Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Mnenja - VOP

+ -
Datum: 03.12.2010
Naslov: Enotni spletni portal Urbana in splošni pogoji
Številka: 0712-442/2010
Vsebina: Moderne tehnologije
Pravni akt: Mnenje

Informacijski pooblaščenec je 8. 11. 2010 prejel vaš dopis, v katerem prosite za mnenje glede splošnih pogojev uporabe spletne aplikacije Urbana. K dopisu ste priložili predlog splošnih pogojev, ki naj bi jih uporabniki spletne aplikacije Urbana sprejeli, ob tem pa vas zanima ali so predlagani splošni pogoji skladni z zahtevami Zakona o varovanju osebnih podatkov.

Avtentično razlago posameznih določb zakona daje le Državni zbor, neobvezno pa predlagatelj zakona, zato vam na podlagi informacij, ki ste nam jih posredovali, v nadaljevanju na podlagi 7. točke 1. odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1; ZVOP-1) ter 2. člena Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 - ZUstS-A; ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.

Iz predloženih splošnih pogojev izhaja, da želite uporabnikom ponuditi novo storitev - vpogled v podatke o opravljenih validacijah in finančnih transakcijah s terminsko kartico Urbana za obdobje od dneva registracije do s splošnimi pogoji določenega roka hrambe podatkov ter izvoz teh podatkov. Takšna ponudba predpostavlja izhodiščno hrambo podatkov o validacijah s terminsko kartico Urbana, za katero je Pooblaščenec že odločil, da je nezakonita, saj nima temelja v privolitvi posameznika, hkrati je v nasprotju z načelom sorazmernosti, saj za namene izvajanja storitev prevoza s terminsko kartico ni potrebna.

Ponudba takšne storitve je po mnenju Pooblaščenca dopustna le pod pogojem, da se osebni podatki dejansko začnejo shranjevati z dnem posameznikovega privolitve in končajo z dnem njenega preklica ter se shranjujejo le za posameznike, ki so to želeli (dokler to želijo); ločeno za validacijo terminskih kartic in finančnih transakcij.

Pod zgornjimi pogoji bi bila obdelava osebnih podatkov dopustna, Pooblaščenec pa opozarja še na vidik informiranosti in odgovornosti, kot sta opredeljena v predloženih splošnih pogojih. Predvsem mora biti postopek registracije uporabnika zasnovan tako, da se potencialni uporabnik natančno seznani z obsegom podatkov, ki naj bi se o njem zbirali. Privolitev posameznika o obdelavi njegovih osebnih podatkov (v tem primeru gre za podatke o validacijah in finančnih transakcijah) mora biti jasna in nedvoumna, nanašati pa se mora na celoten sistem Urbana in ne zgolj na portal.
Prav tako je treba zagotoviti ustrezno odgovornost obdelovalca osebnih podatkov, ki je dolžan zagotavljati ažurnost in točnost podatkov, mora pa tudi poskrbeti za ustrezne organizacijske in tehnične ukrepe za zavarovanje osebnih podatkov. Odgovornost obdelovalca osebnih podatkov je v predlogu splošnih pogojev opredeljena preveč ozko, odgovornost registriranega uporabnika portala pa preširoko. Pooblaščenec meni, da je potrebno nekatere dele predloga splošnih pogojev uporabe spletnega portala Urbana ustrezno formulirati, posamezne odstavke pa izbrisati.

Spletna aplikacija Urbana, ki ste nam jo predstavili v vašem dopisu in omogoča, da se registriran uporabnik seznani s podatki o validacijah in finančnih transakcijah, ki jih je opravil s svojo terminsko kartico Urbana, je z vidika ZVOP-1 načeloma dopustna, če posameznik poda izrecno privolitev, da se strinja z obdelavo svojih osebnih podatkov. Pri takšni obdelavi mora biti posameznik jasno in nedvoumno seznanjen z vrsto osebnih podatkov, ki se bodo obdelovali, prav tako tudi s časom shranjevanja teh osebnih podatkov.

