Soglasje za izdajo elektronskih računov
+ -Številka: 07121-1/2021/1337
Kategorije: Privolitev, Pravne podlage
Informacijski pooblaščenec (v nadaljevanju IP) je po elektronski pošti prejel vaš dopis, v katerem sprašujete, ali lahko soglasje za izdajo elektronskih računov (po Zakonu o DDV) uvedete kot obvezni pogoj (obvezna izjava) in ali ga lahko vključite kar v pogodbo kot obvezni pogodbeni pogoj.
Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju na podlagi 58. člena Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba), 7. točke prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07, uradno prečiščeno besedilo, v nadaljevanju ZVOP-1) ter 2. člena Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem. Ob tem IP poudarja, da izven postopka inšpekcijskega nadzora konkretnih obdelav osebnih podatkov ne more presojati.
Uvodoma moramo zelo jasno poudariti, da besedi »soglasje« in »obvezno« nista kompatibilni, saj je zelo jasno, da je soglasje (ali privolitev, kot jo uporablja Splošna uredba) izraz prostovoljne volje posameznika, ki pod nobenim pogojem ne more biti obvezna oz. izsiljena, saj potem ne bi mogli govoriti o soglasju, temveč o obvezi.
Kot upravljavec osebnih podatkov morate najprej ugotoviti, na kateri pravni podlagi nameravate obdelovati osebne podatke. Možne pravne podlage so zajete v prvem odstavku 6. člena Splošne uredbe; med drugim je obdelava zakonita, če je podana privolitev posameznika, če je obdelava potrebna za izvajanje pogodbe, za izpolnitev zakonske obveznosti upravljavca, za zaščito življenjskih interesov posameznika, zaradi javnega interesa ali zakonitih interesov upravljavca (vse pod določenimi strogimi pogoji). V nadaljevanju se opredeljujemo do vprašanja privolitve posameznika za obdelavo osebnih podatkov ter vprašanja obdelave osebnih podatkov zaradi izvajanja pogodbe.
Uvodna izjava 32 Splošne uredbe navaja, da bi morala biti privolitev »dana z jasnim pritrdilnim dejanjem, ki pomeni, da je posameznik, na katerega se nanašajo osebni podatki, prostovoljno, specifično, ozaveščeno in nedvoumno izrazil soglasje k obdelavi osebnih podatkov v zvezi z njim, kot je s pisno, tudi z elektronskimi sredstvi, ali ustno izjavo.«
Uvodna izjava 42 nadalje navaja, da kadar obdelava temelji na privolitvi posameznika, na katerega se nanašajo osebni podatki, bi moral biti upravljavec zmožen dokazati, da je posameznik, na katerega se nanašajo osebni podatki, privolil v dejanje obdelave. Zlasti v okviru pisne izjave o drugi zadevi bi morali zaščitni ukrepi zagotoviti, da se posameznik, na katerega se nanašajo osebni podatki, zaveda dejstva, da daje privolitev in v kakšnem obsegu jo daje. V skladu z Direktivo Sveta 93/13/EGS[1] bi moral upravljavec vnaprej pripraviti izjavo o privolitvi, ki bi morala biti v razumljivi in lahko dostopni obliki ter jasnem in preprostem jeziku in ne bi smela vsebovati nedovoljenih pogojev. Da bi posameznik, na katerega se nanašajo osebni podatki, lahko dal ozaveščeno privolitev, bi moral poznati vsaj identiteto upravljavca in namene obdelave osebnih podatkov. Privolitev se ne bi smela šteti za prostovoljno, če posameznik, na katerega se nanašajo osebni podatki, nima možnosti dejanske ali prostovoljne izbire ali privolitve ne more zavrniti ali preklicati brez škode.
Skladno z uvodno izjavo 43 se za privolitev domneva, da ni dana prostovoljno, če ne dovoljuje ločene privolitve za različna dejanja obdelave osebnih podatkov, čeprav bi taka ločena privolitev bila v posameznem primeru ustrezna, ali če je izvajanje pogodbe, vključno z zagotavljanjem storitve, pogojeno s privolitvijo, čeprav za zadevno izvajanje taka privolitev ne bi bila potrebna.
