Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Mnenja - VOP

+ -
Datum: 17.05.2018
Naslov: Mnenje glede obdelave osebnih podatkov v klubih zvestobe
Številka: 0712-3/2018/420
Vsebina: Neposredno trženje, nagradne igre, Razno
Pravni akt: Mnenje

Spoštovani,

 

Informacijski pooblaščenec (v nadaljevanju IP) je prejel vaše zaprosilo za mnenje glede ustreznosti opredelitve namenov obdelave osebnih podatkov ob posodobitvi kartice zvestobe. Navajate, da letak za obnovo SPAR plus kartice posamezniku ne omogoča izbire namenov obdelave osebnih podatkov. Letak namreč avtomatsko predpostavlja, da s tem, ko se posameznik odloči za posodobitev kartice zvestobe, avtomatsko pristane na vse, sicer navedene namene obdelave svojih osebnih podatkov, nima pa možnosti izbirati med njimi. Kot potrošnico vas je logika, ki jo zasleduje ta letak, zmotila.

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05) posredujemo naše neobvezno mnenje v zvezi z vašimi vprašanji.

 

Uvodoma IP pojasnjuje, da se Splošna Uredba (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (v nadaljevanju Uredba) začne uporabljati 25. 5. 2018. V obdobju pred začetkom uporabe Uredbe IP prejema veliko vprašanj glede novosti na področju varstva osebnih podatkov, ki jih Uredba prinaša, tudi v zvezi z zbiranjem in obdelavo osebnih podatkov v klubih zvestobe. IP v zvezi s tem poudarja, da izven postopka inšpekcijskega nadzora konkretnih obdelav osebnih podatkov ne more presojati, kar velja in bo veljalo tudi po 25. 5. 2018. V okviru svojih pristojnosti IP ustreznosti posameznih letakov, obrazcev oziroma internih aktov upravljavcev tako ne komentira, saj lahko njihovo skladnost s predpisi presoja le v okviru inšpekcijskega postopka. Prav tako izven posameznega inšpekcijskega postopka ne sme preverjati primernosti izbrane pravne podlage, namenov in obsega obdelave osebnih podatkov v konkretnem primeru. Dokončnega odgovora na vaše vprašanje IP v tem mnenju zato ne more podati. Vsekakor pa bo ustreznost in zakonitost obdelav osebnih podatkov v klubih zvestobe preverjal v konkretnih inšpekcijskih postopkih.

 

IP na splošno pojasnjuje, da mora za vsako obdelavo osebnih podatkov obstajati ustrezna pravna podlaga. Skladno z 10. členom (trenutno veljavnega) ZVOP-1, ki ureja pravne podlage v zasebnem sektorju, je obdelava osebnih podatkov dopustna, če obdelavo osebnih podatkov in osebne podatke, ki se obdelujejo, določa zakon, če je podana osebna privolitev posameznika ter tudi, če je obdelava potrebna za sklenitev oziroma izpolnjevanje pogodbe ali nujna za izvrševanje zakonitih interesov zasebnega sektorja.

 

Nova Uredba, ki bo »nasledila« ZVOP-1, pravne podlage za obdelavo osebnih podatkov predpisuje v členu 6.1. Glede na navedeno in upoštevajoč informacije, ki so IP na voljo, bi možne pravne podlage za obdelavo osebnih podatkov članov klubov zvestobe odvisno od konkretnega namena po Uredbi eventualno lahko bile naslednje:

1) privolitev po 6.1(a) členu Uredbe,

2) izvajanje pogodbe po 6.1(b) členu Uredbe ali

3) zakoniti interesi upravljavca po 6.1(f) členu Uredbe.

 

1. Obdelava osebnih podatkov na podlagi privolitve posameznika

 

Skladno s členom 6.1(a) Uredbe je obdelava zakonita pod pogojem, da je posameznik, na katerega se nanašajo osebni podatki, privolil v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov.

 

Uredba uvaja strožje pogoje za veljavnost privolitve, kot jih določa ZVOP-1. Privolitev v obdelavo podatkov člana kluba zvestobe bo tako skladno s členom 4(11) Uredbe morala biti:

  • prostovoljna,
  • konkretna,
  • informirana,
  • nedvoumna in
  • dana z izjavo ali jasnim pritrdilnim ravnanjem, s katerim posameznik izrazi strinjanje  

ter

  • dokazljiva.

