Privolitev za zbiranje podatkov v pogodbi
+ -Številka: 07121-1/2023/1198
Kategorije: Informiranje posameznika, Pravne podlage, Privolitev, Telekomunikacije in pošta
Pri Informacijskem pooblaščencu (IP) smo prejeli vaše zaprosilo za mnenje. Zanima vas, ali je pooblastilo v pogodbi, ki upravljavcu na podlagi vašega soglasja dovoljuje, da »podatke iz te pogodbe in sestavnih delov te pogodbe zbira, obdeluje in preverja za namen izvajanja te pogodbe ter lahko z namenom nemotenega izvajanja naročniške pogodbe kadarkoli in od kateregakoli organa, institucije, delodajalca, banke ali drugega upravljavca osebnih podatkov pridobi zahtevane podatke«, preširoko.
Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22; v nadaljevanju ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A; v nadaljevanju ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.
Izvajanje pogodbe kot podlaga za obdelavo osebnih podatkov se v praksi pogosto zamenjuje s privolitvijo. V primeru pogodbenega odnosa lahko upravljavec na podlagi točke b) prvega odstavka 6. člena Splošne uredbe obdeluje le tiste osebne podatke, ki so nujno in objektivno potrebni za izvedbo konkretne pogodbe, za kar privolitve ne potrebuje. Za vse ostale osebne podatke, ki bi jih želel obdelovati, pa bi potreboval veljavno privolitev oziroma drugo ustrezno pravno podlago.
Ne glede na pravno podlago mora upravljavec izrecno in jasno opredeliti konkreten namen obdelave določenih vrst osebnih podatkov.
Privolitev ne sme biti pridobljena na način soglašanja s pogodbo ali kot soglašanje s splošnimi pogoji poslovanja. Podpis pogodbe torej ne pomeni privolitve v obdelavo osebnih podatkov. Veljavna privolitev mora biti prostovoljna, konkretna, informirana in nedvoumna.
Upravljavec je dolžan posameznike seznaniti z določenimi informacijami o obdelavi, kot to določata 13. in 14. člen Splošne uredbe, med drugim s pravno podlago in namenom obdelave.
O b r a z l o ž i t e v:
IP uvodoma opozarja, da lahko posamezne primere obdelave osebnih podatkov presoja le v okviru konkretnih nadzornih postopkov, v mnenjih pa podaja splošna pojasnila in pravna izhodišča s področja varstva osebnih podatkov.
Vsak upravljavec (v konkretnem primeru izvajalec storitev) mora imeti za obdelavo osebnih podatkov, torej tudi za njihovo zbiranje, preverjanje in drugačno obdelavo, zakonito in ustrezno pravno podlago. Po prvem odstavku 6. člena ZVOP-2 se lahko osebni podatki obdelujejo le takrat in v obsegu, kadar je to v skladu s pravnimi podlagami za obdelavo osebnih podatkov iz prvega odstavka 6. in 9. člena Splošne uredbe (privolitev, izvajanje pogodbe, zakonska obveznost, zakoniti interesi itn.). Več o pravnih podlagah si lahko preberete na: https://upravljavec.si/kako-uporabljate-te-podatke/kratko-o-pravnih-podlagah/.
Skladno s točko a) prvega odstavka 6. člena Splošne uredbe je obdelava dopustna, če je posameznik, na katerega se nanašajo osebni podatki, privolil v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov, skladno s točko b) iste določbe pa, če je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe. Izbira ustrezne pravne podlage za obdelavo osebnih podatkov, upoštevajoč konkretne okoliščine in namen obdelave, je obveznost upravljavca. IP pojasnjuje, da je privolitev le ena od pravnih podlag za obdelavo osebnih podatkov. To pomeni, da če upravljavec osebne podatke obdeluje na drugi (denimo pogodbeni ali zakonski) pravni podlagi, za takšno obdelavo osebnih podatkov privolitev ni dolžan pridobivati.
Izvajanje pogodbe kot podlaga za obdelavo osebnih podatkov se v praksi pogosto zamenjuje s privolitvijo. Pri oceni, ali je točka b) prvega odstavka 6. člena Splošne uredbe ustrezna pravna podlaga za obdelavo v okviru pogodbene storitve, je treba upoštevati predvsem namen ali cilj storitve. Za uporabo te pravne podlage mora biti obdelava objektivno potrebna (ne zgolj koristna) za namen, ki je sestavni del dobave pogodbene storitve tj. za dosego glavnega predmeta in temeljnega cilja pogodbe. Upravljavec mora biti zmožen dokazati, da glavnega predmeta konkretne pogodbe s posameznikom, na katerega se nanašajo osebni podatki, dejansko ni mogoče izpolniti brez specifične obdelave osebnih podatkov.
