Zahteva za izbris osebnih podatkov – Google Analytics

Informacijski pooblaščenec (v nadaljevanju IP) je po elektronski pošti prejel vaš dopis, v katerem pojasnjujete, da ste od državljana Italije prejeli zahtevek za izbris podatkov, in sicer za izbris podatkov, zbranih prek Google Analytics. Zahteva je bila v italijanščini, vendar ste jo s pomočjo avtomatskega prevajalnika lahko razumeli. Zahtevek se nanaša na vašo spletno stran, ki ni na italijanskih strežnikih, in je na voljo le v slovenskem in angleškem jeziku. Posameznik se v zahtevi sklicuje na uredbo italijanskega nadzornega organa za varstvo osebnih podatkov, ki naj bi prepovedal uporabo Google Analytics. Sprašujete nas, (1) ali ste dolžni obravnavati zahtevke v tujem jeziku, še posebej v jeziku, ki ga spletna stran ne podpira; (2) ali te dolžni upoštevati uredbe italijanskega nadzornega organa oziroma kateregakoli organa tuje države?

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju na podlagi 58. člena Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba), 7. točke prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07, uradno prečiščeno besedilo, v nadaljevanju ZVOP-1) ter 2. člena Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem. Ob tem IP poudarja, da izven postopka inšpekcijskega nadzora konkretnih obdelav osebnih podatkov ne more presojati.

Glede uporabe orodja Google Analytics vam priporočamo natančno preučitev, ali imate za takšno obdelavo osebnih podatkov ustrezno pravno podlago.

Zahtevo posameznika morate obravnavati (tudi če se denimo odločite, da posameznika pozovete, naj zahtevo vloži v slovenskem jeziku) in mu morate kot upravljavec osebnih podatkov pomagati pri izvrševanju njegovih pravic po Splošni uredbi. Odredb tujih državnih organov, posebej ko niso niti naslovljene na vas, v pravnem smislu niste dolžni upoštevati, saj je za zagotavljanje spoštovanja Splošne uredbe za slovenske upravljavce pristojen IP. Posameznik pa se lahko v konkretnem primeru pritoži k IP ali k italijanskemu nadzornemu organu, ki bi zadevo posredoval slovenskemu IP.

Obrazložitev

1. Splošno o piškotkih in prenosu v tretje države

IP je v mnenju št. 07121-1/2022/137 z dne 9. 2. 2022 že odgovarjal na vprašanje glede uporabe Google Analytics, kjer je posameznik izpostavil odločitev avstrijskega nadzornega organa glede prepovedi uporabe tega orodja. V nadaljevanju povzemamo bistvo omenjenega mnenja kot vsebinski uvod oziroma oris problematike.

Spletni identifikatorji, kot so IP naslovi in informacije shranjene v piškotkih, so lahko uporabljeni za identifikacijo posameznikov, zlasti kadar se kombinirajo z drugimi informacijami. To izhaja tudi iz recitala 30 Splošne uredbe o varstvu podatkov, v katerem je navedeno, da lahko spletni identifikatorji, ki jih zagotovijo posameznikove naprave, aplikacije, orodja in protokoli, kot so naslovi internetnega protokola in identifikatorji piškotkov, pustijo sledi, ki se lahko, zlasti kadar se kombinirajo z edinstvenimi identifikatorji in drugimi informacijami, ki jih prejmejo strežniki, uporabijo za oblikovanje profilov posameznikov in njihovo identifikacijo.

Raba spletnih piškotkov je v Sloveniji sicer urejana z Zakonom o elektronskih komunikacijah (Uradni list RS, št. 109/12 in naslednji; v nadaljevanju ZEKom-1). ZEKom-1 v 1. odstavku 157. člena določa, da je shranjevanje podatkov ali pridobivanje dostopa do podatkov, shranjenih v terminalski opremi naročnika ali uporabnika, dovoljeno samo pod pogojem, da je naročnik ali uporabnik v to privolil potem, ko je bil predhodno jasno in izčrpno obveščen o upravljavcu in namenih obdelave teh podatkov v skladu z zakonom, ki ureja varstvo osebnih podatkov. Ne glede na to pa ZEKom-1 v 2. odstavku 157. člena določa izjeme, in sicer privolitev ni potrebna le za tiste piškotke, ki se uporabljajo izključno zaradi prenosa sporočila po elektronskem komunikacijskem omrežju, ali, ki so nujno potrebni za zagotovitev storitve, ki jo naročnik izrecno zahteva. To pomeni, da boste morali za piškotke, ki ne sodijo pod izjeme, predhodno pridobiti veljavno privolitev obiskovalca spletne strani.

