Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Mnenja - VOP

+ -
Datum: 19.07.2018
Naslov: Facebook oglaševanje in pogodbena obdelava
Številka: 0712-3/2018/1023
Vsebina: Moderne tehnologije, Neposredno trženje, nagradne igre, Svetovni splet, Pogodbena obdelava OP
Pravni akt: Mnenje

Informacijski pooblaščenec (v nadaljevanju IP) je prejel vaše vprašanje glede upravljanja Facebook oglaševalske kampanje strani s strani marketinške agencije, na način, da agencija pridobi kontaktne podatke (ime, telefonska številka in e-mail naslov) samo za namen, da jih posreduje naprej podjetju. Agencija te podatke samo hrani in jih pri nadaljnjih kampanjah ne potrebuje. Sprašujete, ali mora na Facebook oglasu jasno pisati, da kontaktne informacije pridobi marketinška agencija in jih kasneje posreduje naprej podjetju oz. naročniku oz. ali je potrebno narediti še kaj. Na oglasu je potrebno navesti povezavo do pravilnika o zasebnosti podjetja, zanima vas, ali mora agencija v oglas vključiti tudi svoj pravilnik.  

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju Uredba), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašimi vprašanji.

 

Opisano situacijo IP razume na način, da v imenu podjetja upravljate Facebook oglaševalsko kampanjo (torej prek ločenega oglaševalskega računa, ki je povezan s Facebook stranjo naročnika), s katero pridobivate kontakte od uporabnikov, t.i. Lead Ads Campaign, nato pa pridobljene kontakte posredujete naročniku. V opisanem razmerju podjetje Facebook in naročnik, kot skrbnik Facebook strani, ki uporablja Facebook spletno platformo v skladu s predpisanimi pogoji uporabe, določata namen in sredstva obdelave in na podlagi sedme točke 4. člena Uredbe predstavljata upravljavca[1]. Opredelitev »upravljavec« se lahko nanaša na več akterjev (ne gre nujno za enotni organ), udeleženih pri obdelavi, pri čemer za vsakega od njih veljajo predpisi, ki se uporabijo na področju varstva podatkov. Marketinško agencijo pa lahko v skladu z osmo točko 4. člena Uredbe opredelimo kot pravno osebo, ki v imenu upravljavca obdeluje osebne podatke (torej zbira kontakte in jih razkrije oz. posreduje naročniku) in predstavlja obdelovalca osebnih podatkov. Obdelavo[2] osebnih podatkov s strani obdelovalca v imenu upravljavca, ureditev razmerij med njima in morebitnimi drugimi obdelovalci, obvezna ravnanja, odgovornosti ipd. določa 28. člen Uredbe. V skladu s tretjo točko 28. člena Uredbe se razmerje med upravljavcem in obdelovalcem, ki zagotavlja zadostna jamstva za izvedbo ustreznih tehničnih in organizacijskih ukrepov z zahtevami iz Uredbe in zagotavlja varstvo pravic posameznika, na katerega se nanašajo osebni podatki, uredi s pisno pogodbo, ki poleg obveznosti obdelovalca v razmerju do upravljavca določa še vsebino in trajanje obdelave, naravo in namen obdelave, vrsto osebnih podatkov, kategorije posameznikov, na katere se nanašajo osebni podatki, ter obveznosti in pravice upravljavca. Pogodba ali drug pravni akt zlasti določa, da obdelovalec:

