Informacijski pooblaščenec Republika Slovenija
   
dekorativna slika

Posredovanje osebnih podatkov o kupcih dobavitelju

+ -
Datum: 06.09.2022
Številka: 07121-1/2022/952
Kategorije: Posredovanje OP med upravljavci

Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaš elektronski dopis, v katerem pojasnjujete, da vas kot posrednika za prodajo zanima, ali lahko vaš dobavitelj od vas zahteva podatke o vaših kupcih (ime, priimek, telefonska številka, e-naslov).

 

***

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba o varstvu podatkov), 76. členom Zakona o varstvu osebnih podatkov na področju obravnavanja kaznivih dejanj (Uradni list RS, št. 177/20, v nadaljevanju ZVOPOKD), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju: ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju: ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

 

Uvodoma poudarjamo, da IP izven postopka inšpekcijskega nadzora oziroma drugega upravnega postopka konkretnih obdelav osebnih podatkov ne more in ne sme presojati. V mnenju lahko zato podamo zgolj splošna pojasnila z vidika varstva osebnih podatkov, ne moremo pa presojati ustreznosti konkretnega ravnanja posameznih upravljavcev.
 

1.     Posredovanje osebnih podatkov dobavitelju bi bilo lahko upravičeno le, kadar bi izkazali ustrezno pravno podlago za obdelavo na primer:

-       privolitev kupcev;

-       pogodba s stranko;

-       zakoniti interes za posredovanje osebnih podatkov za zakonit in točno določen namen, kjer interesi ali temeljne pravice ter svoboščine posameznika, na katerega se nanašajo osebni podatki, ne bi prevladali nad interesi vas kot upravljavca za posredovanje v konkretnem primeru.

2.     Poleg zagotovitve ustrezne in zakonite pravne podlage za obdelavo pa morate poskrbeti še za spoštovanje načela najmanjšega obsega podatkov, načela transparentnosti in varnosti obdelave, kot tudi drugih zahtev po Splošni uredbi in ZVOP-1.

3.     Razkritje osebnih podatkov brez ustrezne pravne podlage ter brez zagotavljanja sorazmerne, varne in transparentne obdelave pa bi lahko predstavljalo kršitev določb varstva osebnih podatkov.

 

 

O b r a z l o ž i t e v:

IP na začetku pojasnjuje, da pojem osebni podatek pomeni skladno s členom 4(1) Splošne uredbe katero koli informacijo v zvezi z določenim ali določljivim posameznikom; določljiv posameznik pa je tisti, ki ga je mogoče neposredno ali posredno določiti, zlasti z navedbo identifikatorja, kot je ime, identifikacijska številka, podatki o lokaciji, spletni identifikator, ali z navedbo enega ali več dejavnikov, ki so značilni za fizično, fiziološko, gensko, duševno, gospodarsko, kulturno ali družbeno identiteto tega posameznika. Imena, priimki, telefonske številke, e-naslovi tako nedvomno predstavljajo osebne podatke.

Skladno s členom 4(2) Splošne uredbe pomeni obdelava vsako dejanje ali niz dejanj, ki se izvaja v zvezi z osebnimi podatki ali nizi osebnih podatkov z avtomatiziranimi sredstvi ali brez njih, kot je zbiranje, beleženje, urejanje, strukturiranje, shranjevanje, prilagajanje ali spreminjanje, priklic, vpogled, uporaba, razkritje s posredovanjem, razširjanje ali drugačno omogočanje dostopa, prilagajanje ali kombiniranje, omejevanje, izbris ali uničenje.

Za vsako obdelavo osebnih podatkov pa je treba imeti ustrezno in zakonito pravno podlago. Pravne podlage so določene v členu 6 Splošne uredbe in so sledeče:

-         privolitev (točka (a)),

-         sklenitev ali izvajanje pogodbe (točka (b)),

-         zakon (točka (c)),

-         zaščita življenjskih interesov posameznika (točka (d)),

-         izvajanje javne naloge (točka (e) v zvezi s četrtim odstavkom 9. člena ZVOP-1),

-         zakoniti interesi upravljavca, ki ne prevladajo nad interesi in pravicami posameznika (točka (f)).

