Informacijski pooblaščenec Republika Slovenija
   
dekorativna slika

Nakup spletne trgovine in baze podatkov

+ -

Opozorilo: Mnenje je bilo izdano na podlagi določb Zakona o varstvu osebnih podatkov (ZVOP-1, Uradni list RS, št. 94/07 - uradno prečiščeno besedilo), ki je z dnem 26. 1. 2023 prenehal veljati in ga je nadomestil nov Zakon o varstvu osebnih podatkov (ZVOP-2, Uradni list RS, št. 163/22), zato mnenje ni več nujno aktualno. Mnenja po ZVOP-2 so na voljo tukaj.

Datum: 24.09.2018
Številka: 0712-3/2018/1735
Kategorije: Upravljanje gospodarskih družb, Razno

Informacijski pooblaščenec (v nadaljevanju IP) je po elektronski pošti prejel vaš dopis, v katerem pojasnjujete, da vaša stranka namerava kupiti obstoječo spletno trgovino (programsko rešitev, domeno in bazo uporabnikov). Navajate, da gre za singularno pravno nasledstvo (le za prodajo sredstev) in ne za univerzalno pravno nasledstvo. Navedena spletna trgovina je običajno spletna trgovina, kjer je za nakup potrebna registracija, preko katere uporabniki sporočijo svoje podatke za namene izvedbe naročila ter druge opredeljene namene. Uporabniki se lahko registrirajo tudi, če ne opravijo nakupa. Spletna trgovina ima aktivne uporabnike (tiste, ki redno kupujejo), uporabnike, ki so kdaj v preteklosti nekaj kupili in niso več aktivni, ter uporabnike, ki so se zgolj registrirali in niso opravili nobenega nakupa.  

Prosite nas za stališče, kaj je potrebno v skladu z zakonodajo, ki ureja varstvo osebnih podatkov, upoštevati pri nakupu spletne trgovine. Zlasti vas zanima, ali je treba glede obstoječe baze uporabnikov pridobiti njihove privolitve, da se lahko podatki prenesejo na kupca spletne trgovine (v sedanji izjavi o varstvu podatkov je zapisano, da se podatki obdelujejo za namene nakupov in za obveščanje ter marketing) oz., da jih le-ta lahko nadalje uporablja za enake namene, za katere so bili zbrani.

***

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju na podlagi 58. člena Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba), 7. točke prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07, uradno prečiščeno besedilo, v nadaljevanju ZVOP-1) ter 2. člena Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.

V konkretnem primeru gre za prenos dejavnosti spletne trgovine in s tem prenosa baze uporabnikov od enega upravljavca osebnih podatkov k drugemu. IP pojasnjuje, da je za takšen prenos podatkov potrebno zagotoviti ustrezno pravno podlago. V zasebnem sektorju je skladno s prvim odstavkom člena 6 Splošne uredbe obdelava zakonita le in kolikor je izpolnjen vsaj eden od naslednjih pogojev:

a) posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov;

b) obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe;

c) obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca;

d) obdelava je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe;

e) obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu;

f) obdelava je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok.

IP meni, da bi v konkretnem primeru pravno podlago za prenos osebnih podatkov od enega upravljavca k drugemu upravljavcu, do katerega bo prišlo ob prodaji spletne trgovine, lahko predstavljala točka f prvega odstavka člena 6 Splošne uredbe. Ta določa, da je obdelava osebnih podatkov zakonita, če je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok.

Po mnenju IP bi lahko prenos zbirke osebnih podatkov v okviru prenosa celotne dejavnosti podjetja pomenil takšno uresničevanje zakonitega interesa zasebnega sektorja, ki očitno prevladuje nad interesi posamezne stranke. Seveda pa to velja le v primeru, da je bila baza strank prvotno pridobljena v skladu z veljavno zakonodajo in da se ta prenaša kot del celotnega poslovanja. Namreč smiselno je, da z nakupom celotne dejavnosti spletne trgovine kupec pridobi tudi bazo uporabnikov. Prenos osebnih podatkov na drugo podjetje je torej eventualno zakonit, v kolikor gre za prenos celotne dejavnosti (poslovanja), za opravljanje katere so osebni podatki iz zbirke, ki se prenaša, po naravi stvari nujno potrebni.