  1. osebne podatke obdeluje samo po dokumentiranih navodilih upravljavca, vključno glede prenosov osebnih podatkov v tretjo državo ali mednarodno organizacijo, razen če to od njega zahteva pravo Unije ali pravo države članice, ki velja za obdelovalca; v slednjem primeru obdelovalec o tej pravni zahtevi pred obdelavo podatkov obvesti upravljavca, razen če zadevno pravo prepoveduje takšno obvestilo na podlagi pomembnih razlogov v javnem interesu;
  2. zagotovi, da so osebe, ki so pooblaščene za obdelavo osebnih podatkov, zavezane k zaupnosti ali jih k zaupnosti zavezuje ustrezen zakon;
  3. sprejme vse ukrepe, potrebne v skladu s členom 32;
  4. spoštuje pogoje iz odstavkov 2 in 4 za zaposlitev drugega obdelovalca;
  5. ob upoštevanju narave obdelave pomaga upravljavcu z ustreznimi tehničnimi in organizacijskimi ukrepi, kolikor je to mogoče, pri izpolnjevanju njegovih obveznosti, da odgovori na zahteve za uresničevanje pravic posameznika, na katerega se nanašajo osebni podatki, iz poglavja III;
  6. upravljavcu pomaga pri izpolnjevanju obveznosti iz členov 32 do 36 ob upoštevanju narave obdelave in informacij, ki so dostopne obdelovalcu;
  7. v skladu z odločitvijo upravljavca izbriše ali vrne vse osebne podatke upravljavcu po zaključku storitev v zvezi z obdelavo ter uniči obstoječe kopije, razen če pravo Unije ali pravo države članice predpisuje shranjevanje osebnih podatkov;
  8. da upravljavcu na voljo vse informacije, potrebne za dokazovanje izpolnjevanja obveznosti iz tega člena, ter upravljavcu ali drugemu revizorju, ki ga pooblasti upravljavec, omogoči izvajanje revizij, tudi pregledov, in pri njih sodeluje.

 

Vaše nadaljnje vprašanje se nanaša na informiranje posameznikov, na katere se nanašajo osebni podatki. Uredba v uvodni določbi 60 določa, da je v skladu s temeljnim načelom zakonite, pravične in pregledne obdelave potrebno posameznika, na katerega se nanašajo osebni podatki, obvestiti o obstoju dejanja obdelave in njegovih namenih. Uredba obveznosti upravljavca glede informiranja posameznikov še nadgrajuje, in sicer vas IP na tem mestu usmerja na 12. in 13. člen Uredbe, ki določa, da kadar se osebni podatki v zvezi s posameznikom, na katerega se nanašajo osebni podatki, pridobijo od tega posameznika, upravljavec zadevnemu posamezniku takrat, ko pridobi osebne podatke, zagotovi vse naslednje informacije:

 

  1. identiteto in kontaktne podatke upravljavca in njegovega predstavnika, kadar ta obstaja;
  2. kontaktne podatke pooblaščene osebe za varstvo podatkov, kadar ta obstaja;
  3. namene, za katere se osebni podatki obdelujejo, kakor tudi pravno podlago za njihovo obdelavo;
  4. kadar obdelava temelji na točki (f) člena 6(1), zakonite interese, za uveljavljanje katerih si prizadeva upravljavec ali tretja oseba;
  5. uporabnike ali kategorije uporabnikov osebnih podatkov, če obstajajo;
  6. kadar je ustrezno, dejstvo, da upravljavec namerava prenesti osebne podatke v tretjo državo ali mednarodno organizacijo, ter obstoj ali neobstoj sklepa Komisije o ustreznosti ali v primeru prenosov iz člena 46 ali 47 ali drugega pododstavka člena 49(1) sklic na ustrezne ali primerne zaščitne ukrepe in sredstva za pridobitev njihove kopije ali kje so na voljo.

 

Poleg informacij iz prejšnjega odstavka upravljavec takrat, ko pridobi osebne podatke posamezniku, na katerega se ti nanašajo, zagotovi naslednje dodatne informacije, ki so potrebne za zagotovitev poštene in pregledne obdelave:

 

