Obdelava datuma rojstva v programu zvestobe
+ -Številka: 07121-1/2024/536
Kategorije: Informiranje posameznika, Pravne podlage, Varnost osebnih podatkov, Zbirke osebnih podatkov
Informacijski pooblaščenec (v nadaljevanju IP) je dne 11. 4. 2024 prejel vaš dopis v zvezi z vprašanjem glede upravičenosti zbiranja podatka o datumu rojstva s strani trgovcev oziroma njihovih programov zvestobe. Kot navajate, se je bilo treba po zamenjavi pametnega telefona in nalaganju aplikacij v aplikacijo trgovca vpisati z uporabniškim imenom in geslom, kar ste storili in uporabili tudi 2FA prek SMS sporočila. Zataknilo se je pri zadnjem koraku, namreč v račun se niste mogli vpisati, ker niste vnesli pravega datuma rojstva, saj se vam ta podatek zdi nepotreben in v tovrstne profile nikoli ne vpisujete svojega pravega datuma rojstva. Ker se ne spomnite, kateri datum ste vpisali, se sedaj v profil ne morem vpisati, ne glede na to, da vpišete geslo in potrdite z 2FA prek SMS sporočila. Za dostop do profila za koriščenje programa zvestobe se vam zdi vpisovanje datuma rojstva nesmiselno, saj je za zaščito pred dostopom s strani nepooblaščenih uporabnikov geslo in 2FA popolnoma dovolj, datuma vašega rojstva pa tudi ne potrebujejo za zbiraje podatkov o vaših nakupih. Zanima vas, ali si morate v prihodnje ločeno zapisovati fiktivne datume rojstva za dostop do aplikacije ter ali je nekaj na tem, da je nujnost tega podatka res pretirana?
Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22, v nadaljevanju: ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba), 76. člena Zakona o varstvu osebnih podatkov na področju obravnavanja kaznivih dejanj (Uradni list RS, št. 177/20, v nadaljevanju: ZVOPOKD) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A, v nadaljevanju: ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim zgoraj navedenim dopisom.
Odgovornost za izbiro ustreznih rešitev za zagotavljanje varnosti osebnih podatkov ter ustreznih mehanizmov za identificiranje uporabnikov aplikacij je na strani upravljavca, IP pa v mnenju ne more analizirati ali presojati ustreznosti posameznih rešitev oziroma mehanizmov.
Upravljavec mora pred uvedbo posamezne rešitve presoditi dopustnost in sorazmernost osebnih podatkov, ki jih bo obdeloval za določene namene ter mora biti zmožen izkazati, zakaj je za dosego določenega namena (npr. za včlanitev v klub zvestobe ali za identifikacijo uporabnika aplikacije) potrebna tudi obdelava vsakega posameznega osebnega podatka (npr. datuma rojstva).
Upravljavec mora v skladu s 13. členom Splošne uredbe za zagotovitev poštene in pregledne obdelave osebnih podatkov zagotoviti določene informacije o obdelavi osebnih podatkov.
O b r a z l o ž i t e v:
IP uvodoma poudarja, da izven konkretnih nadzornih ali drugih upravnih postopkov ne more presojati konkretnih obdelav osebnih podatkov in podajati konkretnih stališč v zvezi s posameznimi vprašanji s področja varstva osebnih podatkov, pač pa lahko v okviru mnenj poda zgolj splošna pojasnila, priporočila in usmeritve v zvezi z obdelavo osebnih podatkov, odgovornost za zakonito, pošteno in varno obdelavo osebnih podatkov pa je vedno na upravljavcu osebnih podatkov.
Kot je IP zapisal že v več svojih mnenjih, mora upravljavec (v konkretnem primeru trgovec) pred uvedbo posamezne rešitve presoditi dopustnost in sorazmernost obdelav osebnih podatkov, ki jih bo obdeloval. Vsaka obdelava osebnih podatkov mora potekati pošteno, zakonito, transparentno in skladno z določbami Splošne uredbe. Ta v prvem odstavku 6. člena določa, da je obdelava osebnih podatkov zakonita le in kolikor je za konkretni namen obdelave izpolnjen eden od naslednjih pogojev:
a) posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov;
(b) obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe;
(c) obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca;
(d) obdelava je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe;
(e) obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu;
(f) obdelava je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok.