Zgoraj navedene uvodne izjave z zavezujočo naravo konkretizira 7. člen Splošne uredbe (pogoji za privolitev). Prvi odstavek določa, da kadar obdelava temelji na privolitvi, mora biti upravljavec zmožen dokazati, da je posameznik, na katerega se nanašajo osebni podatki, privolil v obdelavo svojih osebnih podatkov. V drugem odstavku je določeno, da če je privolitev posameznika, na katerega se nanašajo osebni podatki, dana v pisni izjavi, ki se nanaša tudi na druge zadeve, se zahteva za privolitev predloži na način, ki se jasno razlikuje od drugih zadev, v razumljivi in lahko dostopni obliki ter v jasnem in preprostem jeziku. Deli take izjave, ki predstavljajo kršitev te uredbe, niso zavezujoči. Ključnega pomena je tudi tretji odstavek 7. člena, ki določa, da ima posameznik, na katerega se nanašajo osebni podatki, pravico, da svojo privolitev kadar koli prekliče. Preklic privolitve ne vpliva na zakonitost obdelave na podlagi privolitve pred njenim preklicem. O tem se pred privolitvijo obvesti posameznik, na katerega se nanašajo osebni podatki. Privolitev je enako enostavno preklicati kot dati. Še najpomembnejša za vaš primer pa je določba četrtega odstavka omenjenega člena, po katerem se pri ugotavljanju, ali je bila privolitev dana prostovoljno, med drugim zlasti upošteva, ali je izvajanje pogodbe, vključno z zagotavljanjem storitve, pogojeno s privolitvijo v obdelavo osebnih podatkov, ki ni potrebna za izvedbo zadevne pogodbe.
Izsiljena privolitev v obdelavo osebnih podatkov je torej povsem neveljavna in predstavlja kršitev varstva osebnih podatkov.
Seveda pa je zgoraj opisana ureditev interpretacija zakonodaje s področja varstva osebnih podatkov in ne Zakona o davku na dodano vrednost (Uradni list RS, št. 13/11 – UPB, s sprem. in dop.; v nadaljevanju ZDDV-1) oziroma potrošniške zakonodaje glede obveznih pogodbenih pogojev. Kot upravljavec osebnih podatkov morate sami presoditi, na kateri zakoniti pravni podlagi iz 6. člena Splošne uredbe boste obdelovali osebne podatke in za svojo odločitev tudi odgovarjati. Kot opisano, izsiljena privolitev ne bo ustrezna, preučite pa lahko možnost, ali je obdelava potrebna za izvajanje pogodbe (točka (b) prvega odstavka 6. člena Splošne uredbe). Na tem mestu pa je treba upoštevati tudi samo določbo 84. člena ZDDV-1, po kateri se mora imeti posameznik možnost odločiti, ali želi (soglaša z) elektronskim računom ali ne. Pogojevanje na tem mestu zaradi obvezne določbe ZDDV-1 ni dopustno.
V Splošno uredbo o varstvu podatkov je vtkano načelo odgovornosti, po katerem mora upravljavec osebnih podatkov sam preučiti, na kateri pravni podlagi bo obdeloval osebne podatke, zakonitost obdelave pa je zmožen tudi dokazati, tako posamezniku kot tudi nadzornemu organu.
Za konec pa vas želimo napotiti tudi na določbo 13. člena Splošne uredbe, po katerem ste posameznikom pred začetkom obdelave njihovih osebnih podatkov dolžni zagotoviti določene informacije o obdelavi osebnih podatkov, med drugim identiteto in kontaktne podatke upravljavca; namene in pravno podlago za obdelavo; uporabnike ali kategorije uporabnikov osebnih podatkov ter nadalje tudi obdobje hrambe osebnih podatkov; obstoj pravic posameznika; obstoj pravice do preklica privolitve; pravico do vložitve pritožbe pri nadzornem organu.
V upanju, da ste dobili odgovor na svoje vprašanje, vas lepo pozdravljamo.
Mojca Prelesnik, univ.dipl.prav.,
informacijska pooblaščenka
Pripravila:
mag. Polona Merc, univ. dipl. prav.,
svetovalka IP za varstvo osebnih podatkov