Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Mnenja - VOP

+ -
Datum: 09.04.2018
Naslov: Izkazovanje privolitve po telefonu in seznam varnih držav za iznos
Številka: 0712-1/2018/819
Vsebina: Telekomunikacije in pošta, Iznos osebnih podatkov v tretje države, Register zbirk osebnih podatkov, Razno
Pravni akt: Mnenje

dne 23. 3. 2018 ste na Informacijskega pooblaščenca RS (v nadaljevanju IP) naslovili svoje zaprosilo za mnenje s področja uporabe Splošne Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov). Zanima vas:

  • kako najbolj učinkovito spremljati privolitve za obdelavo OP v primeru telefonskega kontakta, ki jih vključite v podatkovno zbirko »odobritev«?
  • Kje lahko preverite, katere tretje države so na seznamu držav, s katerimi ima EU sklenjen sporazum o obdelavi OP v tretjih državah?
  • Ali je treba do sprejetja ZVOP-2 prijaviti vse podatkovne zbirke OP pri IP?

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju na podlagi 7. točke prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07, uradno prečiščeno besedilo, v nadaljevanju ZVOP-1) ter 2. člena Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašimi vprašanji.

 

Glede podaje privolitve po telefonu IP pojasnjuje, da mora biti skladno s Splošno uredbo upravljavec sposoben dokazati, da razpolaga z veljavno privolitvijo. Izbira sredstev dokazovanja je odvisna od konkretnih okoliščin zbiranja privolitev. Če se upravljavec odloči za snemanje klicev, mora upoštevati tudi omejitve po Zakonu o elektronskih komunikacijah.

 

Glede iznosa osebnih podatkov v tretje države IP pojasnjuje, da obstaja več mehanizmov zagotavljanja skladnosti za iznos osebnih podatkov v tretje države, pri čemer je ob tem predpogoj seveda tudi obstoj ustrezne pravne podlage za iznos (to je lahko tudi mednarodna pogodba, vendar seznam takšnih pogodb po našem vedenju ne obstaja). Med pogoji za iznos pa je tudi zagotovitev ustrezne ravni varstva pri iznosu. Ena od možnosti za to je obstoj Sklepa o ustreznosti, ki ga izda Evropska komisija ali odločbe, ki jo izda IP. Seznam odločb, ki jih je izdal IP, je objavljen na spletni strani IP  (https://www.ip-rs.si/varstvo-osebnih-podatkov/obveznosti-upravljavcev/iznos-osebnih-podatkov-v-tretje-drzave/seznam-tretjih-drzav-66-clen-zvop-1/). Seznam sklepov Evropske komisije pa na spletni strani Evropske komisije (https://ec.europa.eu/info/law/law-topic/data-protection/data-transfers-outside-eu/adequacy-protection-personal-data-non-eu-countries_en).

 

Tudi glede sporočanja podatkov v register zbirk skladno s 27. členom ZVOP-1 velja, da se določbe ZVOP-1 uporabljajo do pričetka uporabe Splošne uredbe, to je do 25. 5. 2018. Ker Splošna uredba ne zahteva vodenja registra zbirk, bo po navedenem datumu odpadla tudi obveznost v zvezi z registrom zbirk iz ZVOP-1.

 

 

O b r a z l o ž i t e v:

 

Ad. 1

IP pojasnjuje, da ni v nasprotju s Splošno uredbo o varstvu podatkov, če je privolitev podana v telefonskem klicu. IP kljub temu ob tem opozarja, da lahko obstaja težava glede dokazovanja podane privolitve. Po Splošni uredbi mora biti namreč zavezanec sposoben dokazati, da je posameznik privolil v obdelavo njegovih osebnih podatkov, privolitev pa mora biti dana za vsak posamezen namen. IP ob tem pojasnjuje, da bi bilo mogoče (ob izpolnjevanju drugih zakonskih zahtev) obstoj privolitve podane v telefonskem pogovoru izkazovati na različne načine (npr. s snemanjem telefonskih klicev; izdelavo zabeležk; potrditev s pritiskom na telefonsko tipko; napotitev posameznika na izpolnitev spletnega obrazca, itd.). Glede navedenih možnosti IP še opozarja, da vse navedene možnosti ne zagotavljajo iste stopnje verodostojnosti dokaza o podani privolitvi, zato je izbira prave metode odvisna od okoliščin konkretnega primera, kar se upošteva tudi v morebitnem inšpekcijskem postopku. Zato IP v okviru mnenja ne more dati konkretnega napotka, ki bi veljal za vse primere. IP še opozarja na pogoje snemanja telefonskih klicev, ki jih ureja Zakon o elektronskih komunikacijah (Uradni list RS, št. 109/12, 110/13, 40/14 – ZIN-B, 54/14 – odl. US, 81/15 in 40/17; v nadaljevanju ZEKom-1). Navedena ureditev velja tudi v primeru snemanja za dokaz o privolitvi. Po sedmem odstavku 147. člena ZEKom-1 je »dovoljeno snemanje komunikacij in z njimi povezanih podatkov o prometu v okviru zakonite poslovne prakse zato, da se zagotovi dokaz o tržni transakciji ali kateri koli drugi poslovni komunikaciji, pod pogojem, da so stranke v komunikaciji predhodno obveščene o snemanju, njegovem namenu in trajanju hrambe posnetka (npr. avtomatski odzivniki). Posneto sporočilo je treba nemudoma izbrisati, najpozneje do poteka dobe, v kateri se posel lahko zakonito izpodbija.«