V skladu s členom 4(11) Splošne uredbe o varstvu podatkov privolitev posameznika, na katerega se nanašajo osebni podatki,pomeni vsako prostovoljno, konkretno, informirano in nedvoumno ravnanje v obliki izjave ali jasnega pritrdilnega dejanja, iz katerega je mogoče sklepati na želje posameznika, na katerega se nanašajo osebni podatki, s katerim izrazi strinjanje z obdelavo osebnih podatkov, ki se nanašajo nanj. Molk, vnaprej označena okenca ali nedejavnost tako ne pomenijo veljavne privolitve.

Več o privolitvi si lahko preberete na naši spletni strani https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/ključna-področja-uredbe/privolitev.

Dodatna pojasnila glede uporabe privolitve v kontekstu uporabe piškotkov in t.i. piškotnih zidov so na voljo tudi v smernicah Evropskega odbora za varstvo podatkov na: https://edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines_202005_consent_sl_0.pdf.

V primeru prenosa osebnih podatkov v tretje države ali mednarodne organizacije (na primer zaradi uporabe določene storitve) je potrebno, poleg predhodno navedenega, zagotoviti tudi skladnost z določbami Splošne uredbe o varstvu podatkov iz Poglavja V. O prenosu osebnih podatkov v tretje države govorimo takrat, ko upravljavec ali obdelovalec iz države članice Evropske unije osebne podatke posreduje v države izven Evropske unije (EU) ali Evropskega gospodarskega prostora (EGP; sem sodijo poleg držav EU še Islandija, Norveška in Lihtenštajn) ali mednarodni organizaciji. O prenosu govorimo tudi takrat, ko je dostop do osebnih podatkov omogočen organizacijam, podjetjem, posameznikom ali drugim subjektom iz tretjih držav izven EGP, pa čeprav so podatki hranjeni znotraj EGP (na primer oddaljen dostop podjetja iz tretje države, ki nudi tehnično podporo).

Vsak prenos osebnih podatkov, ki se obdelujejo ali so namenjeni obdelavi po prenosu v tretjo državo ali mednarodno organizacijo, se v skladu s členom 44 Splošne uredbe o varstvu podatkov izvede ob upoštevanju drugih določb te uredbe le, če upravljavec in obdelovalec ravnata v skladu s pogoji iz Poglavja V, kar velja tudi za nadaljnje prenose osebnih podatkov iz tretje države ali mednarodne organizacije v drugo tretjo državo ali drugo mednarodno organizacijo. Vse določbe tega poglavja se uporabljajo za zagotovitev, da ni ogrožena raven varstva posameznikov, ki jo zagotavlja ta uredba.

Glede uporabe storitev ameriških podjetij (na primer Google Analytics) je potrebno posebej opozoriti, da je Sodišče Evropske unije razveljavilo Izvedbeni sklep Komisije (EU) 2016/1250 z dne 12. julija 2016 na podlagi Direktive Evropskega parlamenta in Sveta 95/46/ES o ustreznosti varstva, ki ga zagotavlja zasebnostni ščit EU-ZDA (t.i. Privacy Shield). Prenos osebnih podatkov v ZDA na tej podlagi torej ni več veljaven. Več v zvezi s tem si lahko preberete na spletni strani https://www.ip-rs.si/novice/6051f21930241.

Več o prenosu osebnih podatkov v tretje države ali mednarodne organizacije si lahko preberete na naši spletni strani https://www.ip-rs.si/varstvo-osebnih-podatkov/obveznosti-upravljavcev/prenos-osebnih-podatkov-v-tretje-države-in-mednarodne-organizacije/.

Upravljavec osebnih podatkov, ki torej želi uporabljati storitve, pri katerih prihaja do prenosa osebnih podatkov v tretje države, npr. ZDA, mora torej zagotoviti, da je ta prenos skladen s pravili v EU.