Obdelava osebnih podatkov članov kluba zvestobe mora tako temeljiti na eni izmed pravnih podlag iz zgoraj citiranega prvega odstavka 6. člena Splošne uredbe. V primeru obdelave osebnih podatkov članov kluba zvestobe pride v poštev pravna podlaga iz točke (a) – privolitev posameznika, podlaga iz točke (b) – izvajanje pogodbe ter podlaga iz točke (f) – zakonit interes upravljavca, ki prevlada nad interesi posameznika.
Poleg zagotovitve pravne podlage za obdelavo osebnih podatkov mora biti vsaka obdelava skladna tudi s temeljnimi načeli varstva osebnih podatkov iz 5. člena Splošne uredbe, kamor sodijo med drugim tudi:
· načelo zakonitosti, pravičnosti in preglednosti, ki določa, da morajo biti osebni podatki obdelani zakonito, pošteno in na pregleden način v zvezi s posameznikom, na katerega se nanašajo;
· načelo točnosti, ki določa, da morajo biti osebni podatki točni in, kadar je potrebno posodobljeni, ter da je treba sprejeti vse razumne ukrepe za zagotovitev, da se netočni osebni podatki brez odlašanja izbrišejo ali popravijo ob upoštevanju namenov, za katere se obdelujejo;
· načelo najmanjšega obsega podatkov, ki določa, da morajo biti osebni podatki, ki se obdelujejo, ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo, kar pomeni, da je treba tudi v primeru, ko obstaja pravna podlaga, obdelovati samo toliko osebnih podatkov posameznikov, kolikor je nujno potrebno za izpolnitev namena v konkretnem primeru;
· načelo celovitosti in zaupnosti, ki določa, da se osebni podatki obdelujejo na način, ki zagotavlja ustrezno varnost osebnih podatkov, vključno za zaščito pred nedovoljeno ali nezakonito obdelavo ter pred nenamerno izgubo, uničenjem, ali poškodbo z ustreznimi tehničnimi ali organizacijskimi ukrepi.
Upravljavec mora skladno z zgoraj navedenim načelom celovitosti in zaupnosti sprejeti in izvajati ustrezne tehnične in organizacijske ukrepe za zagotavljanje varnosti osebnih podatkov, kot mu jih nalaga 25. in 32. člen Splošne uredbe. Pri določanju ustreznih ukrepov za zagotavljanje varnosti osebnih podatkov mora upravljavec upoštevati tveganja, ki jih pomeni določena obdelava osebnih podatkov, zlasti zaradi nenamernega ali nezakonitega uničenja, izgube, spremembe nepooblaščenega razkritja ali dostopa do osebnih podatkov. Odgovornost za izbiro ustreznih ukrepov za zagotavljanje varnosti osebnih podatkov je vedno na strani upravljavca, ki mora biti skladno z načelom odgovornosti izvajanje ustreznih ukrepov zmožen tudi dokazati.
Vsak upravljavec je odgovoren za izbiro posamezne rešitve in zakonitost ter sorazmernost obdelav osebnih podatkov, ki se izvajajo v njenem okviru njenega delovanja. Upravljavec v okviru opisanih pogojev za zakonito obdelavo osebnih podatkov sam odloča o obsegu obdelave osebnih podatkov v njenem okviru ter načinom dostopa do osebnih podatkov. V skladu s tem mora vsak upravljavec posebej presoditi, ali je za dosego želenega cilja oziroma namena obdelave nujno potrebna obdelava vseh podatkov, ki se predvidevajo v okviru konkretne rešitve.
Upravljavec mora torej pred uvedbo posamezne rešitve presoditi tudi dopustnost in sorazmernost osebnih podatkov, ki jih bo obdeloval za določene namene ter mora biti zmožen izkazati, zakaj je za dosego določenega namena potrebna tudi obdelava vsakega posameznega osebnega podatka. Upravljavec (v konkretnem primeru trgovec) mora torej biti zmožen izkazati, zakaj je npr. za včlanitev v klub zvestobe, spremljanje nakupov ali za identifikacijo uporabnika aplikacije potrebna tudi obdelava datuma rojstva posameznika. IP ob tem dodaja, da obdelava datuma rojstva članov kluba zvestobe ni nujno nezakonita ali nesorazmerna, saj je pri obdelavi osebnih podatkov na podlagi privolitve posameznika, ki se izvaja z uporabo posebne aplikacije, treba upoštevati posebne pogoje iz 8. člena Splošne uredbe in 8. člena ZVOP-2, ki se uporabljajo za privolitev otroka v zvezi s storitvami informacijske družbe, poleg tega pa je datum rojstva lahko pomemben tudi v primeru prodaje in promoviranja izdelkov s starostnimi omejitvami, kot so npr. alkohol in tobačni izdelki.
