Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Iskalnik po mnenjih GDPR

+ -
Datum: 18.11.2019
Naslov: Pošiljanje elektronske pošte prek MailChimp
Številka: 0712-1/2019/2610
Vsebina: Informiranje posameznika, Moderne tehnologije, Pravne podlage, Prenos osebnih podatkov v tretje države ali mednarodne organizacije, Privolitev
Pravni akt: Mnenje

Informacijski pooblaščenec (v nadaljevanju IP) je po prejel vaš dopis, v katerem vas zanima, ali je storitev MailChimp za prijavo na elektronske novice v skladu s Splošno uredbo o varstvu podatkov in ZVOP-2. Pojasnjujete, da MailChimp shranjuje in uporablja za pošiljanje novic sledeče osebne podatke: ime in priimek, naslov, e-naslov, telefonsko številko.

 

***

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju na podlagi 58. člena Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba), 7. točke prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07, uradno prečiščeno besedilo, v nadaljevanju ZVOP-1) ter 2. člena Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.

 

Uvodoma pojasnjujemo, da se v okviru neobvezujočega mnenja ne moremo spustiti v konkretno presojo glede zakonitosti delovanja platforme MailChimp. Navedeno presojo lahko opravimo zgolj v okviru postopka inšpekcijskega nadzora, zato vam v nadaljevanju podajamo nekaj splošnih iztočnic v zvezi z vašim vprašanjem. Glede na vaše vprašanje tudi pojasnjujemo, da novi Zakon o varstvu osebnih podatkov oz. ZVOP-2 še ni bil sprejet, kar pomeni, da ob Splošni uredbi še vedno (deloma) ostaja v veljavi ZVOP-1.

 

Za vsako obdelavo osebnih podatkov je potrebno zagotoviti ustrezno pravno podlago. Pravne podlage ureja člena 6(1) Splošne uredbe, ki določa, da je obdelava zakonita le in kolikor je izpolnjen vsaj eden od naslednjih pogojev:

(a) posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov;

(b) obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe;

(c) obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca;

(d) obdelava je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe;

(e) obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu;

(f) obdelava je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok.

 

Vsak upravljavec osebnih podatkov je tako dolžan v skladu z navedenim členom zagotoviti ustrezno pravno podlago za obdelavo osebnih podatkov posameznikov. V primeru pošiljanja novic, oglasov, »newsletter« in podobnih sporočil lahko ustrezno pravno podlago predstavlja privolitev posameznika v obdelavo osebnih podatkov (npr. takrat ko upravljavec pridobi e-naslov in druge kontakte podatke posameznika). Več informacij v zvezi z veljavno privolitvijo po Splošni uredbi lahko pridobite na naši spletni strani: https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/kljucna-podrocja-uredbe/privolitev/. Platforma MailChimp omogoča uporabnikom uporabo predpripravljenih obrazcev (ki jih je potrebno dopolniti s konkretnimi informacijami v zvezi z obdelavo osebnih podatkov) za pridobitev privolitev posameznikov v skladu s Splošno uredbo ob prijavi na seznam za pošiljanje elektronske pošte. IP pa, kakor je bilo že uvodoma navedeno, v okviru neobvezujočega ne more opraviti konkretne presoje, ali so njihovi obrazci dejansko skladni z veljavno zakonodajo. Nadalje vas tudi napotujemo na infografiko glede možnih pravnih podlag pri obdelavi osebnih podatkov za namen neposrednega trženja:

https://www.ip-rs.si/fileadmin/user_upload/Pdf/infografike/Neposredno_trzenje_infografika.pdf.

 

V zvezi z naborom osebnih podatkov vas napotujemo na načelo najmanjšega podatkov, v skladu s katerim morajo biti osebnih podatki ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo (točka c člena 5(1) Splošne uredbe). Načelo v bistvu preprečuje, da bi zbirali več osebnih podatkov kot jih dejansko potrebujete za dosego namenov obdelave (npr. za neposredno trženje po elektronski pošti načeloma ne potrebujete davčne številke posameznika).

 

Platforma MailChimp deluje na način, da se ob registraciji kot nov uporabnik hkrati strinjate z njihovimi splošnimi pogoji poslovanja, del katerih je tudi pogodba o obdelavi osebnih podatkov (»Data Processing Addendum«), ter ste seznanjeni z obvestilom o obdelavi osebnih podatkov. Iz obvestila o obdelavi osebnih podatkov platforme MailChimp izhaja, da podjetje, ki upravlja MailChimp, pri obdelavi osebnih podatkov kontaktov posameznikov, ki jih vnesete v njihovo storitev, nastopa tudi kot upravljavec osebnih podatkov, saj le-te obdeluje tudi v svojem imenu in za lastne namene (obvestilo je dostopno na spletni strani podjetja: https://mailchimp.com/legal/privacy/). Kar pomeni, da je tudi navedeno podjetje dolžno zagotoviti ustrezno pravno podlago za obdelavo osebnih podatkov (v okviru neobvezujočega mnenja ne moremo oceniti, ali je pravna podlaga v konkretnem primeru skladna z veljavno zakonodajo).

 

Osebni podatki, ki jih obdeluje platforma MailChimp, se shranjujejo na strežnikih v tretji državi, to je v Združenih državah Amerike. Podjetje je na seznamu podjetij, ki so samo-certificirana v sklopu dogovora Zasebnostni ščit EU-ZDA, kar pomeni, da so najverjetneje izpolnjene zahteve iz poglavja V Splošne uredbe glede prenosa osebnih podatkov v tretjo državo (torej na ameriške strežnike). Več o prenosu osebnih podatkov v tretje države si lahko preberete tukaj: https://www.ip-rs.si/publikacije/prirocniki-in-smernice/smernice-glede-prenosa-osebnih-podatkov-v-tretje-drzave-in-mednarodne-organizacije-po-splosni-uredbi-o-varstvu-podatkov/. Kot upravljavec osebnih podatkov in uporabnik storitve MailChimp ste dolžni posameznike v svojem obvestilu o obdelavi osebnih podatkov obvestiti, da bodo njihovi osebni podatki prenešeni v tretjo državo (tako določa točka f člena 13(1) Splošne uredbe). Upravljavec je namreč dolžan v skladu s členoma 13 in 14 Splošne uredbe posameznike obvestiti o obdelavi osebnih podatkov. Več informacij o tem, katere informacije je potrebno zagotoviti posameznikom preden pričnete z obdelavo osebnih podatkov, lahko pridobite na naši spletni strani: https://upravljavec.si/obvescanje-posameznikov/.

 

Vsekakor pa ste kot upravljavec osebnih podatkov v konkretnem primeru sami dolžni presoditi, ali je konkretni ponudnik storitve vreden zaupanja in ali zagotavlja ustrezno raven varstva osebnih podatkov.

 

V upanju, da ste dobili odgovor na svoje vprašanje, vas lepo pozdravljamo.

 

 

Mojca Prelesnik, univ.dipl.prav.,                                                 

informacijska pooblaščenka

 

 

Pripravila:                                                                                                                              

Neja Domnik, mag. prav.,

asistentka svetovalca