Navedeno presojo morate kot upravljavec osebnih podatkov opraviti v smislu zagotavljanja zakonite obdelave osebnih podatkov, k čemer vas zavezuje Splošna uredba.

2. Konkretno o vaših vprašanjih

IP se v neobveznem mnenju ne more opredeljevati do vprašanja uporabe jezika v komunikaciji med posameznikom in upravljavcem osebnih podatkov. Izpostavimo pa lahko, da imate skladno 17. členom Splošne uredbe do posameznikov, katerih osebne podatke obdelujete, določene obveznosti, ki jih morate spoštovati. Glede na obveznosti, ki izhajajo iz Splošne uredbe, IP meni, da morate obravnavati vlogo posameznika, ki ste jo prejeli, vaša odločitev pa je, ali boste posameznika morebiti pozvali, naj vlogo vloži v slovenskem jeziku (pri čemer lahko posameznik prav tako uporabi spletno orodje za avtomatski prevod) ali pa boste nadaljevali z vsebinsko obravnavo njegove vloge, saj nenazadnje dejansko razumete njegovo vlogo (prevedli ste si jo že sami).

Dejstvo, da je vaša spletna stran zgolj v slovenščini in angleščini ne more negativno vplivati na pravice posameznika do varstva osebnih podatkov, posebej v EU, kjer velja načelo prostega pretoka osebnih podatkov. Posamezniku pripadajo določene pravice že iz naslova dejstva, da obdelujete njegove osebne podatke. Način izvrševanja pravice pa se presoja v vsakem primeru posebej; IP meni, da morate posamezniku vsaj odgovoriti in mu pomagati pri izvrševanju njegovih pravic po Splošni uredbi, kar narekuje že načelo poštene obdelave osebnih podatkov.

Sicer vas na tem mestu obveščamo, da ima posameznik možnost vložiti pritožbo "pri nadzornem organu, zlasti v državi članici, v kateri ima običajno prebivališče, v kateri je njegov kraj dela ali v kateri je domnevno prišlo do kršitve, če meni, da obdelava osebnih podatkov v zvezi z njim krši to uredbo" (prvi odstavek 77. člena Splošne uredbe). Možno je torej, da če posamezniku ne zagotovite pravice do izbrisa, se pritoži bodisi pri italijanskem bodisi pri slovenskem nadzornem organu. Splošna uredba nadalje opredeljuje načine sodelovanja med nadzornimi organi držav članic.

Glede vašega drugega vprašanja, ali ste dolžni upoštevati odločitve tujih državnih organov, je glede na načelo teritorialnosti izvrševanja pristojnosti odgovor ne. Posebej je treba tudi izpostaviti, da sami niste naslovnik navedene odločitve. Vendar pa morate, kot je zapisano v prvi točki tega mnenja, v vsakem primeru zagotavljati zakonitost obdelave osebnih podatkov - prva presoja je na vas kot upravljavcu osebnih podatkov, v drugi fazi je možno preverjanje zakonitosti obdelave osebnih podatkov v postopku inšpekcijskega nadzora.

Nenazadnje pa bi želeli izpostaviti, da IP v okviru Evropskega odbora za varstvo podatkov budno spremlja razpravo glede uporabe Google Analytics in je seznanjen z vse več odločitvami nadzornih organov o prepovedi uporabe Google Analytics (v konkretnih primerih). Tudi Evropski nadzornik za varstvo podatkov je prepovedal uporabo Google Analytics Evropskemu parlamentu. Zakonitost vsake obdelave pa se seveda presoja v konkretnih inšpekcijskih postopkih in v kolikor zavezanec ne more izkazati zakonitosti in če obdelava osebnih podatkov v konkretnem primeru dejansko ni zakonita, nadzorni organ sprejme tudi ustrezne ukrepe.

V upanju, da ste dobili odgovor na svoje vprašanje, vas lepo pozdravljamo.

                                                                                               Mojca Prelesnik, univ.dipl.prav.,                                                 

                                                                                                informacijska pooblaščenka

Pripravila:                                                                                                                                

mag. Polona Merc, univ. dipl. prav.,

svetovalka IP za varstvo osebnih podatkov