Pooblaščenec poudarja, da mora uporabnik aktivno podatki svojo privolitev v hranjenje podatkov o validacijah in opravljenih finančnih transakcijah. Če posameznik te privolitve ne izrazi, potem tudi enomesečno shranjevanje nima pravne podlage. Osebna privolitev posameznika se mora nanašati na celoten sistem Urbana in ne samo na portal. Zato priporočamo, da ste pri besedilu, na podlagi katerega posameznik poda osebno privolitev, zelo transparentni do posameznika – primer takšnega transparentnega besedila je lahko: »S potrditvijo tega okenca se strinjam, da se v sistemu Urbana hranijo podatki o mojih validacijah in opravljenih transakcijah za obdobje (uporabnik naj sam obkljuka možnost, ki so jo želi, npr. 1, 6 ali 12 mesecev)«, pri tem pa si lahko potencialni uporabniki nabor možnih časovnih obdobji izberejo sami. Privzeta hramba podatkov za obdobje 1 meseca za vse, ki se registrirajo na portalu, je brez podlage v osebni privolitvi posameznika nezakonita.

V priloženem pravilniku je problematičen drugi odstavek 3. točke (odgovornost uporabnika). Ta namreč določa, da »uporabnik prevzema odgovornost za vse aktivnosti, ki bodo opravljene z njegovim uporabniškim imenom in geslom.«
Sicer je mogoče sklepati, da gre za vsebinsko nadaljevanje prvega odstavka, ki določa, da upravljavec ne odgovarja za škodo, ki bi lahko nastala uporabniku zaradi napačnega dostopa, napačne uporabe ali nezmožnosti uporabe podatkov. Vendar pa je prenos odgovornosti za vse aktivnosti, ki bodo opravljene z uporabnikovim imenom in geslom, na samega uporabnika, sporen. Lahko se zgodi, da nepooblaščena oseba pridobi podatke o uporabnikovem geslu in ob zadostnem tehničnem znanju naredi večjo škodo na informacijski opremi ali podatkovnih bazah, ki jih uporablja vaše podjetje. V tem primeru posameznik ne more in ne sme kazensko ali civilnopravno odgovarjati za nastalo škodo. Pooblaščenec zato priporoča, da drugi odstavek 3. točke Predloga izbrišete.

Popraviti je potrebno tudi 4. točko (odgovornost upravljavca), kjer je navedeno, da se »upravljavec zavezuje za ažurnost, točnost in pravilnost podatkov in vsebin na straneh portala … vendar pa za neažurnost, netočnost in nepravilnost podatkov ne prevzema odgovornosti, saj zaradi spremenljive narave vsebin ne more zagotavljati, da so te posodobljene in popolne.«
18. člen ZVOP-1 v prvem odstavku določa, da morajo biti osebni podatki, ki se obdelujejo, točni in ažurni. To pomeni, da je upravljavec osebnih podatkov zavezan in s tem tudi odgovoren za zagotavljanje točnosti in ažurnosti osebnih podatkov. Seveda v praksi zaradi tehničnih omejitev načela ažurnosti in točnosti ni mogoče uresničevati tako rekoč nemudoma, ampak pogosto prihaja do določenih časovnih zamikov, ki nastanejo zaradi omejitev tehnične opreme, komunikacijskih sredstev, sinhronizacije baz podatkov in drugih objektivnih razlogov. Vendar pa je potrebno postaviti razumen časovni okvir, ki bo omogočil, da se preveri točnost in ažurnost podatkov. Tako npr. nekatere spletne aplikacije za dostop do bančnega računa spremembe tekočega dneva prikažejo šele naslednji dan oziroma celo kasneje, vendar v pogojih uporabe določijo časovni rok, ko bodo spremembe tekočega stanja uporabniku dejansko prikazane. Ne glede na navedeno pa se upravljavec osebnih podatkov s predlaganim besedilom ne more izogniti zakonski dolžnosti glede zagotavljanja točnosti in ažurnosti podatkov, zato Pooblaščenec predlaga črtanje dela besedila, kjer upravljavec osebnih podatkov navaja, da za neažurnost, netočnost in nepravilnost podatkov ne prevzema odgovornosti, saj mu to nalaga že zakon.

