Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Mnenja - VOP

+ -
Datum: 26.09.2017
Naslov: GDPR hramba
Številka: 0712-3/2017/40
Vsebina: Rok hrambe OP, Zavarovalništvo, Neposredno trženje, nagradne igre, Razno
Pravni akt: Mnenje

Spoštovani,

 

Informacijski pooblaščenec (v nadaljevanju IP) je prejel vaše zaprosilo za mnenje glede sorazmernosti hrambe osebnih podatkov, ki jih zavarovalnica obdeluje za namene neposrednega trženja in segmentacije strank za trženjske namene, na podlagi pridobljenih informiranih osebnih privolitev posameznikov ob sklenitvi pogodbe o zavarovanju oziroma pred začetkom sodelovanja posameznikov v nagradnih igrah, na prireditvah in drugih dogodkih v organizaciji zavarovalnice. Pojasnjujete, da tako zbrane osebne podatke za namen neposrednega trženja, skladno s pridobljenimi privolitvami, praviloma obdelujete »do preklica privolitve«. Menite, da je v skladu z novo Splošno uredbo o varstvu podatkov (uredba) pri roku hrambe potrebno upoštevati tudi razumna pričakovanja posameznika, ki poda privolitev, zato se vam zastavlja vprašanje, ali ni rok hrambe »do preklica privolitve« nesorazmerno dolg (upoštevaje tako načelo sorazmernosti, kot tudi načelo točnosti in ažurnosti osebnih podatkov po ZVOP-1 in načela po uredbi). V zvezi s tem vas zanima, ali je hramba osebnih podatkov, pridobljenih na podlagi (informirane) osebne privolitve posameznika »do preklica privolitve« skladna z ZVOP-1 oziroma uredbo in pri tem ne gre za nesorazmerno dolg rok hrambe (upoštevaje dejstvo, da je posameznik ob podaji privolitve informiran o trajanju obdelave njegovih osebnih podatkov za določene namene »do preklica privolitve«). Razmišljate, ali ne bi z ZVOP-1 oziroma uredbo bila skladnejša ureditev hrambe osebnih podatkov s krajšim, npr. 10-letnim rokom hrambe (zlasti z vidika načela sorazmernosti ter točnosti in ažurnosti osebnih podatkov). Zanima vas tudi, ali bi bilo zakonito brisanje hranjenih osebnih podatkov pred samim preklicem privolitve posameznika v to (npr. po 10 letih, čeprav vam je posameznik podal privolitev za obdobje »do preklica privolitve«)?

 

IP uvodoma pojasnjuje, da se Splošna uredba o varstvu osebnih podatkov prične uporabljati 25. 5. 2018, s čimer stopijo v uporabo tudi pristojnosti IP glede izdajanja nezavezujočih mnenj na podlagi določb uredbe, zato lahko svoje mnenje v obdobju pred uporabo uredbe podamo le na podlagi obstoječe zakonodaje o varstvu osebnih podatkov. Tako vam na podlagi informacij, ki ste nam jih posredovali, v nadaljevanju na podlagi 7. točke prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07, uradno prečiščeno besedilo, v nadaljevanju ZVOP-1) ter 2. člena Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašimi vprašanji.

 

  1. Opredelitev roka hrambe

Rok hrambe osebnih podatkov je v ZVOP-1 predpisan v 21. členu, ki v prvem odstavku določa, da se osebni podatki lahko shranjujejo le toliko časa, dokler je to potrebno za dosego namena, zaradi katerega so se zbirali ali nadalje obdelovali. Drugi odstavek istega člena pa določa, da se osebni podatki po izpolnitvi namena obdelave zbrišejo, uničijo, blokirajo ali anonimizirajo, če niso na podlagi zakona, ki ureja arhivsko gradivo in arhive, opredeljeni kot arhivsko gradivo, oziroma če zakon za posamezne vrste osebnih podatkov ne določa drugače.

