Zahteva po osebnih podatkih za uporabo mobilne aplikacije trgovca

Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaš dopis, v katerem nas naprošate za mnenje in sicer glede mobilne aplikacije enega od trgovcev, s katero kupci dobijo še dodatne popuste. Pri prijavi v račun trgovca so zahtevani prav vsi osebni podatki, kar vas je zmotilo, zato nas sprašujete, ali je res nujno potrebno, da podjetje za uporabo aplikacije pridobiva vse podatke.

Trgovci morajo kot upravljavci osebnih podatkov upoštevati načelo minimizacije obdelave osebnih podatkov, po katerem se lahko zahteva le tiste osebne podatke, ki so dejansko potrebni za doseganje zakonitih namenov obdelave, poleg tega pa upoštevati ostala temeljna načela varstva osebnih podatkov s poudarkom na načelu zakonitosti, poštenosti in preglednosti. Ali trgovec dejansko spoštuje temeljna načela in ostale obveznosti po Splošni uredbi, med drugi tudi, kateri osebni podatki so dejansko potrebni in kateri ter za katere namene, pa lahko preverimo le v okviru uradnega inšpekcijskega postopka.

O b r a z l o ž i t e v:

Informacijski pooblaščenec (v nadaljevanju IP) uvodoma pojasnjuje, da v okviru nezavezujočih mnenj ne more presojati ustreznosti konkretnih programskih rešitev in/ali njihovih funkcionalnosti, temveč se lahko njihova zakonitost presoja le v okviru inšpekcijskega postopka. Pojasnimo lahko, katere zahteve zakonodaje bi moral upoštevati trgovec, ko zbira osebne podatke za delovanje aplikacije, izven inšpekcijskega postopka pa ne moremo presojati, ali so določeni osebni podatki potrebni za določene namene ali ne, saj je potrebno pridobiti tudi pojasnila in argumentacijo trgovca, kar pa lahko zahtevamo le v okviru inšpekcijskega postopka. Opravili bomo preliminarni pregled pogojev uporabe zadevne aplikacije in na tej podlagi presodili, ali so podani razlogi za uvedbo inšpekcijskega postopka.

Splošna uredba med temeljnimi načeli (člen 5 Splošne uredbe) določa tudi zahtevo po minimizaciji obdelave osebnih podatkov, kar pomeni, da naj bi se za določene in zakonite namene obdelave osebnih podatkov zahtevalo le tiste podatke, ki so dejansko potrebni za doseganje teh namenov. Prav tako mora trgovec upoštevati načelo zakonitosti, poštenosti in preglednosti, kar pomeni, da mora imeti za obdelavo osebnih podatkov ustrezno pravno podlago – ta bo v konkretnem primeru najverjetneje v pogodbi s stranko oziroma v njeni privolitvi (točki b oziroma a prvega odstavka člena 6 Splošne uredbe), v primeru privolitve posameznika mora  trgovec upoštevati pogoje za veljavnost privolitve (člen 7 Splošne uredbe ter uvodne določbe št. 32, 42 ter 43), prav tako pa mora biti posameznik obveščen o namenih obdelave, o svojih pravicah in ostalih pomembnih elementih, ki jih glede preglednosti obdelave določata člena 13 ter 14 Splošne uredbe. Poleg navedenih mora trgovec upoštevati tudi druge zahteve, ki izhajajo iz Splošne uredbe in drugih predpisov, ki urejajo osebne podatke.

Kot smo pojasnili zgoraj, bomo opravili preliminarni pregled pogojev uporabe zadevne aplikacije in na tej podlagi presodili, ali so podani razlogi za uvedbo inšpekcijskega postopka.

S spoštovanjem,

Mojca Prelesnik, univ.dipl.prav.,                                                                                                  

informacijska pooblaščenka

Pripravil:                                                                                                                                 

mag. Andrej Tomšič,

namestnik informacijske pooblaščenke