IP na splošno vsem subjektom, ki razmišljajo o obdelavi osebnih podatkov z uporabo novih tehnologij, ki bi lahko glede na naravo, obseg ali okoliščine povzročila veliko tveganje za pravice in svoboščine posameznikov, priporoča, da v skladu s 35. členom Splošne uredbe izvedejo oceno učinka v zvezi z varstvom osebnih podatkov. Gre za vnaprejšnjo presojo, ali oziroma pod kakšnimi pogoji bi bila predlagana rešitev zakonita, sorazmerna, transparentna, varna itd. Zelo pomembno je izhajati iz težav, ki naj bi jih reševali z uvedbo rešitve, pri čemer je treba realno oceniti, ali se bo na tak način dejansko doseglo zasledovane cilje in ali teh ciljev ni mogoče doseči na drug način (npr. z uporabo drugih sredstev za dosego cilja), ki bi manj posegal v pravice posameznika. IP je zato za pomoč upravljavcem glede potrebe po izdelavi ocene učinka in same izvedbe le te pripravil posebna navodila in priporočila, ki so dostopna na spletni strani IP:
V zvezi z zbiranjem in obdelavo osebnih podatkov ter s tem povezanim zagotavljanjem poštene in pregledne obdelave osebnih podatkov IP še opozarja, da mora upravljavec v skladu s 13. členom Splošne uredbe posameznikom ob zbiranju osebnih podatkov zagotoviti vse v tem členu predpisane informacije. Posameznik se bo na podlagi takšnih informacij seznanil s tem, komu daje svoje osebne podatke, za kakšne namene in na kakšni pravni podlagi se bodo njegovi osebni podatki obdelovali, kdo bodo uporabniki njegovih osebnih podatkov, koliko čase se bodo hranili, itd, pa tudi s tem, ali je zagotovitev osebnih podatkov zakonska ali pogodbena obveznost ali pa obveznost, ki je potrebna za sklenitev pogodbe, ter ali mora posameznik, na katerega se nanašajo osebni podatki, zagotoviti osebne podatke ter kakšne so morebitne posledice, če se taki podatki ne zagotovijo. Navedene informacije iz 13. člena Splošne uredbe morajo biti čim bolj jasne, pregledne in posameznikom razumljive ter lahko dostopne.
Posameznik, ki želi izvedeti, katere konkretne vrste osebnih podatkov se vodijo o njem, za katere namene se podatki obdelujejo, komu se osebni podatki posredujejo, itd., lahko na podlagi 15. člena Splošne uredbe pri upravljavcu uveljavlja pravico dostopa do osebnih podatkov, ki se nanašajo nanj, prav tako pa lahko pri upravljavcu uveljavlja tudi druge pravice, ki mu jih daje Splošna uredba (pravico do popravka iz 16. člena, pravico do izbrisa iz 17. člena, pravico do omejitve obdelavi iz 18. člena in pravico do ugovora iz 21. člena).
Skladno z zgoraj navedenimi pravicami posameznika, na katerega se nanašajo osebni podatki iz 13. in 15. člena Splošne uredbe, lahko torej na upravljavca naslovite zahtevo za posredovanje informacij iz 13. člena Splošne uredbe ter zahtevo za seznanitev z lastnimi osebnimi podatki iz 15. člena Splošne uredbe.
Več informacij v zvezi z uveljavljanjem pravic posameznika lahko dobite na spletni strani IP, na naslovu:
Lepo vas pozdravljamo.
Pripravil:
Jože Bogataj,
namestnik informacijske pooblaščenke
Mojca Prelesnik, univ. dipl. prav.,
informacijska pooblaščenka