V vašem primeru bi lahko upravljavec torej tiste osebne podatke, ki bi jih potreboval za sklenitev in izvajanje pogodbe, obdeloval na podlagi točke b) prvega odstavka 6. člena Splošne uredbe, za kar vaše privolitve (soglasja) ne potrebuje. Za vse ostale osebne podatke, ki se nanašajo na vas in bi jih želel obdelovati, pa bi potreboval vašo veljavno privolitev oziroma drugo ustrezno pravno podlago. Ob tem IP poudarja, da sam podpis pogodbe ne pomeni privolitve v obdelavo osebnih podatkov.
Zato IP opozarja, da sporno pogodbeno določilo ne more predstavljati veljavne privolitve. Privolitev namreč ne sme biti pridobljena na način soglašanja s pogodbo ali kot soglašanje s splošnimi pogoji poslovanja. Če je privolitev posameznika, na katerega se nanašajo osebni podatki, dana v pisni izjavi, ki se nanaša tudi na druge zadeve, se zahteva za privolitev predloži na način, ki se jasno razlikuje od drugih zadev, v razumljivi in lahko dostopni obliki ter v jasnem in preprostem jeziku (drugi odstavek 7. člena Splošne uredbe). Pogojevanje privolitve z izvajanjem pogodbe ni dovoljeno, kadar obdelava osebnih podatkov ni nujno potrebna za izvedbo pogodbenih obveznosti (četrti odstavek 7. člena Splošne uredbe). Da bi bila privolitev veljavna, mora prav tako zadostiti štirim zahtevam, in sicer mora biti prostovoljna, konkretna, informirana in nedvoumna (11. točka 4. člena Splošne uredbe). To med drugim pomeni, da posameznik ne sme čutiti prisile ali negativnih posledic, če privolitve ne poda, da ima pravico privolitev kadarkoli umakniti ter da razume vsebino privolitve (s čim soglaša). Upravljavec je dolžan posameznike seznaniti z določenimi informacijami o obdelavi, kot to določata 13. in 14. člen Splošne uredbe (npr. kakšen je namen in pravna podlaga za obdelavo osebnih podatkov, komu se osebne podatke posreduje, koliko časa se bodo osebni podatki hranili). Navedene informacije morajo biti čim bolj jasne, pregledne in posameznikom razumljive ter lahko dostopne.
IP poudarja, da mora upravljavec ne glede na pravno podlago izrecno in jasno opredeliti konkreten namen obdelave določenih vrst osebnih podatkov. Kot že pojasnjeno, izpostavljeno pogodbeno določilo ne bi smelo šteti za veljavno privolitev, saj manjkata vsaj pogoja konkretnosti in informiranosti. Ustreznost tega pogodbenega določila, ki je precej odprto tako z vidika opredelitve namena kot vrst osebnih podatkov, pa je vprašljiva tudi v luči pogodbene pravne podlage. Skladno s točko b) prvega odstavka 5. člena Splošne uredbe morajo biti osebni podatki namreč zbrani za določene, izrecne in zakonite namene. Zgolj ponovitev dikcije iz predpisa, v konkretnem primeru »za namen izvajanja te pogodbe« oziroma »z namenom nemotenega izvajanja naročniške pogodbe« pa standardu določnosti težko zadosti.
Koristne informacije v zvezi z obdelavo osebnih podatkov so na voljo tudi v Vodniku po varstvu osebnih podatkov za posameznike, ki ga je izdal IP in je dostopen na: https://www.ip-rs.si/publikacije/priro%C4%8Dniki-in-smernice/smernice-po-splo%C5%A1ni-uredbi-o-varstvu-podatkov-gdpr/vodnik-po-varstvu-osebnih-podatkov-za-posameznike.
Lepo vas pozdravljamo,
Pripravila:
Tina Ivanc, univ. dipl. prav.,
svetovalka IP za varstvo osebnih podatkov
Mojca Prelesnik, univ. dipl. prav.
informacijska pooblaščenka