 

IP še dodaja, da kot organ, pristojen za nadzor področja varstva osebnih podatkov ne more podati zavezujočih usmeritev za pravilno in zakonito pridobivanje telefonskih privolitev, saj je odgovornost za izkazovanje skladnosti s Splošno uredbo, na tistem, ki obdelavo osebnih podatkov izvaja, ki mora upoštevati vse okoliščine konkretnega primera.

 

Ad. 2

IP pojasnjuje, da gre pri iznosu osebnih podatkov v t.i. tretje države[1] poleg obveznosti spoštovanja drugih določb glede zakonitosti obdelave (predvsem npr. obstoja ustrezne pravne podlage za iznos) tudi za dolžnost zagotavljanja, da se po iznosu v tretjo državo, njen del (teritorij) ali določeno panogo oziroma posamezno organizacijo, zagotavlja ustrezno stopnjo varstva osebnih podatkov. Splošna uredba, kot del evropskega okvira varstva osebnih podatkov vpeljuje oziroma nadgrajuje mehanizme, s katerimi se zagotavlja zadostna raven varstva osebnih podatkov. Mehanizmi, ki zagotavljajo spoštovanje ustrezne ravni varstva osebnih podatkov tudi ob oz. po iznosu osebnih podatkov v tretje države po Splošni uredbi se delijo na iznose na podlagi sklepa o ustreznosti (člen 45 Splošne uredbe), uporabo drugih ustreznih zaščitnih ukrepov (46. člen Splošne uredbe) ali obstoj posebnih primerov (dopustnost teh ureja 49. člen Splošne uredbe). Med tovrstne t.i. alternativne mehanizme za iznos,[2] sodijo zlasti npr.: standardna pogodbena določila; zavezujoča poslovna pravila; potrjeni kodeksi ravnanja; mehanizem potrjevanja; odstopanja v posebnih primerih, …

 

Iz spletne strani evropske komisije[3] izhaja, da so bili doslej izdani sklepi o ustreznosti (t.i. »adequacy decision«), kamor je iznos dopusten brez omejitev za naslednje države: Andora, Argentina, Kanada (komercialne organizacije), Farski otoki, Guernsey, Izrael, Otok Man, Jersey, Nova Zelandija, Švica, Urugvaj in ZDA (omejeno na »Zasebnostni ščit«). Pogovori potekajo tudi z Japonsko in Južno Korejo.

 

Za več informacij o iznosu v tretje države IP predlaga, da se seznanite z dokumenti pod sklici (2) in (3).

 

Ad. 3

Pred pričetkom uporabe Splošne uredbe (25. 5. 2018) se uporabljajo pravila ZVOP-1. ZVOP-1 zahteva prijavo podatkov iz kataloga zbirk osebnih podatkov v register zbirk, ki ga vodi IP za vse upravljavce, ki imajo več kot 50 zaposlenih (27. člen v povezavi s četrtim odstavkom 7. člena ZVOP-1). Splošna uredba ne zahteva vodenja registra zbirk pri nadzornem organu (IP), zato po 25. 5. 2018 odpade tudi obveznost sporočanja podatkov v register. Skladno s 30. členom Splošne uredbe pa obstaja obveznost vodenja evidence dejavnosti obdelave osebnih podatkov za vse upravljavce in obdelovalce, ki imajo več kot 250 zaposlenih razen če je verjetno, da obdelava predstavlja tveganje za pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki, in ni občasna, ali obdelava vključuje posebne vrste podatkov iz člena 9(1) ali osebne podatke v zvezi s kazenskimi obsodbami in prekrški iz člena 10. V navedenih primerih je torej vodenje evidence dejavnosti obdelav skladno s členom 30 Splošne uredbe po 25. 5. 2018 obvezno, ne bo pa več treba sporočati podatkov iz navedenih evidenc IP.

 

Lep pozdrav,

 

Pripravil:

 

 

Anže Novak, univ. dipl. prav.

 

Mojca Prelesnik

Asistent svetovalca IP

 

informacijska pooblaščenka

 

 

 


[1] To so države, ki niso del evropskega gospodarskega prostora (torej članice EU, Norveška, Lihtenštajn in Islandija).

[2] COMMUNICATION FROM THE COMMISSION TO THE EUROPEAN PARLIAMENT AND THE COUNCIL, tč. 3.2,  http://eur-lex.europa.eu/legal-content/EN/TXT/?qid=1499337318670&uri=CELEX%3A52017DC0007.

[3] https://ec.europa.eu/info/law/law-topic/data-protection/data-transfers-outside-eu/adequacy-protection-personal-data-non-eu-countries_en