Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Mnenja - VOP

+ -
Datum: 07.05.2012
Naslov: Pridobivanje osebnih podatkov prek nameščene opreme
Številka: 0712-1/2012/1504
Vsebina: Moderne tehnologije
Pravni akt: Mnenje

Informacijski pooblaščenec je dne 24.04.2012 po elektronski pošti prejel vaš dopis, kjer navajate, da naj bi zaposleni v slovenskem podjetju namestili t.i. piratsko (nezakonito) različico programske opreme tujega proizvajalca. Isto podjetje naj bi čez čas dobilo uradni dopis posredniškega podjetja, ki v imenu proizvajalca omenjene programske opreme zahteva, da slovensko podjetje kupi licence za nameščeno programsko opremo. V nasprotnem primeru naj bi sledil pravni spor. Posredniško podjetje naj bi do informacij o nezakonito nameščeni programski opremi prišlo s pomočjo »zanesljivih virov«, te informacije pa naj bi vključevale podatke o namestitvi nezakonite programske opreme, in sicer: čas namestitve, ip naslov računalnika, uporabniško ime, mrežno ime računalnika, MAC naslov mrežne kartice in naziv podjetja, kjer naj bi bila programska oprema nameščena.

Sumite, da so te podatke pridobili s pomočjo t.i. trojanskega konja, ki naj bi bil vgrajen v nezakonito nameščeno različico programske opreme. V zvezi s tem imate tri konkretna vprašanja:
1)    Ali je takšno pridobivanje podatkov sporno z vidika zakonodaje o varstvu osebnih podatkov?
2)    Ali je v tej programski opremi t.i. trojanski konj?
3)    Ali lahko omenjeno slovensko podjetje v primeru morebitnega mednarodnega pravnega spora računa na zaščito s strani domače zakonodaje, ki varuje osebne podatke?


Avtentično razlago posameznih določb zakona daje le Državni zbor, neobvezno pa predlagatelj zakona, zato vam na podlagi informacij, ki ste nam jih posredovali, v nadaljevanju na podlagi 7. točke 1. odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1; ZVOP-1) ter 2. člena Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 - ZUstS-A; ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.

Ad 1) Ali je takšno pridobivanje podatkov sporno z vidika zakonodaje o varstvu osebnih podatkov?
Varstvo osebnih podatkov v Republiki Sloveniji je urejeno v ZVOP-1, del komunikacijske zasebnosti pa tudi v Ustavi, v KZ-1 in v ZEKom. Uvodoma je potrebno razčistiti, kaj osebni podatki sploh so in ali podatki, ki jih je omenjeno podjetje pridobilo prek »zanesljivih virov« dejansko predstavljajo osebne podatke.
ZVOP-1 osebne podatke opredeljuje kot katerekoli podatke, ki se nanašajo na posameznika, ne glede na obliko, v kateri so izraženi. Iz kombinacije podatkov kot so IP naslov računalnika, uporabniško ime, MAC naslov mrežne kartice in ime podjetja, je nedvomno mogoče z veliko verjetnostjo določiti uporabnika in posredno tudi fizičnega posameznika, ki stoji za uporabniškim imenom. Zato bi šlo v tem primeru za osebne podatke v smislu definicije ZVOP-1.
Obdelava osebnih podatkov je po omenjenem zakonu dopustna, če je izpolnjen eden od dveh pogojev. Bodisi obstaja osebna privolitev posameznika, bodisi obdelavo omogoča zakon. V tem konkretnem primeru bi bila obdelava osebnih podatkov v opisanih okoliščinah – kolikor je mogoče sklepati iz vsebine dopisa – dopustna le na podlagi osebne privolitve.
Pri nameščanju programske opreme uporabnik praviloma sprejme pogoje uporabe te opreme, ki so določeni v EULA (End User License Agreement). V teh pogoji mora biti določeno, kakšne so obveznosti uporabnika glede uporabe programske opreme, prav tako tudi pravice lastnika programske opreme glede morebitne obdelave osebnih podatkov. Zato Pooblaščenec svetuje, da najprej natančno preberete pogoje uporabe omenjene programske opreme in ugotovite, ali je tam omenjeno kakršnokoli pridobivanje osebnih (in drugih) podatkov. Če v pogojih uporabe (niti kje drugje) obdelava osebnih/drugih podatkov ni določena, gre zelo verjetno za nezakonito obdelavo teh podatkov in s tem za kršitev določb ZVOP-1.

Ad 2) Ali je v tej programski opremi trojanski konj?
Trojanski konji so posebni (škodljivi) programi, ki s pomočjo krinke (npr. s predstavljanjem za nek neškodljiv program ali datoteko) »napadalcu« omogočijo nezakonit dostop do okuženega računalnika (oz. omrežene elektronske naprave). V vašem primeru bi bilo bolj smotrno govoriti o funkciji trojanskega konja, ne pa o samem trojanskem konju. Vendar ta razlika v tem kontekstu ni pomembna, gre le za to ali je nezakonito nameščen program mimo vednosti uporabnikov pridobival določene osebne podatke in jih posredoval tretjim osebam (najverjetneje lastnikom programske opreme). Pooblaščenec vam na to vprašanje žal ne more odgovoriti, saj iz vašega dopisa ni razvidno, za točno kateri program naj bi šlo. Je pa z določeno verjetnostjo mogoče sklepati, da so bili osebni podatki dejansko pridobljeni na tak način – to je, s pomočjo nezakonito nameščenega programa, ki je mimo vednosti uporabnikov zbiral osebne podatke in jih posredoval naprej. Toda, kot rečeno, gre za domnevno, ki je brez informacij o tem, za katero programsko opremo gre, ni mogoče zanesljivo potrditi ali ovreči.

Ad 3) Ali lahko omenjeno slovensko podjetje v primeru morebitnega mednarodnega pravnega spora računa na zaščito s strani domače zakonodaje, ki varuje osebne podatke?
Nezakonito nameščanje programske opreme v okviru slovenske zakonodaje predstavlja kršitev ZASP. Po drugi strani pa nezakonita obdelava (pridobivanje) osebnih podatkov predstavlja kršitev določb ZVOP-1. V vašem primeru bi lahko prišlo do morebitne civilne tožbe na sodišču na ozemlju Republike Slovenije, saj se podjetje, kjer je bila nezakonito nameščena programska oprema, najverjetneje nahaja v Sloveniji (oz. je tu celo registrirano). Pooblaščenec ne more in ne sme ugibati, kako bi v takem primeru odločilo Sodišče. Vsekakor pa bi najverjetneje šlo za kršitev tako določb ZASP (s strani slovenskega podjetja) kot tudi določb ZVOP-1 (s strani tujega podjetja), razen, če bi to podjetje uspelo dokazati, da je prej omenjene osebne podatke pridobilo na zakonit način, bodisi na podlagi osebne privolitve posameznikov, bodisi na podlagi zakona.  Pooblaščenec posebej opozarja na dejstvo, da je odločitev o tem, ali bo upoštevalo dokaze, četudi bi bili ti pridobljeni s kršitvijo kakšnih pravic, povsem v rokah sodišča (še posebej v civilnopravnih sporih).


Prijazen pozdrav,


Informacijski pooblaščenec:
Nataša Pirc Musar,