Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Mnenja - VOP

+ -
Datum: 04.10.2017
Naslov: Spletne storitve in GDPR
Številka: 0712-1/2017/1913
Vsebina: Svetovni splet, Telekomunikacije in pošta, Moderne tehnologije
Pravni akt: Mnenje

Spoštovani,

 

dne 21. 9. 2017 ste se obrnili na Informacijskega pooblaščenca RS (v nadaljevanju IP) s svojim zaprosilom za mnenje. Pojasnjujete, da za različne naročnike izdelujete in vzdržujete spletne strani, zato imate dostop tudi do osebnih podatkov naročnikovih strank zaradi nakupa ali povpraševanja o izdelkih (zlasti seznam elektronskih naslovov za obvestila, včasih ime, priimek, naslov, naziv podjetja). Razumete, da lahko lastnik obdeluje osebne podatke svojih strank le na podlagi predhodne privolitve. Zanima vas ali morajo biti uporabniki (stranke) seznanjeni tudi s tem, da vi obdelujete njihove osebne podatke in kakšne so vaše obveznosti oz. odgovornosti?

 

IP uvodoma pojasnjuje, varstvo osebnih podatkov po trenutni ureditvi določa Zakon o varstvu osebnih podatkov (v nadaljevanju ZVOP-1). Splošna Uredba (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (v nadaljevanju GDPR), ki bo »nasledila« ZVOP-1 se bo pričela uporabljati dne 25. 5. 2018. Ob tem dodajamo, da bo določena pravila glede obdelave osebnih podatkov (in drugih vidikov zasebnosti) v spletnem okolju na novo uredila tudi t.i. nova evropska uredba o e-zasebnosti na enotnem digitalnem trgu, za katero se pričakuje da bo najverjetneje sprejeta v pričetku prihodnjega leta. Ta uredba bo zelo verjetno redefinirala zlasti naslednja področja: varstvo zaupnosti komunikacij, prometne in lokacijske podatke (metapodatki), vsiljeno pošto, sledenje uporabnikom (cookies, drugi načini sledenja), zaščite naprav, vnaša pa za razliko od dosedanje ureditve tudi večji nadzor nad komunikacijskimi aplikacijami, kot so npr. Gmail, WhatsApp, Skype, Facebook, itd. Spremembe, ki jih po pričakovanjih prinaša uredba o e-zasebnosti na enotnem digitalnem trgu so glede na dosedanjo ureditev zlasti uvedba novih glob za prekrške in širši domet pravil.

 

Iz vašega vprašanja izhaja, da pri svoji popoldanski dejavnosti izvajate za naročnike pogodbeno obdelavo osebnih podatkov. V tem razmerju nastopate kot pogodbeni obdelovalec in lahko za upravljavca (vaš naročnik) obdelujete tiste osebne podatke in za tiste namene, za katere ima (I.) upravljavec podlago za obdelavo in (II.) tiste podatke in za tiste namene, ki so opredeljeni s pogodbo o pogodbeni obdelavi, ki mora biti pisna. Obveznosti pogodbenih obdelovalcev po sedanji ureditvi so predstavljene v smernicah Informacijskega pooblaščenca

(https://www.ip-rs.si/fileadmin/user_upload/Pdf/smernice/Smernice_o_pogodbeni_obdelavi_web.pdf).

 

Obseg odgovornosti pogodbenih obdelovalcev se je z GDPR povečal glede na dosedanjo ureditev. Odgovornosti ureja zlasti člen 28 GDPR in se nanašajo med drugim tudi na zagotavljanje ustrezne ravni varnosti podatkov, obveznost obveščanja v primerih kršitev, pogojevanje glede »zaposlovanja« drugega obdelovalca s posebnim ali splošnim pisnim dovoljenjem upravljavca ipd. IP opozarja, da so odgovornosti in obveznosti razpršene po različnih določbah GDPR, zato je za celoten pregled določb, ki urejajo obveznosti in odgovornosti pogodbenega obdelovalca po GDPR, potreben temeljitejši pregled.   

 

IP še dodaja, da ureditev po GDPR spreminja pogoje za privolitev, kot podlago za obdelavo osebnih podatkov. Privolitev je po GDPR opredeljena v členu 7, posebne pogoje za privolitev otroka v zvezi s storitvami informacijske družbe pa določa člen 8. Ena izmed temeljnih sprememb je zahteva po dokazljivosti podane privolitve za obdelavo osebnih podatkov. Dalje so predpisane zahteve po jasnem in razumljivem pisnem pojasnilu glede vrst in namenov obdelave osebnih podatkov, sicer privolitev ni zavezujoča.

 

Glede vašega vprašanja, ali obstaja obveznost seznaniti uporabnike, kdo je pogodbeni obdelovalec, pojasnjujemo, da se to ne zahteva za samo veljavnost privolitve. Privolitev mora izpolnjevati pogoje glede jasnosti in razumljivosti, ustrezni dokazljivosti, prav tako glede seznanitve z identiteto upravljavca in nameni obdelave, itd. Informacije, ki jih mora upravljavec posredovati posamezniku ob pridobivanju osebnih podatkov, pa so določene v 13. in 14. členu nove Splošne uredbe (med drugim tudi kategorije uporabnikov osebnih podatkov).

 

Za natančnejšo seznanitev z vsemi obveznostmi, ki jih prinaša Splošna uredba o varstvu podatkov, predlagamo, da se seznanite s samo uredbo (besedilo je dostopno na naslednji povezavi: http://eur-lex.europa.eu/legal-content/SL/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.SLV&toc=OJ:L:2016:119:FULL).

Za splošen vtis glede novosti, ki jih prinaša uredba, je vzpostavljen tudi naslednji portal: http://www.eugdpr.org/key-changes.html.

 

Upamo, da smo vam s svojimi pojasnili uspeli pomagati.

 

Pripravil:

Anže Novak, univ. dipl. prav.

asistenc svetovalca

 

Informacijski pooblaščenec:

Mojca Prelesnik, univ. dipl. prav.

informacijska pooblaščenka