Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Mnenja - VOP

+ -
Datum: 29.06.2017
Naslov: Obličnost pogodbene obdelave osebnih podatkov
Številka: 0712-1/2017/1328
Vsebina: Moderne tehnologije, Pogodbena obdelava OP, Posredovanje OP med upravljavci
Pravni akt: Mnenje

Spoštovani,

 

Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaše zaprosilo za mnenje. Kot ste pojasnili, gre za aplikacijo, ki so jo bo potrošnik naložil na telefon in v katero bo vpisal tudi osebne podatke – obseg teh podatkov je še vprašljiv, šlo pa bo najmanj za ime in priimek, naslov ter rojstni datum. Vaša stranka bo sklenila pisno pogodbo z družbo, ki bi na svojih strežnikih hranila bazo teh osebnih podatkov in bo pri tem upoštevala vse potrebne zakonske zahteve. Potrošnik bo ob namestitvi aplikacije podal osebno privolitev za obdelavo osebnih podatkov. Kot dalje pojasnjujete, se bo potrošnik registriral v tej aplikaciji z namenom, da bo kasneje pod določenimi pogoji pri končnih ponudnikih storitev dobil določene ugodnosti, se naročal na termine, npr. pri gostincih. Gostinec bo sklenil pogodbo z vašo stranko, da bo lahko uporabljal to aplikacijo, pogodba pa ne bo v pisni obliki. Gostinec bo lahko nato pri uporabi aplikacije pogledal v zbrane osebne podatke tistih potrošnikov, ki bodo pri njem naročeni na storitve v prihodnje ali tistih, ki so tega gostinca označile kot svojega gostinca (s čimer se bodo potrošniki strinjali in bodo na to opozorjeni). Osebni podatki bodo vedno na strežniku pogodbenega upravljavca, dostopni bodo le z uporabniškim imenom in geslom, ki ga bo prejel gostinec.

 

Za obdelavo osebnih podatkov mora biti skladno z določilom 11. člena ZVOP-1 sklenjena pogodba v pisni obliki, kar pa v obravnavanem primeru glede na obseg dejavnosti in glede na potencialno širjenje še na druge države   kot pojasnjujete - ni izvedljivo. Zanima vas, ali je med vašo stranko, ki je upravljavec osebnih podatkov in gostincem možno skleniti pogodbo v obliki, ki ni v materialni obliki (na papirju) temveč na daljavo, ki jo gostinec sklene tako, da z vsebino soglaša, nato pa po elektronski pošti pošlje pogodbo z vsebino, ki je skladna z zakonom in si jo nenazadnje lahko tudi natisne?

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju na podlagi 7. točke prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07, uradno prečiščeno besedilo, v nadaljevanju ZVOP-1) ter  2. člena Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašimi vprašanji.

 

IP uvodoma opozarja, da je naprej treba natančno ugotoviti, v kakšni vlogi nastopa posamezna stranka, ki bo udeležena v opisanih procesih obdelave osebnih podatkov. Na podlagi podanega opisa predpostavljamo, da je vaša stranka tista, ki je razvila aplikacijo in določila namene in sredstva za njeno uporabo. Jasno je torej, da je vaša stranka upravljavec osebnih podatkov, kateri bo potrošnik podal privolitev za obdelavo osebnih podatkov, pojavlja pa se vprašanje, v kakšni vlogi nastopajo ponudniki storitev, kot npr. gostinci in drugi. Glede na to, da bodo osebne podatke posameznikov sodeč po opisu uporabljali za lastne namene, jih ni mogoče šteti za pogodbene obdelovalce za vašo stranko, temveč za ločene upravljavce. Gostinec namreč ne bo obdeloval osebnih podatkov v imenu in za račun vaše stranke, temveč za lastne namene, za to ga je treba šteti za upravljavca osebnih podatkov. To posledično pomeni, da ne gre za pogodbeno obdelavo osebnih podatkov in da obličnost pogodbe ni relevantna[1], temveč bodo morali gostinci in drugi ponudniki storitev pridobiti privolitev posameznika, da njegove osebne podatke obdelujejo v vnaprej opredeljene namene, razen če s tovrstno ustrezno privolitvijo posameznika že razpolagajo. Posameznik namreč mora biti seznanjen, komu vse (katerim upravljavcem) bo z uporabo aplikacije zaupal svoje podatke in za kakšne namene (19. člen ZVOP-1).

 

Privolitev posameznika mora biti skladna za zahtevami ZVOP-1, posebej pa opozarjamo, da 25. 5. 2018 v uporabo stopi Splošna Uredba (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov; uredba), ki glede privolitve določa strožje pogoje, kar je smiselno upoštevati še sedaj pri razvoju aplikacije. Relevantne so predvsem uvodna določba 171 ter členi 6, 7 in 8.

 

S spoštovanjem,

 

Pripravil:

mag. Andrej Tomšič,

namestnik informacijske pooblaščenke

 

Informacijski pooblaščenec:

Mojca Prelesnik, univ. dipl. prav.,

informacijska pooblaščenka


[1] 11. člen sicer izrecno ne določa obličnosti pogodbe razen tega, da mora biti v pisni obliki, kar pa pomeni, da je lahko tudi v ustrezni elektronski obliki.