Informacijski pooblaščenec Republika Slovenija
   
dekorativna slika

IP opozarja podjetja, naj ne nasedajo poskusom izsiljevanja pod pretvezo varstva podatkov

+ -
26.02.2020

Informacijski pooblaščenec (IP) je zaznal primere zlorabe pravic posameznikov s področja varstva osebnih podatkov. Podjetjem in organizacijam zato priporočamo, da nikakor ne podležejo kakršnemukoli izsiljevanju. Morebitnim zlonamernim poskusom posameznikov pod pretvezo uveljavljanja pravic se bodo podjetja najbolj učinkovito zoperstavila z ustreznim urejanjem ključnih področij obdelave podatkov. Predvsem pri uveljavljanju pravice dostopa posameznika do lastnih podatkov iz člena 15 Splošne uredbe o varstvu podatkov, izvajanju neposrednega trženja in videonadzora naj podjetja in organizacije spoštujejo določbe Splošne uredbe in Zakona o varstvu osebnih podatkov (v nadaljevanju: ZVOP-1). Le tako lahko zakonito odgovorijo nekaterim posameznikom, katerih cilj je največkrat prav pridobitev premoženjske koristi in ne varstvo podatkov. IP je preko že objavljenih mnenj in telefonskega dežurstva na voljo za pojasnila v primeru posameznih izzivov, s katerimi se podjetja soočajo.

Pri zlorabi pravic gre lahko tudi za kazniva dejanja – v teh primerih naj se upravljavci obrnejo na policijo in ne podlegajo morebitnim grožnjam ali celo izsiljevanju posameznikov. Kakršnokoli plačilo izvensodne odškodnine domnevnemu oškodovancu tudi ne spremeni dejstva, da pomeni posredovanje osebnih podatkov posameznika tretji osebi brez pravne podlage kršitev predpisov. V zvezi s kaznivim dejanjem izsiljevanja in protipravne grožnje pa se je že izreklo tudi Vrhovno sodišče Republike Slovenije. To je (v odločbi I Ips 134/2005 ) potrdilo, da grožnja z uporabo legitimnih sredstev (npr. prijava IP) s ciljem koristoljubnosti pomeni zlorabo in gre posledično lahko za kaznivo dejanje izsiljevanja: http://sodisce.si/vsrs/odlocitve/26331/.

Zlorabe se v praksi nanašajo na naslednje situacije:

1. Neposredno trženje in naročanje po telefonu:

Posameznik se podjetju, ki se ukvarja z neposrednim trženjem ali prodajo blaga oz. storitev, prijavi na prejemanje novic, reklamnih obvestil ali naroči izdelek, ponudbo, storitev itd. Kmalu po prijavi in naročilu pa od upravljavca zahteva, da mu pojasni, od kod je pridobil njegove osebne podatke. Če podjetje ne more izkazati, na kakšen način je pridobilo njegove osebne podatke in ne zna dati ustreznih pojasniti, posameznik zahteva odškodnino in/ali grozi s prijavo IP. Podjetje se takim primerom najlažje ogne tako, da postopek prijave na novice ali naročilo blaga organizira tako, da ima dokaz in preveri identiteto posameznika (z neposrednim kontaktom, pošiljanjem potrditvenega elektronskega sporočila, zabeležko telefonskega klica itd.). V nasprotnem primeru namreč nima nobenega dokazila o tem, kdo mu je posredoval osebne podatke posameznika, ki jih ima v svoji bazi naročnikov ali prejemnikov komercialnih obvestil.

2. Izvajanje videonadzora

Posameznik obišče poslovni prostor, v katerem se izvaja videonadzor. Čez nekaj dni pa od upravljavca zahteva, da mu izroči kopijo posnetka za določen dan, na katerem naj bi bil posnet. Ko upravljavec posamezniku izroči posnetke, na katerih so (tudi) tretje osebe, ta zahteva odškodnino in/ali grozi s prijavo IP.

Upravljavec se mora pred izročitvijo kopije posnetka v zadostni meri prepričati, da je:

• posamezniku res izročil le tisti del posnetka, na katerem se nahaja konkretni posameznik, ki zahteva svoje podatke, (podobo ostalih posameznikov na posnetku pa je prekril oz. zameglil) in

• pred izročitvijo preveril identiteto posameznika, ki mu izroča posnetek,

v nasprotnem primeru se lahko zgodi, da posnetek izroči neupravičeni tretji osebi.

3. Nejasnosti glede pravnih podlag

Pomembno je, da podjetja poskrbijo za ustrezen pregled nad pravnimi podlagami za posamezne obdelave osebnih podatkov (tudi preko ažurnega vodenja evidenc dejavnosti obdelave), točnost in ažurnost podatkov in v primeru poslovanja preko pooblaščencev fizičnih oseb zahtevajo predložitev ustreznih pooblastil.

V nasprotnem primeru se sicer lahko zgodi, da posameznik (npr. kot pooblaščenec nekoga), ki ni pogodbena stranka upravljavca, uporabi svoj elektronski naslov npr. za potrebe registracije v določeno storitev upravljavca za tretjo osebo, ki je pogodbena stranka. Naknadno potem tak 'pooblaščenec' upravljavcu prepove obdelavo svojih osebnih podatkov za namene neposrednega trženja, pri tem pa zamolči dejstvo, da se določen njegov osebni podatek obdeluje v povezavi s pogodbeno stranko (npr. v vlogi pooblaščenca stranke). Ko tak posameznik kasneje kot pooblaščenec prejeme na svoj elektronski naslov sporočilo upravljavca, ki sicer nima trženjske narave, pa zahteva odškodnino in grozi s prijavo IP.