 

Iz navedenega sledi, da pravna podlaga za hrambo osebnih podatkov (tudi tistih, zbranih na podlagi informirane pisne privolitve posameznika) po ZVOP-1 odpade z izpolnitvijo namena, za katerega so bili osebni podatki zbrani in nadalje obdelovani. To potrjuje tudi določba 16. člena ZVOP-1, kjer je določeno, da se osebni podatki lahko zbirajo le za določene in zakonite namene ter se ne smejo nadalje obdelovati tako, da bi bila njihova obdelava v neskladju s temi nameni, če zakon ne določa drugače. Iz določb 21. člena ZVOP-1 sicer izrecno ne izhaja, da bi moral upravljavec obdelavo osebnih podatkov omejiti s časom hranjenja oziroma da bi moral posameznik pred podajo pisne privolitve k obdelavi njegovih osebnih podatkov, biti predhodno pisno seznanjen s časom shranjevanja, kar pomeni, da je odločanje o času hrambe osebnih podatkov prepuščeno obdelovalcu osebnih podatkov. V kolikor je torej privolitev sicer zakonita bi bila teoretično lahko veljavna tako privolitev izrecno dana 'do preklica' kot tudi privolitev z navedbo obdobja obdelave v letih (pri čemer je treba ločiti obdobje zakonite obdelave in zakonite hrambe). Z vidika temeljnih načel ZVOP-1 iz 2. in 3. člena ZVOP-1, v skladu s katerimi se osebni podatki morajo obdelovati zakonito in pošteno, obenem pa morajo biti osebni podatki, ki se obdelujejo, ustrezni in po obsegu primerni glede na namene, za katere se zbirajo in nadalje obdelujejo in z vidika pravne varnosti, je prav v izogib nejasnostim kljub vsemu priporočeno, da je posameznik pred podajo osebne privolitve seznanjen ne le s samo obdelavo in namenom obdelave, pač pa tudi z rokom hrambe (merili rokov hrambe) njegovih osebnih podatkov. Takšen pristop omejuje možnosti zlorab, olajša zakonitost poslovanja upravljavca, hkrati pa ga narekuje tudi temeljno načelo točnosti in ažurnosti osebnih podatkov, kot ga določa 18. člen ZVOP-1. V skladu s tem načelom morajo biti osebni podatki, ki se obdelujejo, točni in ažurni. S to dolžnostjo upravljavca osebnih podatkov je zato povezana posameznikova pravica iz 32. člena ZVOP-1, ki posamezniku daje možnost dopolnitve, popravka, blokiranja, izbrisa in ugovora.

 

73. člen ZVOP-1 še določa, da posameznik lahko kadarkoli pisno ali na drug dogovorjen način zahteva, da upravljavec osebnih podatkov trajno ali začasno preneha uporabljati njegove osebne podatke za namen neposrednega trženja. Upravljavec osebnih podatkov je dolžan v 15 dneh ustrezno preprečiti uporabo osebnih podatkov za namen neposrednega trženja ter o tem v nadaljnjih petih dneh pisno ali na drug dogovorjen način obvestiti posameznika, ki je to zahteval. Pri tem ni treba, da upravljavec zbrane osebne podatke izbriše, uniči ali kako drugače naredi za neuporabne (kot mora to narediti v primeru uveljavljanja pravice do izbrisa iz 32. člena ZVOP-1), mora pa onemogočiti njihovo uporabo za namen neposrednega trženja.

 

Splošna Uredba (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (v nadaljevanju uredba), ki bo »nasledila« ZVOP-1 vsebuje splošno določbo o hranjenju osebnih podatkov v členu 5 (in uvodni navedbi 39), ki opredeljuje načela v zvezi z obdelavo osebnih podatkov, prav tako v členih 13 in 14, ki predpisujeta pogoje za informiranje posameznikov ter členu 15, ki določa pravico posameznika, na katerega se nanašajo osebni podatki, da od upravljavca pridobi določene informacije, tudi o predvidenem obdobju hrambe. Za hranjenje osebnih podatkov za namen neposrednega trženja, ki temelji na osebni privolitvi posameznika, so seveda nepogrešljive še določbe o privolitvi iz člena 7 (in uvodna navedba 32) uredbe in člena 21 uredbe, v katerem je posebej urejena pravica do ugovora, kadar se osebni podatki obdelujejo za namen neposrednega trženja (če gre za obdelavo »na temelju zakonitih interesov« po točki f prvega odstavka 6. člena uredbe, ki torej ne temelji na osebni privolitvi).

