Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Mnenja - VOP

+ -
Datum: 15.03.2018
Naslov: Zakoniti interesi kot podlaga za profiliranje
Številka: 0712-1/2018/637
Vsebina: Neposredno trženje, nagradne igre, Trgovinska dejavnost, Razno
Pravni akt: Mnenje

dne 22. 2. 2018 ste se obrnili na Informacijskega pooblaščenca RS (v nadaljevanju IP) s svojim zaprosilom za mnenje glede uporabe Splošne Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov). Zanima vas:

  • Ali je lahko pravna podlaga za profiliranje kupcev na podlagi podatkov zbranih pri njihovi uporabi kartice zvestobe – zakoniti interes upravljavca. V tem kontekstu vas zanima zlasti ali je uvodni recital 47, ki navaja, da je zakoniti interes na primer neposredno trženje izdelkov mogoče razumeti tudi za profiliranje kupcev. 
  • Zanima vas tudi ali pristopni obrazec za pridobitev kartice zvestobe, ki ga uporabljate, ustreza zahtevam Splošne uredbe.  

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju na podlagi 7. točke prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07, uradno prečiščeno besedilo, v nadaljevanju ZVOP-1) ter 2. člena Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašimi vprašanji.

 

Podlaga po 6 (1f) Splošne uredbe načeloma ni nujno ustrezna pravna podlaga za profiliranje uporabnikov kartice zvestobe. Podlaga po 6 (1f) zahteva sorazmernost posega v interese ali temeljne pravice in svoboščine posameznika, sicer podlaga ni podana. Zaradi načela poštene obdelave osebnih podatkov (5. člen Splošne uredbe) načeloma ni ustrezno, da upravljavci obdelujejo osebne podatke na podlagi zakonitih interesov 6 (1f), kadar bi bilo mogoče in smotrno pridobiti osebno privolitev.

 

Ker torej takšna obdelava ne bi bila v skladu z vsemi načeli varstva osebnih podatkov, IP meni, da bi se s tem lahko nesorazmerno posegalo v pravice posameznika, zato takšna obdelava težko prestane test tehtanja iz 6 (1f) Splošne uredbe, ki je potreben za utemeljitev te pravne podlage.

 

 

O b r a z l o ž i t e v:

 

Ad.1

 

Člen 6 (1 f) Splošne uredbe o varstvu podatkov določa, da je obdelava osebnih podatkov zakonita, kadar je obdelava potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok.

 

Podrobnejša opredelitev podlage, ki izhaja iz 6 (1f) je opisana v mnenju delovne skupine po členu 29 (WP 29) 06/2014 glede zakonitih interesov upravljavcev podatkov po členu 7 Direktive 95/46/EC, z dne 9. 4. 2014.[1] Navedeno mnenje se neposredno ne nanaša na Splošno uredbo, vendar je podlaga po členu 7 (f) Direktive 95/46/EC v bistvenem podobna členu 6 (1f) po Splošni uredbi, zato je razlaga iz mnenja 06/2014 uporabljiva tudi pri razlagi Splošne uredbe. Iz navedenega mnenja WP 29 izhaja, da je podlaga podana, ko zadosti testu tehtanja med zakonitim interesom upravljavca na eni in posegom v interese oziroma temeljne pravice in svoboščine posameznika na drugi strani. V primeru neustrezne izvedbe tehtanja bo šlo za obdelavo osebnih podatkov brez pravne podlage, kar predstavlja eno temeljnih kršitev varstva osebnih podatkov. Odgovornost za ustrezno izvedeno tehtanje je na upravljavcu, ki izvaja obdelavo osebnih podatkov. Dalje IP pojasnjuje, da je v mnenju WP 29 06/2014 (str. 25, 26), naveden primer, da bi profiliranje podatkov kupcev (z namenom spoznavanja želja in personalizacije ponudbe) lahko bilo v zakonitem interesu upravljavcev. Kljub temu pa obstaja velika verjetnost, da bo profiliranje predstavljalo znaten poseg v zasebnost posameznikov, s čimer bo nad interesom upravljavca prevladala pravica oziroma interes posameznika. Iz mnenja WP 29 tudi izhaja, da je treba zlasti upoštevati možnosti, da se na podlagi profiliranja kupcev lahko sklepa na določene osebne okoliščine občutljive narave,[2] s čimer je mogoče predvidevati tudi »posebne vrste osebnih podatkov«, za katere velja poseben režim varstva.

