Informacijski pooblaščenec Republika Slovenija
   
dekorativna slika

Pogojevanje prenosa podatkov v EU z registracijo v aplikaciji

+ -
Datum: 08.07.2022
Številka: 07121-1/2022/764
Kategorije: Informiranje posameznika, Pravne podlage, Telekomunikacije in pošta

Informacijski pooblaščenec (v nadaljevanju IP) je prejel vaše zaprosilo za mnenje, v katerem pojasnjujete, da imate mobilni paket pri določenem mobilnem operaterju, ki vključuje tudi prenos podatkov v EU. V kolikor želite koristiti prenos podatkov v EU, se morate registrirati v aplikacijo. Zanima vas, ali je to zakonito. 

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju na podlagi 58. člena Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba), 7. točke prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07, uradno prečiščeno besedilo, v nadaljevanju ZVOP-1) ter 2. člena Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem. 

 

Za vsako obdelavo osebnih podatkov mora upravljavec osebnih podatkov zagotoviti ustrezno pravno podlago. To pomeni, da mora mobilni operater zagotoviti ustrezno pravno podlago tudi za obdelavo osebnih podatkov, ki naj jih uporabnik  poda v okviru konkretne registracije. V kolikor bi upravljavec obdeloval podatke na podlagi privolitve posameznika, je pomembno, da je le-ta prostovoljna, kar pomeni, da ima posameznik resnično izbiro, ni pa dovoljeno pogojevati privolitve z izvajanjem pogodbe, kadar obdelava osebnih podatkov ni nujno potrebna za izvedbo pogodbenih obveznosti. Ob tem pa je upravljavec dolžan upoštevati načelo najmanjšega obsega podatkov in obdelovati le tiste podatke, ki so relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo.

 

IP pa izven postopka inšpekcijskega nadzora oziroma drugega upravnega postopka zakonitosti konkretnih obdelav osebnih podatkov ne more presojati.

 

Kot posameznik imate po Splošni uredbi pravico do informiranosti v zvezi z obdelavo vaših podatkov in pravico do seznanitve z lastnimi osebnimi podatki.

 

O b r a z l o ž i t e v:

IP uvodoma poudarja, da izven postopka inšpekcijskega nadzora oziroma drugega upravnega postopka konkretnih obdelav osebnih podatkov ne more presojati. V okviru nezavezujočega mnenja vam lahko podamo zgolj splošna pojasnila in priporočila.

Za vsako obdelavo osebnih podatkov mora upravljavec osebnih podatkov (v danem primeru je to mobilni operater) zagotoviti ustrezno pravno podlago. Pravne podlage so določene v členu 6(1) Splošne uredbe in so sledeče:

  • privolitev (točka (a)),
  • sklenitev ali izvajanje pogodbe (točka (b)),
  • zakon (točka (c)),
  • zaščita življenjskih interesov posameznika (točka (d)),
  • izvajanje javne naloge (točka (e) v zvezi s četrtim odstavkom 9. člena ZVOP-1),
  • zakoniti interesi upravljavca, ki ne prevladajo nad interesi in pravicami posameznika (točka (f)).

V praksi to pomeni, da mora mobilni operater, v kolikor želi zakonito obdelovati osebne podatke (npr. podatke za namen registracije), zagotoviti eno izmed zgoraj navedenih pravnih podlag. V zvezi s pravno podlago privolitve IP pojasnjuje, da mora le-ta biti prostovoljna, kar pomeni, da ima posameznik resnično izbiro in nadzor nad svojimi osebnimi podatki ter da ne čuti prisile ali negativnih posledic, če privolitve ne poda. Poleg tega ni dovoljeno pogojevanje privolitve z izvajanjem pogodbe, kadar obdelava osebnih podatkov ni nujno potrebna za izvedbo pogodbenih obveznosti.

Pri tem je pomembno, da upravljavec spoštuje temeljno načelo varstva osebnih podatkov – načelo najmanjšega obsega podatkov. V skladu z navedenim načelom morajo biti osebni podatki ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo. To pomeni, da lahko upravljavec obdeluje le tiste podatke, ki so potrebni za konkretne namene obdelave, v nasprotnem primeru je obdelava podatkov nesorazmerna in lahko predstavlja kršitev določb Splošne uredbe. Kakor je že uvodoma pojasnjeno, se IP ne more konkretno opredeliti glede zakonitosti obdelave podatkov v danem primeru, temveč lahko to stori šele v postopku inšpekcijskega nadzora. 

Pomembno je opozoriti na dolžnost upravljavca podatkov, da posamezniku pred samo obdelavo podatkov zagotovi določene informacije v zvezi z obdelavo. Tako določa člen 13 Splošne uredbe, skladno s katerim mora upravljavec posameznika med drugim informirati o namenih, za katere se osebni podatki obdelujejo, in tudi o pravni podlagi za njihovo obdelavo. Več informacij o pravici do informiranosti lahko pridobite na naši strani: https://tiodlocas.si/moram-biti-obvescen/. Poleg tega lahko posameznik uveljavlja svojo pravico do seznanitve z lastnimi osebnimi podatki, v okviru katere lahko v skladu s členom 15 Splošne uredbe zahteva svoje podatke in določene informacije v zvezi s konkretno obdelavo podatkov, med drugim tudi glede namenov obdelave podatkov. Več o pravici do seznanitve in kako jo uveljavljate si lahko preberete na spletni strani: https://tiodlocas.si/zelim-vedeti-kaj-pocnejo-z-mojimi-podatki/.

IP tudi ugotavlja, da bi v danem primeru morda lahko šlo za vprašanje nepoštenih poslovnih praks v razmerju do potrošnika. To področje je v pristojnosti Tržnega inšpektorata.

V upanju, da ste dobili odgovor na svoje vprašanje, vas lepo pozdravljamo.

 

Mojca Prelesnik, univ. dipl. prav.

informacijska pooblaščenka

 

Pripravila:                                                                                                                                

Neja Domnik, mag. prav.,

asistentka svetovalca pri IP