Pošiljanje obvestil na kontakt, pridobljen s pomočjo LinkedIn-a
+ -Številka: 07121-1/2023/1150
Kategorije: Pravne podlage, Svetovni splet, Telekomunikacije in pošta
Pri Informacijskem pooblaščencu (IP) smo prejeli vaše zaprosilo za mnenje. Navajate, da organizirate usposabljanja, kjer izdate certifikat, ki ima rok veljavnosti 3 leta, 6 mesecev pred iztekom veljavnosti oz. najkasneje 6 mesecev po izteku veljavnosti pa mora lastnik tega certifikata pristopiti k obnovitvenem tečaju, sicer je potrebno ponovno opravljanje celotnega usposabljanja. Ker v določenih primerih nimate več aktualnih kontaktnih podatkov teh posameznikov, vas zanima, ali je z namenom obveščanja o tem, da se bliža rok, v katerem je potrebno certifikat obnoviti, dopustno:
- lastnika certifikata najti na omrežju LinkedIn in mu poslati zasebno sporočilo v zvezi s tem;
- uganiti njegov novi službeni e-mail, če je na profilu LinkedIn razvidno, da je zamenjal zaposlitev, ter mu poslati obvestilo na njegov ime.priimek@imedomenenovegapodjetja.
Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22; v nadaljevanju ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A; v nadaljevanju ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.
Pod pogojem, da ne gre za neposredno trženje (o čemer IP v mnenju ne more presojati), bi bilo mogoče, da na podlagi prvega odstavka 93. člena ZVOP-2 oseba zasebnega sektorja uporabi kontaktne podatke posameznikov, ki jih je zbrala iz javno dostopnih virov (npr. javno objavljenih na omrežju LinkedIn), ali so ji jih posamezniki, na katere se nanašajo, prostovoljno razkrili za namene organiziranja usposabljanj.
Pošiljanje tovrstnih obvestil na posameznikov službeni elektronski naslov, ki bi ga uganili, pa IP odsvetuje, saj na ta način ni mogoče zagotoviti resnične točnosti podatkov in bi s tem tvegali, da osebne podatke nezakonito razkrijete tretji osebi.
Če bi v okviru pogodbenega odnosa z udeleženci usposabljanja vključili v pogodbo opomnik o izteku certifikata in nadaljnje kontaktiranje v zvezi s tem, bi lahko pravno podlago za opisano obdelavo predstavljala eventualno tudi točka b) prvega odstavka 6. člena Splošne uredbe.
O b r a z l o ž i t e v:
IP uvodoma poudarja, da v okviru mnenja ne more presojati zakonitosti konkretnega ravnanja določenega upravljavca osebnih podatkov, saj bi to lahko storil le v nadzornem postopku.
Pojasnjuje pa, da mora imeti vsak upravljavec za obdelavo osebnih podatkov, denimo za njihovo pridobivanje in uporabo, zakonito pravno podlago. Po prvem odstavku 6. člena ZVOP-2 se lahko osebni podatki obdelujejo le takrat in v obsegu, kadar je to v skladu s pravnimi podlagami za obdelavo osebnih podatkov iz prvega odstavka 6. in 9. člena Splošne uredbe (privolitev, izvajanje pogodbe, zakonska obveznost, zakoniti interesi itn.).
V zvezi s primerom, ki ga opisujete, IP izpostavlja prvi odstavek 93. člena ZVOP-2. Ta določa, da lahko oseba iz javnega ali zasebnega sektorja lahko uporablja kontaktne podatke posameznikov, ki jih je zbrala iz javno dostopnih virov ali v okviru izvrševanja svojih javnih nalog ali so ji jih posamezniki, na katere se nanašajo, prostovoljno razkrili ali dali privolitev, za namene organiziranja uradnih srečanj, izobraževanj, usposabljanj in dogodkov, določanja sestav ali delovanje komisij, svetov, delegacij in drugih podobnih dejavnosti javnega sektorja, dajanja izjav za javnost, razen izvajanja neposrednega trženja. Zbirke osebnih podatkov, ki nastanejo na tej podlagi, morajo biti ločene od drugih zbirk osebnih podatkov, ki nastanejo pri izvrševanju zakonitih pristojnosti, nalog ali obveznosti.
Iz navedenega izhaja, da bi bilo načeloma mogoče uporabiti kontaktne podatke posameznikov, ki ste jih pridobili iz javno dostopnih virov ali so jih posamezniki prostovoljno razkrili, na primer za namene obveščanja o usposabljanju, pod pogojem, da so bili ti podatki javno objavljeni in da v opisanem primeru ne gre za neposredno trženje. Za ta namen posebna privolitev posameznikov ni potrebna.
Vendar pa velja opozoriti, da je pravna podlaga iz 93. člena ZVOP-2 omejena zgolj na zgoraj navedene namene, zato mora upravljavec prvenstveno presoditi, ali je namen, ki ga sam zasleduje, torej »obveščanje o tem, da se bliža rok, v katerem je potrebno certifikat obnoviti« v kontekstu izvajanja storitve certificiranja za stranke, lahko razumljen kot eden od navedenih namenov. Konkretna presoja, kdaj se lahko upravljavec zanese na to pravno podlago, je odvisna od vseh okoliščin posameznega primera in je odgovornost upravljavca, IP pa v mnenju o tem ne more dokončno presojati.
IP ob tem poudarja, da ta pravna podlaga ni primerna za uporabo službenih elektronskih naslovov posameznikov, ki niso javno dostopni (na primer, če niso objavljeni na spletu ali na omrežju LinkedIn ali na podlagi 92. člena ZVOP-2) in bi jih uganili. Prav tako z generiranjem e-naslovov na podlagi ugibanja, upravljavec zelo verjetno ne more zagotoviti dejanske točnosti podatkov in tvega, da bo obdeloval osebne podatke nezakonito (npr. soimenjaki). IP zato odsvetuje takšno ravnanje, saj bi s tem tvegali nezakonito razkritje osebnih podatkov tretji osebi, ker bi obvestilo lahko poslali na napačni elektronski naslov.
Če bi v okviru pogodbenega odnosa z udeleženci usposabljanja vključili v pogodbo opomnik o izteku certifikata in nadaljnje kontaktiranje v zvezi s tem, bi lahko pravno podlago za opisano obdelavo predstavljala eventualno tudi točka b) prvega odstavka 6. člena Splošne uredbe.
Lepo vas pozdravljamo,
Pripravila:
Tina Ivanc, univ. dipl. prav.,
svetovalka IP za varstvo osebnih podatkov
Mojca Prelesnik, univ. dipl. prav.
informacijska pooblaščenka