Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Mnenja - VOP

+ -
Datum: 20.07.2018
Naslov: Pravica do izbrisa osebnih podatkov pri ponudniku interneta
Številka: 0712-3/2018/1031
Vsebina: Telekomunikacije in pošta
Pravni akt: Mnenje

Informacijski pooblaščenec (v nadaljevanju IP) je po elektronski pošti prejel vaše zaprosilo za mnenje.

 

Sprašujete nas, ali lahko od prejšnjega ponudnika interneta po Splošni uredbi o varstvu podatkov zahtevate izbris vseh podatkov, ki jih je v času naročnine zbiral o vas. Dodajate še, da vas ob začetku veljavnosti 25. maja 2018 omenjeni ponudnik tudi ni pozval k dovoljenju o hrambi vaših podatkov. Z omenjenim ponudnikom nimate nobene naročnine in jo v nadaljnje tudi ne boste imeli, zato mu tudi ne sicer ne bi dali dovoljenja.

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba o varstvu podatkov), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašimi vprašanji.

 

IP uvodoma pojasnjuje, da delovanje ponudnikov interneta oziroma natančneje operaterjev elektronskih komunikacij ureja Zakon o elektronskih komunikacijah (Uradni list RS, št. 109/12, 110/13, 40/14 – ZIN-B, 54/14 – odl. US, 81/15 in 40/17; ZEKom-1), ki relativno natančno ureja, katere osebne podatke smejo hraniti in obdelovati operaterji. V grobem ločimo podatke o naročniku (148.-151. člen), lokacijske podatke (152. člen) ter prometne podatke (151. člen), katerih obdelavo urejajo posamezne določbe[1] oz.  členi ZEKom-1.

 

Dalje je treba pojasniti, da je primarna pravna podlaga za obdelavo osebnih podatkov posameznika podlaga v zakonu (ZEKom-1) ter v pogodbi s posameznikom, torej pravne podlage po točkah 6.c in 6.b Splošne uredbe in ne privolitev posameznika po točki 6.a Splošne uredbe. S tem je omejena tudi pravica posameznika do izbrisa osebnih podatkov, kot jo ureja 17. člen Splošne uredbe, ki določa:

 

1.   Posameznik, na katerega se nanašajo osebni podatki, ima pravico doseči, da upravljavec brez nepotrebnega odlašanja izbriše osebne podatke v zvezi z njim, upravljavec pa ima obveznost osebne podatke brez nepotrebnega odlašanja izbrisati, kadar velja eden od naslednjih razlogov:

(a) osebni podatki niso več potrebni v namene, za katere so bili zbrani ali kako drugače obdelani;

(b) posameznik, na katerega se nanašajo osebni podatki, prekliče privolitev, na podlagi katere poteka obdelava v skladu s točko (a) člena 6(1) ali točko (a) člena 9(2), in kadar za obdelavo ne obstaja nobena druga pravna podlaga;

(c) posameznik, na katerega se nanašajo osebni podatki, obdelavi ugovarja v skladu s členom 21(1), za njihovo obdelavo pa ne obstajajo nobeni prevladujoči zakoniti razlogi, ali pa posameznik, na katerega se nanašajo osebni podatki, obdelavi ugovarja v skladu s členom 21(2);

(d) osebni podatki so bili obdelani nezakonito;

(e) osebne podatke je treba izbrisati za izpolnitev pravne obveznosti v skladu s pravom Unije ali pravom države članice, ki velja za upravljavca;

(f) osebni podatki so bili zbrani v zvezi s ponudbo storitev informacijske družbe iz člena 8(1).

 

2.   Kadar upravljavec objavi osebne podatke in je v skladu z odstavkom 1 osebne podatke obvezan izbrisati, ob upoštevanju razpoložljive tehnologije in stroškov izvajanja sprejme razumne ukrepe, vključno s tehničnimi, da upravljavce, ki obdelujejo osebne podatke, obvesti, da posameznik, na katerega se nanašajo osebni podatki, od njih zahteva, naj izbrišejo morebitne povezave do teh osebnih podatkov ali njihove kopije.

 

3.   Odstavka 1 in 2 se ne uporabljata, če je obdelava potrebna:

(a) za uresničevanje pravice do svobode izražanja in obveščanja;

(b) za izpolnjevanje pravne obveznosti obdelave na podlagi prava Unije ali prava države članice, ki velja za upravljavca, ali za izvajanje naloge v javnem interesu ali pri izvajanju javne oblasti, ki je bila dodeljena upravljavcu;

(c) iz razlogov javnega interesa na področju javnega zdravja v skladu s točkama (h) in (i) člena 9(2) ter členom 9(3);

(d )za namene arhiviranja v javnem interesu, za znanstveno- ali zgodovinsko raziskovalne namene ali statistične namene v skladu s členom 89(1), kolikor bi pravica iz odstavka 1 lahko onemogočila ali resno ovirala uresničevanje namenov te obdelave, ali

(e) za uveljavljanje, izvajanje ali obrambo pravnih zahtevkov.

 

Osebni podatki, ki se hranijo na osnovi pogodbe posameznika z operaterjem ali na podlagi zakona, ki ureja delovanje operaterjev, tako praviloma niso predmet pravice do izbrisa, temveč se hranijo glede na roke hrambe, kot jih določa zakon oz. potrebnost zaradi izvajanja pogodbe (npr. roki uveljavljanja reklamacij, roki morebitnih odškodninskih zahtevkov ipd.).