 

Shranjevanje osebnih podatkov je le eden od možnih načinov obdelave osebnih podatkov, pri katerem mora upravljavec najprej upoštevati vsa načela iz člena 5 uredbe (»zakonitost, pravičnost in preglednost«, »omejitev namena«, »najmanjši obseg podatkov«, »točnost«, »celovitost in zaupnost«, »odgovornost«), še zlasti pa načelo »omejitev shranjevanja«, ki določa, da so osebni podatki hranjeni v obliki, ki dopušča identifikacijo posameznikov, na katere se nanašajo osebni podatki, le toliko časa, kolikor je potrebno za namene, za katere se osebni podatki obdelujejo. Osebni podatki se lahko shranjujejo za daljše obdobje, če bodo obdelani zgolj za namene arhiviranja v javnem interesu, za znanstveno- ali zgodovinskoraziskovalne namene ali statistične namene v skladu s členom 89(1), pri čemer je treba izvajati ustrezne tehnične in organizacijske ukrepe iz te uredbe, da se zaščitijo pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki. Iz navedenega načela izrecno ne izhaja, da bi se osebni podatki za namen neposrednega trženja lahko shranjevali za daljše obdobje. Uvodna navedba 39 k navedenemu še dodaja, da bi osebni podatki morali biti ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo. Zato bi bilo treba zlasti zagotoviti, da je obdobje hrambe osebnih podatkov omejeno na najkrajše mogoče obdobje glede na namen, kot izhaja iz pravne podlage za obdelavo. Poleg tega bi se osebni podatki lahko obdelovali le, če namena obdelave ne bi bilo mogoče razumno doseči z drugimi sredstvi. Za zagotovitev, da se osebni podatki hranijo le toliko časa, kolikor je potrebno, pa bi moral upravljavec določiti roke za izbris ali občasno preverjanje (ne glede na to, ali so ti navedeni v privolitvi ali ne).

 

Za zagotavljanje poštene in pregledne obdelave osebnih podatkov v zvezi s posameznikom, na katerega se ti nanašajo, mora upravljavec posamezniku v skladu s členom 13 oziroma 14 uredbe med ostalim zagotoviti tudi informacijo o obdobju hrambe osebnih podatkov ali, kadar to ni mogoče, merila (angl. »the criteria«), ki se uporabijo za določitev tega obdobja. Prav tako mora upravljavec to informacijo posamezniku zagotoviti tudi v skladu s členom 15 uredbe, in sicer v okviru pravice posameznika, na katerega se nanašajo osebni podatki, da od upravljavca dobi potrditev, ali se v zvezi z njim obdelujejo osebni podatki, in kadar je temu tako, omogočen dostop do njih.

 

Med opredeljenimi pogoji za privolitev je v 3. odstavku člena 7 uredbe določeno, da ima posameznik, na katerega se osebni podatki nanašajo, pravico, da svojo privolitev kadar koli prekliče. Preklic privolitve ne vpliva na zakonitost obdelave na podlagi privolitve pred njenim preklicem, o čemer se pred privolitvijo obvesti posameznik, na katerega se nanašajo osebni podatki. Privolitev mora biti enako enostavno preklicati kot dati. Poleg tega je v uvodni navedbi 32 pojasnjeno, da bi privolitev morala biti dana z jasnim pritrdilnim dejanjem, kar pomeni, da je posameznik, na katerega se nanašajo osebni podatki, prostovoljno, specifično, ozaveščeno in nedvoumno izrazil soglasje k obdelavi osebnih podatkov v zvezi z njim, kot je s pisno, tudi z elektronskimi sredstvi, ali ustno izjavo. To lahko vključuje označitev okenca ob obisku spletne strani, izbiro tehničnih nastavitev za storitve informacijske družbe ali katero koli drugo izjavo ali ravnanje, ki v tem okviru jasno kaže na to, da posameznik, na katerega se nanašajo osebni podatki, sprejema predlagano obdelavo svojih osebnih podatkov. Molk, vnaprej označena okenca ali nedejavnost zato ne pomenijo privolitve. Privolitev bi morala zajemati vse dejavnosti obdelave, izvedene v isti namen ali namene. Kadar pa je obdelava večnamenska, bi bilo treba privolitev dati za vse namene obdelave. Če je privolitev posameznika, na katerega se nanašajo osebni podatki, dana na podlagi zahteve z elektronskimi sredstvi, mora biti zahteva jasna in natančna, prav tako pa ne sme po nepotrebnem ovirati uporabe storitve, za katero se zagotavlja.

