Informacijski pooblaščenec Republika Slovenija
   
dekorativna slika

Prenos baze uporabnikov

+ -
Datum: 04.01.2023
Številka: 07121-1/2022/1464
Kategorije: Informiranje posameznika, Pravne podlage, Svetovni splet

Informacijski pooblaščenec (v nadaljevanju IP) je po e-pošti prejel vaše zaprosilo za mnenje. Navajate, da imate pri storitvi … že dlje časa odprt uporabniški račun. Pri poskusu registracije na spletni strani … ste ugotovili, da vaš uporabniški račun že obstaja tudi pri tej storitvi. Ker tako z … in … upravlja isto podjetje (…) domnevate, da je šlo za avtomatski prenos baze uporabnikov iz ene storitve v drugo. Zanima vas, če je takšen način prenosa osebnih podatkov znotraj podjetja, ki upravlja storitve za dva različna naročnika sploh dovoljen.

***

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju na podlagi 58. člena Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba), 7. točke prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07 – uradno prečiščeno besedilo in 177/20, v nadaljevanju ZVOP-1) ter 2. člena Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.

Glede na podane informacije gre v danem primeru verjetno za istega upravljavca, ki nudi dve podobni storitvi. Upravljavec mora za vsako obdelavo osebnih podatkov zagotoviti ustrezno pravno podlago, npr. privolitev posameznika ali pa je obdelava osebnih podatkov zakonita, ker je potrebna zaradi izvajanja pogodbe. Predlagamo vam, da preverite dokumentacijo, ki ste jo prejeli, oz. z njo soglašali pri registraciji. Upravljavec bi vam moral, še preden je prejel vaše osebne podatke, podati tudi informacije o obdelavi osebnih podatkov, npr. o namenih obdelave.

Obdelava podatkov bi se lahko za druge namene kot ob prvotni obdelavi, načeloma zakonito vršila še naprej pod pogoji iz četrtega odstavka 6. člena Splošne uredbe. Upravljavec upošteva določene kriterije, da bi presodil združljivost namenov (npr. povezavo med nameni, okoliščine, v katerih so bili osebni podatki zbrani, itd.).

Uveljavljate lahko pravico dostopa posameznika, v okviru katere lahko med drugim prejmete informacije o obdelavi osebnih podatkov (nameni obdelave, vrste osebnih podatkov, ki se obdelujejo). V zvezi z zakonitostjo obdelave osebnih podatkov oziroma njihove uporabe za združljive namene bi lahko IP presojal zgolj v inšpekcijskem postopku.

O b r a z l o ž i t e v:

Pri tem IP uvodoma poudarja, da izven postopka inšpekcijskega nadzora oziroma drugega upravnega postopka konkretnih obdelav osebnih podatkov ne more presojati.  

Pojasnjujemo, da mora za zakonito obdelavo osebnih podatkov obstajati pravna podlaga skladno s prvim odstavkom 6. člena Splošne uredbe, npr.:

(a) posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov;

(b) obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe;

(c) obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca;

(d) obdelava je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe;

(e) obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu;

(f) obdelava je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok.

Ob tem opozarjamo, da se točka (f) ne uporablja za obdelavo s strani javnih organov pri opravljanju njihovih nalog.

Iz vašega opisa, kakor tudi s pregledom spletnih strani … sklepamo, da gre dejansko za enega upravljavca, ki nudi dve podobni storitvi ... Za zbiranje oz. nadaljnjo obdelavo osebnih podatkov je moral upravljavec zagotoviti primerno pravno podlago, npr. privolitev posameznika ali pa je bila obdelava potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki. Poudarjamo, da bi lahko IP konkretno o pravnih podlagah oz. o morebitnih razmerjih z drugimi deležniki v smislu obdelovalcev ali skupnih upravljavcev, presojal zgolj v inšpekcijskem postopku.

V zvezi s privolitvijo nadalje pojasnjujemo, da mora biti privolitev vedno prostovoljna, specifična, informirana ter nedvoumna in da se lahko kadarkoli prekliče. Upravljavec mora natančno opredeliti, kakšen je namen podane privolitve, na kakšen način bodo prejeti podatki obdelani in kdo bodo prejemniki osebnih podatkov. Poudarjamo, da morajo biti posamezni nameni za obdelavo osebnih podatkov natančno opredeljeni in da se za vsak namen posebej poda ločena privolitev. Predlagamo vam, da preverite dokumentacijo, ki ste jo verjetno prejeli ob sami registraciji in preverite, s katerimi nameni za obdelavo osebnih podatkov ste soglašali.

