Leitinger Okršlar,

državna nadzornica za varstvo osebnih podatkov

Mojca Prelesnik, univ. dipl. prav.,

informacijska pooblaščenka