 

Kadar se osebni podatki obdelujejo za namene neposrednega trženja na podlagi pravne podlage zakonitih interesov po točki f prvega ostavka 6. člena uredbe (torej ne na podlagi osebne privolitve), ima posameznik na podlagi 2., 3. in 4. odstavka člena 21 uredbe pravico, da kadar koli ugovarja obdelavi osebnih podatkov v zvezi z njim za namene takega trženja, vključno z oblikovanjem profilov, kolikor je povezano s takim neposrednim trženjem. Na to pravico se mora posameznika izrecno opozoriti najpozneje ob prvem komuniciranju z njim in mu pravico predstaviti jasno in ločeno od vseh drugih informacij. Kadar posameznik, na katerega se nanašajo osebni podatki, ugovarja obdelavi za namene neposrednega trženja, se osebni podatki ne obdelujejo več v te namene.

 

Iz zgoraj povzetih določb ZVOP-1 in uredbe, ki urejajo pravne podlage za obdelavo osebnih podatkov ter shranjevanje oziroma hrambo osebnih podatkov in pri njihovem primerjanju, izhaja, da se ureditev tega načina obdelave osebnih podatkov bistveno ne razlikuje in da je zagotavljanje načina zakonitosti dolžine obdobja oziroma časa hrambe osebnih podatkov še vedno prepuščeno upravljavcu osebnih podatkov, pri čemer pa je z načeli uredbe - zlasti z »načelom shranjevanja« - še bolj poudarjeno, da so osebni podatki lahko hranjeni v obliki, ki dopušča identifikacijo posameznikov, na katere se nanašajo osebni podatki, le toliko časa, kolikor je potrebno za dosego namenov, za katere se osebni podatki obdelujejo oziroma za najkrajše mogoče obdobje, če namena obdelave ni mogoče razumno doseči z drugimi sredstvi, za kar bi moral upravljavec določiti roke za izbris (obdobje hrambe ali merila za določitev tega obdobja) ali zagotoviti občasno preverjanje. Ob tem gre ugotoviti, da za zagotovitev zakonitosti roka hrambe osebnih podatkov v skladu z novo uredbo (GDPR) razumna pričakovanja posameznika niso tako pomembna v primeru, da se podatki obdelujejo na podlagi osebne privolitve posameznika. Bistveno pa je, da upravljavec vnaprej sprejme odločitev o tem, kdaj bo izpolnjen namen, za katerega zbira podatke v odvisnosti od pravne podlage. Upoštevanje razumnih pričakovanj posameznikov uredba določa pri razkrivanju osebnih podatkov drugim upravljavcem ali tretjim osebam na podlagi zakonitih interesov (preambula 47) oziroma pri združevanju namenov nadaljnje obdelave osebnih podatkov (uvodni navedbi 50 in 113), kadar seveda ne prevladajo interesi ali temeljne pravice in svoboščine posameznika.