 

Privolitve zato ne bo več mogoče podati le s pavšalnim strinjanjem s splošnimi pogoji poslovanja določenega poslovnega subjekta. Takšna privolitev namreč ni ustrezno informirana. Če vključuje storitev več obdelav osebnih podatkov za več namenov, morajo biti nameni granulirani, privolitev pa dana za vsak namen posebej. To pomeni, da mora imeti posameznik za vsak posamezen namen obdelave možnost privoliti v obdelavo svojih osebnih podatkov. Če posameznik ne privoli v obdelavo za posamezen namen, pa taka zavrnitev ne sme povzročiti manj ugodnega položaja za posameznika. Na ta način se zagotavlja resnična izbira, kar zagotavlja prostovoljnost privolitve. Če privolitev ni dana prostovoljno, ni veljavna.

 

Pri ugotavljanju, ali je bila privolitev dana prostovoljno, se med drugim zlasti upošteva, ali je izvajanje pogodbe, vključno z zagotavljanjem storitve, pogojeno s privolitvijo v obdelavo osebnih podatkov, ki ni potrebna za izvedbo zadevne pogodbe. V zvezi s tem je treba razlikovati med obdelavo za namen izvajanja pogodbe in obdelavo za drug namen, za katerega je lahko podana osebna privolitev. Za namen izvajanja pogodbe se tako lahko obdeluje zgolj tiste osebne podatke, ki so nujni za izvrševanje pogodbe, ne pa tudi drugih osebnih podatkov. Zakonitih podlag za obdelavo osebnih podatkov – privolitve in pogodbe – ni mogoče združevati oziroma mešati, temveč mora biti že od začetka povsem jasno, ali in kateri osebni podatki se za posamezen namen obdelujejo na eni in kateri na drugi pravni podlagi.

 

Za privolitev se torej domneva, da ni dana prostovoljno, če:

  • ne dovoljuje ločene privolitve za različna dejanja obdelave osebnih podatkov,
  • če je izvajanje pogodbe, vključno z zagotavljanjem storitve, pogojeno s privolitvijo, čeprav za tako izvajanje privolitev ne bi bila potrebna.

 

Upravljavec mora posamezniku zagotoviti tudi pravico, da svojo privolitev kadarkoli prekliče. Na to mora biti posameznik vnaprej opozorjen.

 

Bistveno za veljavnost privolitve je torej, da je posamezniku omogočen tako nadzor nad svojimi osebnimi podatki kot tudi svobodna in resnična izbira. Privolitev v obdelavo osebnih podatkov v nobenem pogledu ne zmanjšuje obveznosti upravljavca, da upošteva splošna načela Uredbe, zlasti člena 5 glede pravičnosti, nujnosti in sorazmernosti podatkov. Četudi obdelava osebnih podatkov temelji na privolitvi, to ne pomeni, da je upravljavec upravičen do zbiranja podatkov, ki niso nujni za konkretno opredeljen namen obdelave.

 

Glede privolitve po Uredbi je delovna skupina WP 29 izdala smernice, ki so dostopne na naslednji povezavi:  https://www.ip-rs.si/fileadmin/user_upload/Pdf/mnenja/Mednarodna_mnenja/mnenja_na_eu_ravni/20180416_WP259rev01_Article29WPGuidelinesonConsent.pdf

 

2. Obdelava osebnih podatkov, potrebna za izvajanje pogodbe

 

Določba 6.1(b) člena Uredbe dopušča zakonito obdelavo tudi v primeru potrebnosti za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe.

 

Razlaga, kdaj je »obdelava potrebna za izvajanje pogodbe«, mora biti stroga ter zožujoča, upoštevaje načelo sorazmernosti iz člena 5 Uredbe. Določba 6.1(b) člena Uredbe namreč ne pokriva primerov, v katerih obdelava ni resnično potrebna za običajno izvedbo pogodbe. Pri tem zgolj dejstvo, da so nekateri podatki predmet določene pogodbe, še ne pomeni, da je obdelava avtomatično potrebna za njeno izvrševanje. Obenem pa to tudi ne pomeni, da je obdelava osebnih podatkov, ki niso potrebni za izvedbo pogodbe, na splošno nedopustna, vendar mora za to obstajati druga pravna podlaga iz 6.1 člena Uredbe.

