Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Iskalnik po mnenjih GDPR

+ -
Datum: 21.10.2019
Naslov: Šifriranje spletne strani
Številka: 0712-1/2019/2390
Vsebina: Posebne vrste, Zavarovanje osebnih podatkov
Pravni akt: Mnenje

Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaše zaprosilo za mnenje in sicer ste pojasnili, da ste v spletni trgovini sem pred nekaj dnevi naročili paket in kot način dostave izbrali  paketno dostavo. Od dostavnega podjetja ste prejeli sporočilo, kjer so vas obvestili, da lahko še naknadno spremenite način dostave. Kot navajate omogoča spletna stran preusmeritev paketa tudi na drugo osebo, saj stran ne omogoča varne povezave HTTPS. V kolikor bi se nahajal na kakšnem javnem nezaščitenem WiFi omrežju menite, da bi lahko tretja oseba prestregla naslov, na katerega se povezujete in paket preusmerila na naslov, na katerem bi vam ga lahko odtujila, hkrati bi pa tretja oseba lahko izvedela tudi vaš naslov dostave, čeprav v deljenje svojih osebnih podatkov tretjim osebam niste privolili. Zanima vas naše mnenje.

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju na podlagi 58. člena Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba), 7. točke prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07, uradno prečiščeno besedilo, v nadaljevanju ZVOP-1) ter 2. člena Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.

 

IP uvodoma pojasnjuje, da formalno gledano zakonodaja o varstvu osebnih podatkov zahteva šifriranje osebnih podatkov med prenosom po telekomunikacijskih omrežjih le, če gre za občutljive osebne podatke, kot jih opredeljuje ZVOP-1. Glede na določbo 19. točke 6. člena ZVOP-1 so občutljivi osebni so podatki: podatki o rasnem, narodnem ali narodnostnem poreklu, političnem, verskem ali filozofskem prepričanju, članstvu v sindikatu, zdravstvenem stanju, spolnem življenju, vpisu ali izbrisu v ali iz kazenske evidence ali evidenc, ki se vodijo na podlagi zakona, ki ureja prekrške (v nadaljnjem besedilu: prekrškovne evidence); občutljivi osebni podatki so tudi biometrične značilnosti, če je z njihovo uporabo mogoče določiti posameznika v zvezi s kakšno od prej navedenih okoliščin. Naslov za dostavo pošiljke tako, strogo gledano, ne sodi med občutljive osebne podatke, za katere se med prenosom po telekomunikacijskih omrežjih zahteva šifriranje (14. člen ZVOP-1). Običajno dostavne službe od prejemnika paketa zahtevajo tudi ustrezno identifikacijo, sama zloraba kot jo omenjate, pa bi lahko štela za kaznivo dejanje.

 

Splošna uredba ne vsebuje tako natančnih določb kot člen 14. ZVOP-1, temveč šifriranje zahteva, kjer je ustrezno (določbe člena 32). Vsekakor kot IP vzpodbujamo šifriranje pri spletnih straneh, kjer se zbirajo in obdelujejo osebni podatki, ne moremo pa se izven inšpekcijskega postopka opredeljevati, ali je v konkretnem primeru spoštovana zakonodaja, saj to lahko ugotovimo le z upoštevanjem vseh okoliščin in v okviru uradnega inšpekcijskega postopka. Če želite zoper zadevno podjetje podati predlog za uvedbo inšpekcijskega postopka lahko to storitev prek naše spletne strani:

 

https://www.ip-rs.si/varstvo-osebnih-podatkov/pravice-posameznika/vlozitev-prijave/

 

 

S spoštovanjem,

 

 

Mojca Prelesnik, univ. dipl. prav.,

Informacijska pooblaščenka

 

 

Pripravil:                                                                                                                              

mag. Andrej Tomšič,
namestnik informacijske pooblaščenke