IP tako poudarja, da razkritje osebnih podatkov vaših kupcev dobavitelju pomeni obdelavo osebnih podatkov, za katero morate kot upravljavec teh osebnih podatkov imeti ustrezno pravno podlago, kot izhaja iz 6. člena Splošne uredbe. Razkritje osebnih podatkov brez ustrezne pravne podlage pa bi lahko torej predstavljalo kršitev določb Splošne uredbe in ZVOP-1.

V skladu s tretjim odstavkom 22. člena ZVOP-1 mora upravljavec za vsako posredovanje osebnih podatkov, kadar za posredovanje izkaže ustrezno in zakonito pravno podlago, še zagotoviti, da je mogoče pozneje ugotoviti, kateri osebni podatki so bili posredovani, komu, kdaj in na kakšni podlagi, in sicer za obdobje, ko je mogoče zakonsko varstvo pravice posameznika zaradi nedopustnega posredovanja osebnih podatkov. Prav tako je pomembno, da se posameznikom, na katere se osebni podatki nanašajo zagotovijo informacije iz 13. oz. 14. člena Splošne uredbe (v skladu z načelom transparentnosti).

IP pri tem še dodaja, da je upravljavec tudi dolžan zagotoviti varnost obdelave osebnih podatkov. Splošna pravila o zagotavljanju varnosti so določena v 32. členu Splošne uredbe o varstvu podatkov, še vedno pa se uporabljajo tudi določbe 24. in 25. člena ZVOP-1 o zavarovanju osebnih podatkov.

V zvezi s tem pa izpostavljamo še načelo najmanjšega obsega podatkov iz točke (c) prvega odstavka 5. člena Splošne uredbe o varstvu podatkov, ki določa, da morajo biti pod pogojem, da obstaja ustrezna in zakonita pravna podlaga, osebni podatki, ki se obdelujejo, ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo. Navedeno načelo pomeni, da  morate obdelovati samo toliko osebnih podatkov, kolikor je nujno potrebno za dosego zakonitega namena obdelave. V vsakem posameznem primeru je torej treba izkazati, zakaj je za dosego želenega namena obdelave dobavitelju treba posredovati želene osebne podatke.

Na podlagi navedenega IP tako meni, da bi bilo posredovanje osebnih podatkov dobavitelju lahko upravičeno le, kadar bi izkazali ustrezno in zakonito pravno podlago npr. v obliki privolitve posameznikov, pogodbe s stranko ali kadar bi resnično izkazali zakoniti interes za njihovo posredovanje za zakonit in točno določen namen ter interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ne bi prevladali nad interesi vas kot upravljavca za posredovanje v konkretnem primeru. V vseh primerih mora biti obseg podatkov sorazmeren glede na namen obdelave osebnih podatkov (podatki morajo biti ustrezni, relevantni in po obsegu primerni za uresničevanje zakonitega in točno določenega namena glede na posamezno pravno podlago). Poudarjamo, da torej v kolikor bi glede na navedeno presodili, da obstaja pravna podlaga za posredovanje osebnih podatkov dobavitelju, obdelujete (vi in tudi dobavitelj) le tiste posamezne kategorije osebnih podatkov, ki so nujno potrebne za dosego zastavljenega cilja glede na pravno podlago.

IP sklepno poudarja, da v okviru izdaje mnenja ne more odločati o tem, ali so v konkretnem primeru podani pogoji za posredovanje osebnih podatkov, temveč lahko zgolj opozori na relevantno pravno podlago ter pogoje, ki morajo biti izpolnjeni, da je določeno posredovanje podatkov zakonito. Konkretno presojo pa lahko oziroma mora opraviti izključno upravljavec osebnih podatkov, v konkretnem primeru torej vaše podjetje, ki nosi tudi odgovornost za tovrstno opravljeno presojo. IP namreč ne more in ne sme ocenjevati, katere konkretne osebne podatke dobavitelj potrebuje za opravljanje svojih nalog oziroma izpolnitev zakonitega namena obdelave. IP se torej ne more in se niti ne sme postaviti v vlogo odločevalca oz. razsojevalca v posameznih primerih in odločiti o upravičenosti posredovanja podatkov ali celo odrediti/prepovedati določenemu zavezancu posredovanje določenih podatkov.

V upanju, da ste dobili odgovor na vaša vprašanja, vas lepo pozdravljamo.       

 

Pripravil:                                                                                                                                  

Grega Rudolf,

asistent svetovalca pri IP          

 

Mojca Prelesnik, univ. dipl. prav.,

informacijska pooblaščenka