Preden posameznik izpolni obrazec s privolitvijo, oz. preden upravljavec pridobi podatke posameznika za namen izvajanja pogodbe, mora biti posameznik podrobno informiran o obdelavi osebnih podatkov, kot to določa 13. člen Splošne uredbe. Tako mora npr. prejeti informacije o namenih ter pravni podlagi za obdelavo osebnih podatkov; uporabnikih osebnih podatkov; obdobju hrambe osebnih podatkov; pravicah posameznika, itd. Če teh informacij niste prejeli, pa lahko uveljavljate tudi pravico dostopa posameznika po 15. členu Splošne uredbe. Upravljavec mora posamezniku na njegovo zahtevo podati potrditev, ali se v zvezi z njim obdelujejo osebni podatki, in kadar je temu tako, dostop do osebnih podatkov in informacije, ki so naštete v prvem odstavku 15. člena Splošne uredbe, med drugim tudi namene obdelave in vrste osebnih podatkov, ki se obdelujejo.

Če upravljavec tako zahtevo posameznika v zvezi s pravico do dostopa delno ali v celoti zavrne ali nanjo ne odgovori v enomesečnem roku, lahko prizadeti posameznik na IP naslovi pritožbo (pri tem lahko uporabite obrazce, ki so dostopni na: https://www.ip-rs.si/obrazci/varstvo-osebnih-podatkov/). Več o uveljavljanju pravice dostopa lahko preberete na spletni strani https://tiodlocas.si/zelim-vedeti-kaj-pocnejo-z-mojimi-podatki/.

Obdelava podatkov bi se lahko za določene namene načeloma zakonito vršila še naprej pod pogoji iz četrtega odstavka 6. člena Splošne uredbe. Ta določa, da kadar obdelava podatkov za drug namen kot za tistega, za katerega so bili osebni podatki zbrani, ne temelji na privolitvi posameznika, na katerega se nanašajo osebni podatki, ali na pravu Unije ali pravu države članice, ki predstavlja potreben in sorazmeren ukrep v demokratični družbi za uresničevanje ciljev iz prvega odstavka 23. člena, upravljavec, da bi ocenil, ali je obdelava za drug namen združljiva z namenom, za katerega so bili osebni podatki prvotno zbrani, med drugim upošteva:

a) kakršno koli povezavo med nameni, za katere so bili osebni podatki zbrani, in nameni načrtovane nadaljnje obdelave;

b) okoliščine, v katerih so bili osebni podatki zbrani, zlasti kar zadeva razmerje med posamezniki, na katere se nanašajo osebni podatki, in upravljavcem;

c) naravo osebnih podatkov, zlasti ali se obdelujejo posebne vrste osebnih podatkov v skladu z 9. členom ali pa se obdelujejo osebni podatki v zvezi s kazenskimi obsodbami in prekrški v skladu z 10. členom;

d) morebitne posledice načrtovane nadaljnje obdelave za posameznike, na katere se nanašajo osebni podatki;

e) obstoj ustreznih zaščitnih ukrepov, ki lahko vključujejo šifriranje ali psevdonimizacijo.

Predlagamo vam, da izkoristite omenjeno pravico dostopa posameznika do vaših osebnih podatkov. V kolikor boste na podlagi prejetih informacij še vedno mnenja, da je šlo za nezakonito obdelavo vaših osebnih podatkov, lahko podate prijavo na IP. Pomagate si lahko z obrazcem »Prijava kršitve varstva osebnih podatkov«, ki je objavljen na povezavi: https://www.ip-rs.si/obrazci/varstvo-osebnih-podatkov/.

V upanju, da ste prejeli odgovor na vaše vprašanje, vas lepo pozdravljamo.

 

Mojca Prelesnik, univ. dipl. prav.,                                                 

informacijska pooblaščenka

 

Pripravila:                                                                                                                                

Barbara Žurej, univ. dipl. prav.,

svetovalka pooblaščenca za preventivo