 

Glede na zgoraj navedeno IP meni, da profiliranje strank, uporabnikov kartice zvestobe, načeloma ni dopustno na podlagi 6 (1f) člena Splošne uredbe, saj zaradi možnosti uporabe podatkov kupcev ni mogoče zagotoviti varstva interesov oziroma temeljnih pravic in svoboščin posameznikom. IP še dodaja, da varstvo osebnih podatkov (kot človekove pravice) zahteva spoštovanje vseh načel varstva osebnih podatkov (člen 5 Splošne uredbe), ki zahtevajo tudi, da obdelava osebnih podatkov poteka pošteno in zakonito. Poštena obdelava se nanaša na zagotavljanje vseh pravic posameznikom, ki v prvi vrsti zagotavljajo tem posameznikom čim večjo oblast nad njihovimi osebnimi podatki. Iz priporočil OECD[3] izhaja, da morajo biti osebni podatki obdelovani z zakonitimi in poštenimi sredstvi, in kjer ustreza z zavedanjem ali soglasjem posameznika. Besedna zveza »kjer ustreza« kaže na to, da je treba pri izbiri ustrezne podlage za obdelavo osebnih podatkov upoštevati tisto, ki zagotavlja največjo oblast posameznika nad obdelavo njegovih osebnih podatkov. Pri obdelavi na podlagi 6 (1f) Splošne uredbe posameznik nima neposrednega vpliva na proces obdelave in ima na ta način manjšo oblast nad svojimi osebnimi podatki, kot če bi za obdelavo podal osebno privolitev.

 

Vsled spoštovanja načela poštene obdelave osebnih podatkov je torej pravilno, da upravljavci pridobivajo privolitve od posameznikov za vse obdelave, kjer je prek zbiranja privolitev mogoče in smotrno zadostiti potrebam zakonitih interesov. Z drugimi besedami, če bi lahko podobno smotrno zagotovili zakonite cilje obdelave osebnih podatkov prek zbiranja osebnih privolitev, kot tudi na podlagi 6 (1f) Splošne uredbe, ne bi bilo v skladu z načelom poštene obdelave, da se uporabi podlaga po 6 (1f). Iz tega izvira nesorazmeren poseg v pravice posameznikov, ki preprečuje uporabo podlago po 6 (1f) povsod, kjer bi v poštev prišla osebna privolitev. Podlaga po 6 (1f) se zato tipično uporablja v situacijah, ko od posameznika ni mogoče ali pa ne bi bilo smotrno (ker bi na primer to bilo povezano z nesorazmernimi stroški), pridobiti njihove osebne privolitve. Tak primer je analitika avtocestnega prometa in podobno. V primeru zbiranja podatkov od strank trgovske verige prek kartice zvestobe, pa po mnenju IP ne bi bilo nemogoče ali nesmotrno pridobivati osebne privolitve od posameznikov, zato rešitev obdelave (profiliranja) na podlagi 6 (1f) načeloma ni ustrezna. 

 

Ad. 2

 

Zanima vas tudi, če vaš privolitveni obrazec k TUŠ Klub kartici zvestobe ustreza potrebam Splošne uredbe. IP pojasnjuje, da v okviru svojih pristojnosti ne komentira oz. potrjuje skladnosti obrazcev in internih aktov upravljavcev. O tem je namreč mogoče presojati le v okviru inšpekcijskega postopka. Na splošno pojasnjujemo, da Splošna uredba uvaja strožje pogoje privolitve, zato na primer obdelava za namene kot so predpisani v splošnih pogojih ni več dopustna. Splošna uredba npr. zahteva t.i. granulacijo namenov obdelave osebnih podatkov, zato mora imeti posameznik za vsak namen obdelave posebej možnost privoliti v obdelavo svojih osebnih podatkov. Če posameznik ne privoli v obdelavo za posamezen namen, pa s tem ne sme zapasti v slabši položaj. Na ta način se zagotavlja »resnična izbira« kar zagotavlja prostovoljnost privolitve. Če privolitev ni bila dana prostovoljno je takšna privolitev neveljavna. Glede privolitve po Splošni uredbi o varstvu podatkov je delovna skupina WP 29 izdala tudi smernice, ki so dostopne na naslednji povezavi:  https://www.ip-rs.si/fileadmin/user_upload/Pdf/mnenja/Mednarodna_mnenja/wp259_enpdf.pdf.

 

Upamo, da smo s svojimi pojasnili uspeli pomagati.

 

Lep pozdrav,

 

 

 

Pripravil:

 

 

Anže Novak, univ. dipl. prav.

 

Mojca Prelesnik

Asistent svetovalca IP

 

informacijska pooblaščenka

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 


[1] Mnenje 06/2014 glede zakonitih interesov upravljavcev podatkov po členu 7 Direktive 95/46/EC, z dne 9. 4. 2014: collections.internetmemory.org/haeu/20171122154227/http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2014/wp217_en.pdf.

[2] Prav tam, str. 39.

[3] OECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data, 11. 7 . 2013