 

Rok hrambe vaših podatkov o prometu (to so npr. podatki o opravljenih klicih, poslanih sporočilih ipd.), je določen v 1. odstavku 151. člena, in sicer  morajo biti podatki o prometu, ki se nanašajo na naročnike in uporabnike ter jih je operater obdelal in shranil, izbrisani ali spremenjeni tako, da se ne dajo povezati z določeno ali določljivo osebo takoj, ko niso več potrebni za prenos sporočil, razen v primerih podatkov, pri katerih je po tem zakonu določen daljši rok hrambe glede notranjih postopkov (149. člen), glede posredovanja prometnih in lokacijskih podatkov v primerih varovanja življenja in telesa (153. člen), glede sledenja zlonamernih ali nadležnih klicev (155. člen), glede zakonitega prestrezanja komunikacij (peti odstavek 160. člena). V praksi to pomeni, da se hranijo tri mesece in tekoči mesec od opravljene komunikacije[2].

 

Vaši lokacijski podatki, ki niso hkrati podatki o prometu in se nanašajo na uporabnike ali naročnike, se smejo obdelovati le v takšni obliki, da se ne dajo povezati z določeno ali določljivo osebo, ali pa na podlagi predhodnega soglasja uporabnika ali naročnika v obsegu in trajanju, ki sta potrebna za izvedbo storitve z dodano vrednostjo (152. člen ZEKom-1). Uporabnik ali naročnik lahko to soglasje kadar koli prekliče. Po določbi 2. odstavka 152. člena ZEKom-1 mora biti uporabnik ali naročnik pred izdajo soglasja v zvezi z obdelavo podatkov iz prejšnjega odstavka seznanjen z:

1. možnostjo zavrnitve soglasja,
2. vrsto teh podatkov, ki bodo obdelani,
3. namenom in trajanjem takšne obdelave,
4. možnostjo posredovanja teh lokacijskih podatkov tretji osebi zaradi izvedbe storitve z dodano vrednostjo.
 

Po določbi 3. odstavka 152. člena ZEKom-1 ima uporabnik ali naročnik, ki je soglašal z obdelavo podatkov iz prvega odstavka tega člena, možnost, da na preprost in brezplačen način začasno zavrne obdelavo takšnih podatkov pri vsaki priključitvi na omrežje ali za vsak prenos komunikacije.

 

Glede na navedeno lahko poteka obdelava lokacijskih podatkov v »osebni« obliki, če ste za to dali predhodno soglasje operaterju, to soglasje pa lahko tudi prekličete oz. če ste ga podali, lahko zahtevate tudi pravico do izbrisa lokacijskih podatkov po 17. členu Splošne uredbe. Če predhodnega soglasja niste podali, se podatki ne bi smeli zbirati v obliki, ki se da povezati z vami.
 

Podatke o naročnikih ureja 148. člen ZEKom-1, in sicer operaterji hranijo o svojih naročnikih naslednje podatke:


1. osebno ime oziroma firmo naročnika in njeno organizacijsko obliko,
2. naslov naročnika,
3. naročniško številko in druge elemente oštevilčenja, ki se uporabljajo za vzpostavitev zveze do naročnika,
4. na željo naročnika akademski, znanstveni ali strokovni naziv, naslov njegove spletne strani in druge vrste njegovih osebnih stikov (npr. IM-naslov) ali njegov e-naslov,
5. davčno številko za fizično osebo ter davčno in matično številko za pravno osebo,
6. na podlagi plačila naročnika še dodatne podatke, če to želi naročnik in se s tem ne poseže v pravice tretjih oseb.
 

Navedene podatke lahko po prenehanju naročniškega razmerja hranijo do popolnega poplačila storitev, vendar najdlje do preteka zastaralnega roka za svoje terjatve za izvajanje storitev, razen v primerih, ko je s tem zakonom določen daljši rok hrambe glede spremljanja in nadzora porabe podatkovnih storitev (132.a člen), glede klica v sili (šesti odstavek 134. člena), glede notranjih postopkov (149. člen), glede zavarovanja in neizbrisne registracije posredovanja prometnih in lokacijskih podatkov v primerih varovanja življenja in telesa (153.a člen), glede sledenja zlonamernih ali nadležnih klicev (155. člen) ter glede zakonitega prestrezanja komunikacij (peti odstavek 160. člena).

 

Glede vašega dovoljenja oziroma privolitve v obdelavo osebnih podatkov pojasnjujemo, da vas operater ni pozival k ponovni podaji privolitve, ker obdelava osebnih podatkov pri operaterjih, kot smo uvodoma pojasnili, večinoma ne temelji na privolitvi kot pravni podlagi, temveč na zakonski oz. pogodbeni podlagi, ki ne terja ponovnega pridobivanja privolitve.

 Lep pozdrav,

 

Mojca Prelesnik, univ.dipl.prav.,                                                  

informacijska pooblaščenka

 

Pripravil:                                                                                                                                  

mag. Andrej Tomšič,
namestnik informacijske pooblaščenke  

                                               

 

 


[1] Obdelavo osebnih podatkov uporabnikov oz. naročnikov urejajo tudi druge določbe ZEKom-1, kot so recimo določbe o snemanju telefonskih klicev (147. člen), posredovanje prometnih in lokacijskih podatkov v primerih varovanja življenja in telesa (153. člen) in druge določbe         XII. Poglavja ZEKom-1 (Obdelava osebnih podatkov in varstvo zasebnosti elektronskih komunikacij).

[2] V primeru sproženih sporov glede obračuna ipd. se seveda lahko hranijo dlje.