Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Mnenja - VOP

+ -
Datum: 19.07.2018
Naslov: Pravica do izbrisa osebnih podatkov
Številka: 0712-3/2018/823
Vsebina: Svetovni splet
Pravni akt: Mnenje

Informacijski pooblaščenec (v nadaljevanju IP) je po elektronski pošti prejel vaše zaprosilo za mnenje. Kot navajate, Splošna uredba o varstvu podatkov v členu 17(1f) določa, da je treba brez nepotrebnega odlašanja izbrisati podatke, ki so bili zbrani za ponujanje storitev informacijske družbe, v povezavi s posameznikom, ki še ni dopolnil šestnajst let - člen 8(1). Navajate primer spletnega foruma ali pa zaprte Facebook skupine, na katerem bi želel sodelovati nekdo, ki ga Splošna uredba opredeljuje kot otroka.

 

Sprašujete se, ali to v praksi pomeni, da mora ponudnik spletnega foruma (upravljavec) osebne podatke take osebe izbrisati takoj, ko prejme njegovo zahtevo, razen v primerih iz člena 17(3), ki pa ne omenja legitimnih interesov ponudnika take storitve. Če hrani upravljavec, v prej naveden namen, dnevniške zapise (za spremljanje delovanja spletne strani (foruma) in s tem zagotavljanje informacijske varnosti - legitimen interes) sedem mesecev od nastanka (to je povprečen čas od vdora v informacijski sistem, do detekcije), ali mora torej ob zahtevi za izbris iz takih zapisov poiskati in odstraniti vse podatke, ki kažejo na konkretnega otroka. Zanima vas, ali je podani primer ustrezen in kako to v praksi izvesti, saj so lahko postopki brisanja podatkov težko izvedljivi - podobno, kot je brisanje podatkov iz varnostnih kopij.

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba o varstvu podatkov), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašimi vprašanji.

 

IP uvodoma pojasnjuje, da je treba v vsakem primeru, ko je podana zahteva po izbrisu, najprej ugotoviti, ali je utemeljena – ali torej ne obstaja kateri izmed razlogov po tretjem odstavku 17. člena Splošne uredbe. To velja tudi za primer zahteve na podlagi 17(f) člena Splošne uredbe. Primer, ki ga navajate sodi med storitve informacijske družbe in bi tako zahteva po izbrisu osebnih podatkov po določbah 17(f) člena Splošne uredbe lahko bila vložena, vendar pa je treba upoštevati, da je treba omenjeno določbo torej interpretirati tako v kontekstu določbe prvega odstavka 8. člena kot tudi tretjega odstavka 17. člena uredbe. Prvi odstavek 8. člena določa, da kadar se uporablja točka (a) člena 6(1) (t.j. privolitev kot pravna podlaga), je v zvezi s storitvami informacijske družbe, ki se ponujajo neposredno otroku, obdelava osebnih podatkov otroka zakonita, kadar ima otrok vsaj 16 let. Kadar je otrok mlajši od 16 let, je takšna obdelava zakonita le, če in kolikor takšno privolitev da ali odobri nosilec starševske odgovornosti za otroka. Zahteva po izbrisu podatkov bi bila torej utemeljena, če je bila obdelava osebnih podatkov otroka nezakonita, torej če v primeru otroka, mlajšega od 16 let, ni bila podana ali odobrena privolitev nosilca starševske odgovornosti za otroka ali če je bila privolitev preklicana in če za nadaljnjo hrambo ni drugih razlogov iz tretjega odstavka 17. člena uredbe.

Pred izbrisom bi moral upravljavec na podlagi prejete zahteve najprej preveriti to dejstvo, torej, ali je bila podana ustrezna privolitev oz. ali obstaja kateri izmed razlogov iz tretjega odstavka 17. člena uredbe za nadaljnjo hrambo – zahteva po izbrisu osebnih podatkov ne sme voditi v avtomatsko oz. takojšnje brisanje podatkov brez tovrstnega predhodnega preverjanja utemeljenosti zahteve.

 

Vaša ugotovitev, da izjeme po določbah tretjega odstavka 71. člena Splošne uredbe ne vsebujejo primera, ko do izbrisa podatkov ne bi smelo priti zaradi prevladujočega legitimnega oz. zakonitega interesa upravljavca, je pravilna, zato so lahko tudi podatki, ki jih omenjate (dnevniški zapisi za spremljanje delovanja spletne strani, foruma), predmet zahteve po izbrisu, a kot rečeno, je naprej treba preveriti utemeljenost zahteve. Če se izkaže, da je zahteva po izbrisu utemeljena (npr. da nosilci starševske odgovornosti za otroka niso podali ali odobrili[1] privolitve v obdelavo osebnih podatkov otroka, mlajšega od 16 let ali so privolitev preklicali in ne obstaja kateri izmed razlogov iz tretjega odstavka 17. člena uredbe za nadaljnjo hrambo), bi morali tudi iz teh zapisov izbrisati ustrezne podatke.

 

Glede tehničnih možnosti za brisanje podatkov se strinjamo, da je izbris lahko v določenih primerih težaven, ni pa temu vedno nujno tako (npr. izbris določenih podatkov iz dnevniških zapisov spletnega strežnika, npr. Apache, bi pomenil brisanje določenih vrstic iz besedilne datoteke).

 

Lep pozdrav,

 

 

Mojca Prelesnik, univ.dipl.prav.,                                                  

informacijska pooblaščenka

 

 

Pripravil:                                                                                                                                  

mag. Andrej Tomšič,
namestnik informacijske pooblaščenke  

                                               

 

 


[1] Odobritev privolitve (angl. »consent is given or authorised “) s strani staršev je po mnenju IP treba razumeti kot to, da so bili nosilci starševske odgovornosti seznanjeni s tem, da otrok, mlajši od 16 let, uporablja določeno storitev informacijske družbe, in so mu to dovolili oz. odobrili (angl. authorise), niso pa upravljavcu ali otroku nujno izrecno podali svoje privolitve (npr. v pisni ali elektronski obliki).