 

Za presojo, ali je pravna podlaga po členu 6.1(b) Uredbe primerna za obdelavo osebnih podatkov, je treba najprej ugotoviti vsebino pogodbe, predvsem predmet in kavzo, nato pa v zvezi s tem oceniti, kateri podatki so potrebni za izvedbo takšne pogodbe. Obdelava podatkov in namen izvajanja pogodbe morata biti neposredno in objektivno povezana.

 

IP meni, da se lahko v določenih primerih včlanitev v klub zvestobe obravnava kot sklenitev posebne pogodbe, ki je ločena od posameznega nakupa blaga ali storitve, seveda v kolikor so izpolnjene splošne obligacijskopravne predpostavke za veljavnost takšne pogodbe. Zato lahko podlago za obdelavo osebnih podatkov, ki so neločljivo povezani s samim članstvom v klubu zvestobe in njegovim delovanjem v skladu z vnaprej opredeljenimi nameni, v določenih primerih predstavlja tudi člen 6.1(b) Uredbe.

 

3. Obdelava osebnih podatkov, potrebna zaradi zakonitih interesov upravljavca

 

Člen 6.1(f) Uredbe določa, da je obdelava osebnih podatkov zakonita, kadar je obdelava potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok.

 

IP ocenjuje, da predstavlja zbiranje osebnih podatkov za vzpostavitev članstva v klubu zvestobe znaten poseg v zasebnost posameznika, zaradi česar nad interesom upravljavca praviloma prevlada pravica oziroma interes posameznika glede izbire v zvezi z odločitvijo o članstvu. Zato obdelava osebnih podatkov za osnovne namene klubov zvestobe na podlagi člena 6.1(f) Uredbe načeloma ni dopustna. Kljub temu pa bi lahko v določenih primerih zakoniti interes upravljavca predstavljal pravno podlago za obdelavo že zbranih osebnih podatkov članov klubov zvestobe, in sicer za druge, nadaljnje namene ter pod pogojem zadostitve testu tehtanja med zakonitim interesom upravljavca na eni in posegom v interese oziroma temeljne pravice in svoboščine posameznika na drugi strani. Odgovornost za ustrezno izvedeno tehtanje pa je seveda na upravljavcu, ki izvaja obdelavo osebnih podatkov.

 

Sklepno IP pojasnjuje, da je izbira ustrezne pravne podlage za obdelavo osebnih podatkov obveznost upravljavca. To pravno podlago mora upravljavec določiti še pred obdelavo ter jo, skupaj še z drugimi informacijami (13. in 14. člen Uredbe), razkriti posamezniku, na katerega se osebni podatki nanašajo. Kasneje upravljavec te podlage ne sme zamenjati s ciljem, da bi naknadno zagotovil zakonitost že opravljene obdelave (npr. če upravljavec obdeluje osebne podatke na podlagi privolitve, za katero se po določenem času izkaže, da ni veljavna, obdelave kasneje ne more utemeljiti na lastnem zakonitem interesu).

 

V zvezi z obveznostmi upravljavcev glede seznanitev posameznikov z informacijami glede obdelave, ki so potrebne za zagotavljanje transparentnosti, je delovna skupina WP 29 izdala smernice, ki so dostopne na naslednji povezavi: https://www.ip-rs.si/fileadmin/user_upload/Pdf/mnenja/Mednarodna_mnenja/mnenja_na_eu_ravni/20180413_WP260rev01_Article29WPTransparencyGuidelines.pdf

 

Upamo, da smo s tem mnenjem uspeli razjasniti nekatera vprašanja v zvezi z obdelavo osebnih podatkov članov klubov zvestobe.

 

Lep pozdrav,

 

Mojca Prelesnik, univ. dipl. prav.,                                                

informacijska pooblaščenka

 

Pripravila:                                                                                                                             

Tina Ivanc, univ. dipl. prav.,
svetovalka IP za varstvo osebnih podatkov