Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Iskalnik po mnenjih GDPR

+ -
Datum: 06.11.2019
Naslov: Veljavna privolitev v piškotke in obdelavo osebnih podatkov
Številka: 0712-1/2019/2511
Vsebina: Moderne tehnologije, Pravne podlage, Telekomunikacije in pošta
Pravni akt: Mnenje

Informacijski pooblaščenec (v nadaljevanju IP) je prejel vaše zaprosilo za mnenje glede veljavne privolitve v spletne piškotke in obdelavo osebnih podatkov.

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Uredba), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašimi vprašanji, pri čemer IP poudarja, da  lahko podaja nezavezujoča mnenja in pojasnila, ne more pa v tem okviru presojati ustreznosti določene rešitve z vidika skladnosti z obstoječimi predpisi. Morebitno kršitev določb predpisov s področja varstva osebnih podatkov v posameznem primeru IP lahko ugotavlja šele v okviru konkretnega inšpekcijskega postopka, izven tega pa ne more preverjati primernosti izbrane pravne podlage ali namenov oziroma obsega obdelave osebnih podatkov v konkretnem primeru.

 

IP zato podaja splošna pojasnila, da mora za zakonito obdelavo osebnih podatkov obstajati pravna podlaga. V členu 6 Uredbe je določeno, da je obdelava zakonita le in kolikor je izpolnjen vsaj eden od naslednjih pogojev:

(a)    posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov; 
(b)    obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe; 
(c)    obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca; 
(d)    obdelava je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe; 
(e)    obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu; 
(f)    obdelava je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok.

 

Ob tem je treba upoštevati, da se zadnja točka (f) ne more uporabljati za obdelavo s strani javnih organov pri opravljanju njihovih nalog.

 

V primeru aktivnosti, ki zajemajo shranjevanje podatkov ali pridobivanje dostopa do podatkov, shranjenih v terminalski opremi naročnika ali uporabnika, je treba upoštevati določbe 157. člena Zakona o elektronskih komunikacijah (Uradni list RS št. 109/12 s spremembami in dopolnitvami, v nadaljevanju ZEKom-1), ki določa, da je to dovoljeno samo pod pogojem, da je naročnik ali uporabnik v to privolil potem, ko je bil predhodno jasno in izčrpno obveščen o upravljavcu in namenih obdelave teh podatkov v skladu z zakonom, ki ureja varstvo osebnih podatkov. Dovoljeno pa je tehnično shranjevanje podatkov ali dostop do njih izključno zaradi prenosa sporočila po elektronskem komunikacijskem omrežju, ali če je to nujno potrebno za zagotovitev storitve informacijske družbe, ki jo naročnik ali uporabnik izrecno zahtevata. ZEKom-1 določa, da privolitev uporabnika ali naročnika pomeni osebno privolitev v skladu z zakonom, ki ureja varstvo osebnih podatkov.

 

Kot je Informacijski pooblaščenec že zapisal v sporočilu za javnost, je  pristopil k posodobitvi svojih Smernic o uporabi piškotkov na spletnih straneh in pogostih vprašanj o piškotkih in podobnih tehnologijah, usklajeno z drugimi nadzornimi organi v EU oz. EDPB, ki prav tako so ali še bodo objavili svoje posodobljene smernice. Razlog za to so določbe Splošne uredbe o varstvu podatkov, ki kot veljavno opredeljuje le aktivno in prostovoljno podano, konkretno, informirano in nedvoumno vnaprejšnjo privolitev posameznika in s tem višajo prej postavljene standarde, tudi glede veljavnosti domnevne privolitve.

 

Po objavi posodobljenih smernic predvidevamo uvedbo prilagoditvenega obdobja, v katerem bodo upravljavci spletnih strani lahko prilagodili svoje delovanje. V bližnji prihodnosti namreč pričakujemo  tudi sprejem Uredbe o zasebnosti v elektronskih komunikacijah, ki bo področje piškotkov posebej urejala in predvideva nekatere dodatne izjeme od pridobivanja privolitve, npr. za določene analitične piškotke. Nedavna sodba Sodišča EU v zadevi C-673/17 potrjuje naša razumevanja pravil o piškotkih, tudi glede veljavne privolitve, v katero posameznik ne more biti prisiljen, če želi uporabiti določeno storitev. Upravljavce spletnih strani, ki uporabljajo piškotke, tako vsekakor opozarjamo na pomen sodbe SEU in na to, da pričnejo svojo prakso glede pridobivanja veljavne privolitve v piškotke prilagajati, kljub dejstvu, da so posodobitve zakonodaje o piškotkih in smernic glede izvedbe še v razvoju.

 

 

Prijazen pozdrav.

 

 

Mojca Prelesnik, univ.dipl.prav.,                                                 

informacijska pooblaščenka