Glede na navedeno, družba, ki bo prevzela spletno trgovino, lahko nadaljuje z obdelavo osebnih podatkov strank pod pogojem, da so ti bili pridobljeni zakonito oz. imate ustrezne pravne podlage v skladu s prvim odstavkom 6. člena Uredbe in jih bo prevzemna družba obdelovala za identičen namen, za katerega so bila podana soglasja oz. so bile sklenjene pogodbe. V svojem elektronskem sporočilu navajate, da so bili osebni podatki uporabnikov pridobljeni na podlagi privolitev posameznikov v obdelavo njihovih podatkov. IP vas v zvezi s tem napotuje na svojo spletno stran, kjer lahko dostopate do informacij o tem, kateri pogoji morajo biti izpolnjeni, da je privolitev v skladu s Splošno uredbo:

https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/kljucna-podrocja-uredbe/privolitev/.

Pri tem IP opozarja tudi na 14. člen Splošne uredbe, po katerem mora upravljavec osebnih podatkov (v konkretnem primeru bo to kupec dejavnosti, ki bo osebne podatke strank dobil od prodajalca), v primeru, ko osebni podatki niso bili pridobljeni neposredno od posameznika, na katerega se ti nanašajo, temu posamezniku zagotoviti naslednje informacije:

  1. istovetnost in kontaktne podatke upravljavca in njegovega predstavnika, kadar ta obstaja;
  2. kontaktne podatke pooblaščene osebe za varstvo podatkov, kadar ta obstaja;
  3. namene, za katere se osebni podatki obdelujejo, kakor tudi pravno podlago za njihovo obdelavo;
  4. vrste zadevnih osebnih podatkov;
  5. uporabnike ali kategorije uporabnikov osebnih podatkov, kadar obstajajo;
  6. kadar je ustrezno, informacije o tem, da namerava upravljavec prenesti osebne podatke uporabniku v tretji državi ali mednarodni organizaciji, ter o obstoju ali neobstoju sklepa Komisije o ustreznosti ali v primeru prenosov iz člena 46 ali 47 ali drugega pododstavka člena 49(1) sklic na ustrezne ali primerne zaščitne ukrepe in sredstva za pridobitev njihove kopije ali kje so na voljo.

Upravljavec poleg informacij iz prvega odstavka 14. člena Uredbe posamezniku, na katerega se nanašajo osebni podatki, zagotovi naslednje informacije, ki so potrebne za zagotavljanje poštene in pregledne obdelave:

  1. obdobje hrambe osebnih podatkov ali, če to ni mogoče, merila, ki se uporabijo za določitev tega obdobja;
  2. kadar obdelava temelji na točki (f) člena 6(1), zakonite interese, za uveljavljanje katerih si prizadeva upravljavec ali tretja oseba;
  3. obstoj pravice, da se od upravljavca zahtevajo dostop do osebnih podatkov in popravek ali izbris osebnih podatkov ali omejitev obdelave v zvezi s posameznikom, na katerega se nanašajo osebni podatki, in obstoj pravice do ugovora obdelavi ter pravice do prenosljivosti podatkov;
  4. kadar obdelava temelji na točki (a) člena 6(1) ali točki (a) člena 9(2), obstoj pravice, da se lahko privolitev kadar koli prekliče, ne da bi to vplivalo na zakonitost obdelave podatkov, ki se je na podlagi privolitve izvajala do njenega preklica;
  5. pravico do vložitve pritožbe pri nadzornem organu;
  6. od kje izvirajo osebni podatki in po potrebi, ali izvirajo iz javno dostopnih virov, in
  7. obstoj avtomatiziranega sprejemanja odločitev, vključno z oblikovanjem profilov iz člena 22(1) in (4), ter vsaj v takih primerih smiselne informacije o razlogih zanj, kot tudi pomen in predvidene posledice take obdelave za posameznika, na katerega se nanašajo osebni podatki.

V upanju, da ste dobili odgovor na svoje vprašanje, vas lepo pozdravljamo.

Mojca Prelesnik, univ.dipl.prav.,                                                 

informacijska pooblaščenka

Pripravila:                                                                                                                                

Neja Domnik, mag. prav.,

raziskovalka pri IP