Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Mnenja - VOP

+ -
Datum: 14.12.2017
Naslov: Poslovni kontakti, objava fotografij in evidentiranje obdelave
Številka: 0712-1/2017/2468
Vsebina: Mediji, fotografije kot OP, Svetovni splet, Elektronska pošta, Register zbirk osebnih podatkov
Pravni akt: Mnenje

Spoštovani,

 

v dopisu nas sprašujete za mnenje glede poslovnih kontaktov, objave fotografij in evidentiranja obdelave, in sicer:

 

  1. Pojasnili ste, da v podjetju v 99 % poslujete s podjetji oziroma pravnimi osebami. Splošna uredba se ne nanaša na podatke, ki niso osebni (npr. podatki pravnih oseb), vendar pa nekateri poslovni kontakti oziroma zaposleni znotraj podjetij uporabljajo zasebne naslove e-pošte (npr. gmail). Sprašujete nas, kako morate obravnavati takšne zasebne gmail in podobne naslove, ki ste jih dobili od vaših kupcev – predstavnikov podjetij, s katerimi poslujete? Zanima vas, ali je ta podatek, »glede na to, da ni sestavljen iz naziva podjetja, kritičen«?
  2. Zanima vas, ali drži, da za skupinske fotografije (več kot 7 udeležencev) ne potrebujete dovoljenja za objavo npr. na družbenih omrežjih?
  3. Zanima vas, ali morate narediti seznam osebnih podatkov, ki jih zbirate/hranite in njihove manipulacije (obravnave)?

 

 

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju na podlagi 7. točke prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07, uradno prečiščeno besedilo, v nadaljevanju ZVOP-1) ter  2. člena Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašimi vprašanji.

 

 

Ad 1

 

Uredba ne spreminja pogojev glede obdelav osebnih podatkov poslovnih strank. Prav tako ne določa, da bi bili posebni podatki »kritični«. Kot sami omenjate, se med kontakti hitro znajdejo tudi podatki, ki jih je treba šteti za osebne. Z vidika vaših dolžnosti je predvsem treba ločiti, ali gre za zbirko upravljavca (podjetja), ali gre za zbirke podatkov, ki jih samostojno vodijo zaposleni, kot pojasnjujemo v nadaljevanju.

 

Če gre za zbirko podatkov poslovnih strank, s katero upravljate kot podjetje (zlasti če gre npr. za informacijsko podprto elektronsko vodenje kontaktnih podatkov strank, ki lahko vsebuje tudi osebne podatke, npr. šifrant poslovnih strank) in ta vsebuje tudi osebne podatke (kot sami navajate gre lahko vsaj za zasebne naslove e-pošte poleg imen in priimkov), potem morate za to zbirko (kot tudi za ostale) skladno z določbami 30. člena uredbe vzpostaviti evidenco dejavnosti obdelave (»katalog« oz. »opis zbirke«)«) in v njej navesti podatke, kot jih zahteva omenjeni člen uredbe. Za zbirko morate zagotoviti tudi ustrezno varnost (32. člen uredbe).

 

Če gre zgolj za kontaktne podatke, s katerimi upravljajo posamezni zaposleni (npr. adresar posameznega zaposlenega, nabor prejetih vizitk ipd.), s katerim samostojno upravlja posamezni zaposleni neodvisno od podjetja in ima praviloma samo on dostop do svojih kontaktov), potem v tem primeru tega ne bi šteli za zbirko upravljavca (podjetja) in omenjene evidence ni treba vzpostaviti. Ni pa narobe, če to vseeno storite zaradi boljšega pregleda, katere vse osebne podatke imate v vaši organizaciji.

 

Ad 2

 

Takšnega pogoja glede objave fotografij nismo nikjer zasledili in gre po vsej verjetnosti za napačne interpretacije ali dezinformacije. Privolitev posameznika v javno objavo njegovih osebnih podatkov je praviloma treba pridobiti ne glede na število oseb na sliki. Pomemben je tudi kontekst (za kakšen dogodek gre, nameni, javnost/zaprtost dogodka itd.), mesto objave (zaprti intranet, splet …) itd., samo število oseb pa ni poseben kriterij, ki bi eliminiral potrebo po privolitvi posameznika, ki je lahko pisna, ustna ali druga ustrezna privolitev, razen če zakon za posamezne vrste podatkov določa drugače.

 

Ad 3

 

Četudi so vaše stranke pretežno pravne osebe in ne fizične osebe, imate kot podjetje neizogibno vsaj nekaj zbirk osebnih podatkov – npr. vsaj tiste, ki jih morate voditi o zaposlenih na podlagi delovno-pravne zakonodaje, zato morate pod pogoji in skladno z določbami 30. člena uredbe vzpostaviti evidenco dejavnosti obdelave za vsako posamezno zbirko in v njej navesti podatke, kot jih zahteva omenjeni člen uredbe, razen če gre za obstoj izjem po 5. odstavku tega člena.

 

Lep pozdrav,

 

Pripravil:

mag. Andrej Tomšič

namestnik informacijske pooblaščenke

 

Informacijski pooblaščenec:

Mojca Prelesnik, univ. dipl. prav.

informacijska pooblaščenka