Informacijski pooblaščenec Republika Slovenija
   
dekorativna slika

Obdelava OP v okviru telekomunikacijskih storitev

+ -

Opozorilo: Mnenje je bilo izdano na podlagi določb Zakona o varstvu osebnih podatkov (ZVOP-1, Uradni list RS, št. 94/07 - uradno prečiščeno besedilo), ki je z dnem 26. 1. 2023 prenehal veljati in ga je nadomestil nov Zakon o varstvu osebnih podatkov (ZVOP-2, Uradni list RS, št. 163/22), zato mnenje ni več nujno aktualno. Mnenja po ZVOP-2 so na voljo tukaj.

Datum: 22.10.2018
Številka: 0712-3/2018/2063
Kategorije: Telekomunikacije in pošta

V vašem dopisu zastavljate naslednja vprašanja in prosite Informacijskega pooblaščenca (v nadaljevanju: IP) za mnenje:

  • Ali ponudnik mobilne telefonije, ko izvaja prenos podatkov v okviru izvajanja storitev mobilne telefonije za naročnika, izvaja obdelavo osebnih podatkov? Pri tem pojasnite, da vas zanima, ali je sam prenos podatkov prek telekomunikacijskega sredstva že tudi obdelava osebnih podatkov.
  • Ob predpostavki, da gre za obdelavo osebnih podatkov, vas zanima ali ta vidik obdelave ureja Splošna uredba o varstvu podatkov?
  • Zanima vas ali mora podjetje za uporabo službenih prenosnih telefonov s ponudnikom mobilne telefonije skleniti pogodbo o pogodbeni obdelavi osebnih podatkov kakor izhaja iz točke 3, člena 28 Splošne uredbe o varstvu podatkov?
  • Je mogoče enake zahteve razširiti na ponudnike vseh vrst komunikacijskih storitev, ki jih zadeva direktiva 2002/58/EC (t.i. e-privacy direktiva)?
  • Ali obstaja seznam vrst storitev, ki jih zadeva direktiva 2002/58/EC?
  • Ali ponudnik dostopa do interneta (zgolj omogočanje povezljivosti, brez dodatnih storitev kot npr. e-poštni predali) sodi v okvir direktive 2002/58/EC?
  • Ali ponudnik VoIP telefonije sodi v okvir direktive 2002/58/EC?
  • Ali je v kontekstu teh vprašanj potrebno kakorkoli razlikovati med ponudnikom VoIP telefonije, ponudnikom »klasične zemeljske« telefonije, in ponudnikom mobilne telefonije?
  • Ali ponudnik množičnega SMS sporočanja spada pod direktivo 2002/58/EC?
  • Kako naj se v kontekstu zgornjega vprašanja razume recital 173 in člen 95 Splošne uredbe o varstvu podatkov, ob upoštevanju, da nova Uredba e-privacy še ni sprejeta? Ali v kontekstu telekomunikacijskih storitev določbe Splošne uredbe o varstvu podatkov, ki presegajo okvir dolžnosti iz e-privacy direktive, ne veljajo?

*************************************

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju na podlagi 58. člena Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba), 7. točke prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07, uradno prečiščeno besedilo, v nadaljevanju ZVOP-1) ter 2. člena Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.

*************************************

Ali ponudnik mobilne telefonije, ko izvaja prenos podatkov v okviru izvajanja storitev mobilne telefonije za naročnika, izvaja obdelavo osebnih podatkov? Pri tem pojasnite, da vas zanima, ali je sam prenos podatkov prek telekomunikacijskega sredstva že tudi obdelava osebnih podatkov.

Da. Splošna uredba v 2. odstavku člena 4 opredeljuje obdelavo osebnih podatkov kot »vsako dejanje ali niz dejanj, ki se izvaja v zvezi z osebnimi podatki ali nizi osebnih podatkov z avtomatiziranimi sredstvi ali brez njih, kot je zbiranje, beleženje, urejanje, strukturiranje, shranjevanje, prilagajanje ali spreminjanje, priklic, vpogled, uporaba, razkritje s posredovanjem, razširjanje ali drugačno omogočanje dostopa, prilagajanje ali kombiniranje, omejevanje, izbris ali uničenje«.

Izhajajoč iz opisane opredelitve tudi prenos osebnih podatkov prek telekomunikacijskega omrežja že predstavlja obdelavo osebnih podatkov.

Ob predpostavki, da gre za obdelavo osebnih podatkov, vas zanima ali ta vidik obdelave ureja Splošna uredba o varstvu podatkov?

Da.

Zanima vas ali mora podjetje za uporabo službenih prenosnih telefonov s ponudnikom mobilne telefonije skleniti pogodbo o pogodbeni obdelavi osebnih podatkov kakor izhaja iz točke 3, člena 28 Splošne uredbe o varstvu podatkov?

Ne. Ponudnik mobilne telefonije v tem primeru ne nastopa kot pogodbeni obdelovalec, ampak kot ločeni (samostojni) upravljavec osebnih podatkov. Priporočamo, da si preberete Smernice o pogodbeni obdelavi (predvsem stran 10, kjer je podan odgovor na podobno vprašanje), ki so objavljene na spletni strani IP: https://www.ip-rs.si/fileadmin/user_upload/Pdf/smernice/Smernice_o_pogodbeni_obdelavi_web.pdf

Je mogoče enake zahteve razširiti na ponudnike vseh vrst komunikacijskih storitev, ki jih zadeva direktiva 2002/58/EC (t.i. e-privacy direktiva)? Ali obstaja seznam vrst storitev, ki jih zadeva direktiva 2002/58/EC? Ali ponudnik dostopa do interneta (zgolj omogočanje povezljivosti, brez dodatnih storitev kot npr. e-poštni predali) sodi v okvir direktive 2002/58/EC? Ali ponudnik VoIP telefonije sodi v okvir direktive 2002/58/EC? Ali je v kontekstu teh vprašanj potrebno kakorkoli razlikovati med ponudnikom VoIP telefonije, ponudnikom »klasične zemeljske« telefonije, in ponudnikom mobilne telefonije? Ali ponudnik množičnega SMS sporočanja spada pod direktivo 2002/58/EC?

Predlagamo, da se v zvezi z navedenimi vprašanji obrnete na Agencijo za komunikacijska omrežja in storitve RS (v nadaljevanju: AKOS), ki je pristojna za vsebinska pojasnila s področja direktive 2002/58/EC.

Kako naj se v kontekstu zgornjega vprašanja razume recital 173 in člen 95 Splošne uredbe o varstvu podatkov, ob upoštevanju, da nova Uredba o e-zasebnosti (ang. e-privacy regulation) še ni sprejeta? Ali v kontekstu telekomunikacijskih storitev določbe Splošne uredbe o varstvu podatkov, ki presegajo okvir dolžnosti iz direktive o e-zasebnosti, ne veljajo?

V zvezi z opisano dilemo je potrebno upoštevati določbe Splošne uredbe glede obdelave osebnih podatkov, razen kjer in kadar področna zakonodaja podrobneje ureja specifične vidike obdelave osebnih podatkov. V delih, ki jih ureja npr. Direktiva 2002/58/EC in na njeni podlagi Zakon o elektronskih komunikacijah (kadar gre za področje obdelave osebnih podatkov v okviru telekomunikacijskih storitev), veljajo določbe teh področnih predpisov.

Pripravil:

mag. Matjaž Drev,

državni nadzornik za varstvo osebnih podatkov

Mojca Prelesnik, univ. dipl, prav.,

Informacijska pooblaščenka