 

Glede na vse zgoraj navedeno, opredelitve hrambe osebnih podatkov »do preklica privolitve« v okviru sicer zakonite privolitve sicer ne moremo všteti ne v ozko določeno obdobje, ki je potrebno za dosego namenov, zaradi katerih se osebni podatki obdelujejo (npr. še 5 let po izplačilu sredstev, še 10 let po koncu veljavnosti pogodbe ipd.) in ne v merila za določitev tega obdobja (npr. do zaključka določene nagradne igre, prireditve ali dogodka ipd.), temveč v osnovno, temeljno pravico posameznika, ki jo lahko uveljavi praktično kadar koli (izjema so zakonito združljivi nameni ipd.), pa če to upravljavec ob pridobivanju privolitve posameznika posebej izpostavi ali ne. Vendar pa to po mnenju IP samo po sebi ne vpliva na samo zakonitost privolitve, če je ta sicer skladna z vsemi zahtevami uredbe. Pomembno je torej tudi, za katere namene je bila privolitev dana in ali gre po naravi stvari za namen, ki se izpolni z enkratnim dejanjem, ali za namen, ki traja dlje časa in je ponavljajoč (npr. redno obveščanje o novostih). V vseh primerih pa mora upravljavec, že z vidika spoštovanja osnovnih načel uredbe, zagotoviti občasno preverjanje, če so nameni obdelave že (bili) doseženi in če so podatki še vedno ustrezni, relevantni, točni, posodobljeni, ustrezno zaščiteni ipd.

 

  1. Brisanje osebnih podatkov pred potekom roka hrambe

V zvezi z drugim delom vašega vprašanja glede zakonitosti brisanja osebnih podatkov pred potekom zakonitega roka hrambe, pa pojasnjujemo, da temeljna načela zakonite in poštene obdelave (2. člen ZVOP-1), obveznosti upravljavca glede točnosti in ažurnosti osebnih podatkov (18. člen ZVOP-1) in pravice posameznika do seznanitve, dopolnitve, popravka, blokiranja, izbrisa in ugovora (30. in 32. člen ZVOP-1) načeloma že zdaj omejujejo možnost predčasnega brisanja hranjenih podatkov, kamor bi se umestilo tudi brisanje podatkov pred preklicem privolitve, če bi privolitev bila dana za obdobje »do preklica privolitve«. Dejansko si torej s tako opredeljenim rokom hrambe, če ta ni dejansko primeren glede na cilje namena, upravljavec oteži delo in svoje naloge sam poveča.

 

Za vidik izbrisa osebnih podatkov pred iztekom obdobja hrambe, za katerega je bila podana privolitev posameznika so poleg že zgoraj omenjenih relevantne tudi vse ostale določbe glede pravic posameznikov, ki urejajo popravek in izbris (oddelek 3 uredbe in uvodna navedba 65). Pri tem je potreben razmislek o tem, ali upravljavec v primeru predčasnega izbrisa sploh lahko deluje v skladu s temi določbami ob hkratnem upoštevanju temeljnih načel uredbe. Pri predčasnem izbrisu osebnih podatkov bi se upravljavec namreč lahko znašel v nezavidljivi (celo nezakoniti) situaciji, kadar bi posameznik, na katerega se nanašajo osebni podatki, od upravljavca npr. zahteval zagotovitev pravice do seznanitve iz člena 15, pravice do popravka iz člena 16 uredbe ali pravice do prenosljivosti podatkov iz člena 20 uredbe ipd. Za posameznika pa je ključno, da se ohranijo vse njegove pravice in ugodnosti, ki jih od upravljavca pričakuje v obdobju, za katerega je podal privolitev, prav tako je bistvena njegova pravna varnost (npr. zmožnost uveljavljanja, izvajanja ali obrambe pravnih zahtevkov ipd.).

 

Ustrezna opredelitev roka hrambe je torej tako v interesu posameznika kot tudi upravljavca, predvsem pa je pomemben del zagotavljanja poštene obdelave osebnih podatkov.

 

Lep pozdrav,

 

Pripravila:

mag. Petra Ratajec,

državna nadzornica za varstvo osebnih podatkov

 

Informacijski pooblaščenec:

Mojca Prelesnik, univ. dipl. prav.

informacijska pooblaščenka