Vsekakor je sporen zadnji odstavek 4. točke Predloga, ki v alinejah določa, kdaj upravljavec ni odgovoren za morebitno škodo. Vsebina prve alineje je sicer sprejemljiva, saj za motnje v t.i. širokem omrežju (wide area network ali WAN), kamor sodi tako internet kot tudi splet (čeprav se izraza pogosto uporabljata kot sopomenki, gre vsebinsko za ločena tehnična pojma), posamezna podjetja (v vlogi obdelovalca osebnih podatkov) načeloma niso odgovorna. Vendar pa so druga, tretja, četrta in peta alineja vsekakor sporne z vidika 24. člena ZVOP-1, ki določa pogoje zavarovanja osebnih podatkov

24. člen ZVOP-1 namreč določa, da mora obdelovalec osebnih podatkov zagotoviti ustrezne organizacijske, tehnične in logično tehnične postopke in ukrepe, s katerimi se varujejo osebni podatki, preprečuje slučajno ali namerno nepooblaščeno uničevanje podatkov, njihova sprememba ali izguba ter nepooblaščena obdelava teh podatkov in sicer tako, da se:

  • Varujejo prostori, oprema in sistemsko programska oprema, vključno z vhodno-izhodnimi enotami;
  • Varuje aplikativna programska oprema, s katero se obdelujejo osebni podatki;
  • Preprečuje nepooblaščen dostop do osebnih podatkov pri njihovem prenosu, vključno s prenosom po   telekomunikacijskih sredstvih in omrežjih;
  • Zagotavlja učinkovit način blokiranja, uničenja, izbrisa ali anonimiziranja osebnih podatkov;
  • Omogoča poznejše ugotavljanje, kdaj so bili posamezni osebni podatki vneseni v zbirko osebnih podatkov, uporabljeni ali drugače obdelani in kdo je to storil, in sicer za obdobje, ko je mogoče zakonsko varstvo pravice posameznika zaradi nedopustnega posredovanja ali obdelave osebnih podatkov.

Ob tem 25. Člen ZVOP-1 še posebej določa, da so upravljavci osebnih podatkov dolžni zagotoviti zavarovanje osebnih podatkov na način iz prejšnjega člena tega zakona.

Iz tega izhaja, da je upravljavec osebnih podatkov vsekakor odgovoren za situacije, ki jih naštevajo druga, tretja, četrta in peta alineja 4. točke vašega Predloga. Bolj konkretno to pomeni, da ste odgovorni (vsaj):

  • za okvare ali izgube podatkov, ki nastanejo kot posledica tehničnih napak;
  • nedovoljen dostop do vaših strežnikov s strani tretjih oseb in/ali uporabo kakršnih koli osebnih podatkov, ki so tam shranjeni;
  • viruse, ki bi jih lahko tretja stranka prenesla prek portala;

Izjemoma upravljavec ne bi bil odgovoren za dejanja tretjih oseb, ki bi jih lahko šteli med kazniva dejanja, kot so vdor v informacijski sistem in podobno. Pooblaščenec zato meni, da bi bilo prej omenjene alineje iz 4. točke (odgovornost upravljavca) Predloga potrebno izbrisati.

6. točka (varovanje uporabniškega računa) vsebuje neustrezno formuliran zapis, ki bi ga bilo potrebno ali v celoti umakniti ali ustrezno popraviti. V četrtem odstavku te točke je namreč zapisano, da se »registriran uporabnik obenem zavezuje, da bo v skladu z veljavnimi predpisi, ki urejajo varstvo osebnih podatkov, varoval svoje uporabniško geslo…«.
ZVOP-1 določa zgolj obveznosti upravljavcev in pogodbenih obdelovalcev osebnih podatkov, ne pa obveznosti uporabnika storitve, ki jo izvaja upravljavec osebnih podatkov. Registriran uporabnik se torej ne more zavezati, da bo spoštoval predpise, ki izhajajo iz ZVOP-1, saj lahko posameznik s svojimi osebnimi podatki sam neomejeno in prostovoljno razpolaga. 7. člen ZVOP-1 namreč določa, da se ta zakon ne uporablja za obdelavo osebnih podatkov, ki jo izvajajo posamezniki izključno za osebno uporabo, družinsko življenje ali za druge domače potrebe.

Glede 7. točke (reševanje sporov) Predloga Pooblaščenec svetuje, naj bodo možnosti (v Predlogu se nahajajo v rumenem okvirju), ki jih registriran uporabnik portala lahko izbere, neizbrane. To pomeni, da bodo morebitna okenca, ki jih bo lahko uporabnik obkljukal (npr. točko 1, 2 ali 3), prazna, saj bi v nasprotnem primeru nepazljivi uporabnik lahko nevede in nehote izbral vnaprej določeno opcijo.


Prijazen pozdrav,

Informacijski pooblaščenec:
Nataša Pirc Musar, univ.dipl.prav.,
pooblaščenka