  1. obdobje hrambe osebnih podatkov ali, kadar to ni mogoče, merila, ki se uporabijo za določitev tega obdobja;
  2. obstoj pravice, da se od upravljavca zahtevajo dostop do osebnih podatkov in popravek ali izbris osebnih podatkov ali omejitev obdelave v zvezi s posameznikom, na katerega se nanašajo osebni podatki, ali obstoj pravice do ugovora obdelavi in pravice do prenosljivosti podatkov;
  3. kadar obdelava temelji na točki (a) člena 6(1) ali točki (a) člena 9(2), obstoj pravice, da se lahko privolitev kadar koli prekliče, ne da bi to vplivalo na zakonitost obdelave podatkov, ki se je na podlagi privolitve izvajala do njenega preklica;
  4. pravico do vložitve pritožbe pri nadzornem organu;
  5. ali je zagotovitev osebnih podatkov statutarna ali pogodbena obveznost ali pa obveznost, ki je potrebna za sklenitev pogodbe, ter ali mora posameznik, na katerega se nanašajo osebni podatki, zagotoviti osebne podatke ter kakšne so morebitne posledice, če se taki podatki ne zagotovijo, in
  6. obstoj avtomatiziranega sprejemanja odločitev, vključno z oblikovanjem profilov iz člena 22(1) in (4), ter vsaj v takih primerih smiselne informacije o razlogih zanj, kot tudi pomen in predvidene posledice take obdelave za posameznika, na katerega se nanašajo osebni podatki.  

 

Informacije, ki so nujno potrebne za zagotovitev poštene in pregledne obdelave, mora zagotoviti tudi obdelovalec, kadar izvaja obdelavo v imenu upravljavca. V primeru, ki ga opisujete, mora marketinška agencija pred samo obdelavo zagotoviti ustrezne informacije o identiteti tako upravljavca kot obdelovalca ter navesti, da izvaja obdelavo osebnih podatkov po (dokumentiranih) navodilih upravljavca oz. naročnika. V skladu s Facebook pravili Lead Ads oglaševanja[3] mora oglaševalec zagotoviti tudi ustrezno izjavo oz. pravilnik o zasebnosti (Privacy Policy), pri čemer IP ne more presojati, kdo je oglaševalec in kakšne so njegove obveznosti, tovrstna definicija je namreč v domeni pravil in pogojev uporabe Facebook spletne platforme.    

 

V upanju, da ste dobili odgovor na svoja vprašanja, vas lepo pozdravljamo.

                                                                                       

 

 

             

Mojca Prelesnik, univ.dipl.prav.,                                                  

informacijska pooblaščenka

 

Pripravila:                                                                                                                                

Jasmina Mešić,
svetovalka pooblaščenca za preventivo 

 

 

                                            

 


[1] Sodišče Evropske unije je v precedenčnem primeru v sporu med nemškim podjetjem Wirtschaftsakademie Schleswig-Holstein in neodvisnim organom dežele Schleswig-Holstein za varstvo podatkov (zadeva C-210/16, Unabhängiges Landeszentrum für Datenschutz Schleswig‑Holstein proti Wirtschaftsakademie Schleswig‑Holstein GmbH, z dne 5. 6. 2018, sodba je dostopna na tem naslovu: http://curia.europa.eu/juris/document/document.jsf?text=&docid=202543&pageIndex=0&doclang=SL&mode=req&dir=&occ=first&part=1&cid=452881) presodilo, da pojem »upravljavec« zajema skrbnika Facebook strani, ki gostuje na družabnem omrežju Facebook.

[2] Skladno z 2. točko 4. člena Uredbe je »obdelava« vsako dejanje ali niz dejanj, ki se izvaja v zvezi z osebnimi podatki ali nizi osebnih podatkov z avtomatiziranimi sredstvi ali brez njih, kot je zbiranje, beleženje, urejanje, strukturiranje, shranjevanje, prilagajanje ali spreminjanje, priklic, vpogled, uporaba, razkritje s posredovanjem, razširjanje ali drugačno omogočanje dostopa, prilagajanje ali kombiniranje, omejevanje, izbris ali uničenje.

[3] Priporočila in zahteve za Lead Ads kampanje (Recommendations and requirements for lead ads  

 https://www.facebook.com/business/help/1019886738092553?helpref=related&ref=related# in pogoji uporabe storitve (Lead Ads Terms https://www.facebook.com/ads/leadgen/tos#)