Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Iskalnik po mnenjih GDPR

+ -
Datum: 07.02.2020
Naslov: Obdelava osebnih podatkov pri storitvi pošiljanja SMS sporočil
Številka: 07120-1/2020/68
Vsebina: Pogodbena obdelava podatkov, Pravne podlage, Prenos osebnih podatkov v tretje države ali mednarodne organizacije, Rok hrambe OP, Telekomunikacije in pošta, Zavarovanje osebnih podatkov
Pravni akt: Mnenje

Informacijski pooblaščenec (v nadaljevanju IP) je prejel vaše zaprosilo za mnenje. Pojasnjujete, da nameravate z izvajalcem skleniti pogodbo za storitev pošiljanja SMS sporočil (t.i. SMS kliping). Sprašujete, katera je ustrezna pravna podlaga za obdelavo telefonskih številk naslovnikov, kakšen je rok hrambe, ali gre za pogodbeno obdelavo ter kakšna morajo biti dokumentirana navodila upravljavca. Zanima vas tudi ustreznost pogodbene ureditve glede iznosa osebnih podatkov. Prilagate osnutek pogodbe z izvajalcem in splošne pogoje izvajalca z določbami o varstvu osebnih podatkov.

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov, v nadaljevanju Splošna uredba), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašimi vprašanji.

 

Uvodoma pojasnjujemo, da lahko IP posamezne primere obdelave podatkov konkretno presoja le v okviru inšpekcijskega ali drugega upravnega postopka. IP namreč ne sme in ne more prevzeti odgovornosti posameznih subjektov za njihovo poslovanje, podobno kot to velja za druge inšpekcijske organe. Zato poudarjamo, da IP v mnenju ne more in ne sme namesto upravljavca presojati, katera je najustreznejša pravna podlaga za konkretno obdelavo, niti preverjati namenov ali obsega obdelave v konkretnem primeru. Prav tako ni naloga IP, da potrjuje osnutke konkretnih pogodbenih določb oziroma oblikuje končne rešitve. Primarna naloga in odgovornost vsakega upravljavca je namreč, da (upoštevaje namen obdelave, organizacijo poslovanja in druge relevantne okoliščine konkretnega primera) sam izbere ustrezno pravno podlago za določeno obdelavo osebnih podatkov in jo tudi utemelji, pri tem pa mu svetuje pooblaščena oseba za varstvo podatkov. Iz navedenih razlogov IP na vaša vprašanja v okviru tega mnenja ne more dokončno odgovoriti, temveč v nadaljevanju podaja zgolj splošna pojasnila.

 

Za vsako obdelavo osebnih podatkov je treba imeti zakonito in ustrezno pravno podlago. Te so določene v členu 6(1) Splošne uredbe in so za javni sektor naslednje:

- zakon (točka (c)),

- privolitev, kadar ne gre za izvajanje javnih nalog (točka (a)),

- sklenitev ali izvajanje pogodbe (točka (b)),

- izvajanje javne naloge (točka (e)).

 

IP je za enostavnejši in razumljivejši prikaz dopustnih pravnih podlag obdelave osebnih podatkov v javnem sektorju izdelal infografiko, ki je dostopna na naslednji povezavi: https://www.ip-rs.si/fileadmin/user_upload/Pdf/infografike/pravne_podlage_javni_sektor.pdf. Kot že pojasnjeno, pa je izbira ustrezne pravne podlage za obdelavo telefonskih številk naslovnikov, upoštevajoč konkretne okoliščine in namen obdelave, izključna obveznost upravljavca. IP ne more namesto njega izbirati med dvema izpostavljenima pravnima podlagama niti utemeljevati razloge za takšno izbiro, to je dolžan storiti upravljavec sam. Na podlagi načela odgovornosti po členu 5(2) Splošne uredbe pa je skladnost z načeli varstva osebnih podatkov iz Splošne uredbe tudi zmožen dokazati.

 

IP nadalje pojasnjuje, da so pri ugotavljanju, ali gre za (pogodbenega) obdelovalca, ključni naslednji faktorji:

  • Ali subjekt lahko sam določa namen in sredstva obdelave osebnih podatkov?
  • Ali je upravljavec zbirke osebnih podatkov subjektu poveril v izvajanje opravila obdelave, ki bi jih sicer lahko izvajal upravljavec sam?
  • Kakšna je intenzivnost obdelave, vezanost na navodila in nadzor upravljavca nad dejanji subjekta?
  • Ali ima subjekt zakonska pooblastila oziroma pravno podlago, ki bi ga deloma ali v celoti postavila za upravljavca v zvezi z osebnimi podatki upravljavca?
  • Ali je primarni namen najema storitev subjekta katero od dejanj obdelave osebnih podatkov ali pa je obdelava osebnih podatkov zgolj posledica najetja storitve subjekta?

Vsaj te kriterije je vedno treba presojati skupaj.

 

Upoštevaje opis storitve pošiljanja SMS sporočil, ki ga podajate v zaprosilu, IP meni, da izvajalec storitve v konkretnem primeru najverjetneje ne nastopa kot (pogodbeni) obdelovalec, saj primarni namen naročenih storitev načeloma ni sama obdelava osebnih podatkov, temveč je obdelava osebnih podatkov zgolj posledica najetja storitve. Storitev pošiljanja SMS sporočil po naravi stvari namreč ni možna brez telefonskih številk določenih posameznikov. Dokončna presoja, v kakšni vlogi nastopata pogodbeni stranki, pa je odvisna od konkretne pogodbene ureditve naročene storitve.

 

IP vas glede vprašanj, ki se nanašajo na pogodbeno obdelavo, napotuje na smernice IP, ki so dostopne na povezavi:  https://www.ip-rs.si/fileadmin/user_upload/Pdf/smernice/Smernice_o_pogodbeni_obdelavi_web.pdf ter na naslednjo infografiko: https://www.ip-rs.si/fileadmin/user_upload/Pdf/infografike/INFOGRAFIKA_Pogodbena_obdelava_1_.pdf.

 

Več o iznosu osebnih podatkov pa si lahko preberete na spleti strani IP: https://www.ip-rs.si/varstvo-osebnih-podatkov/obveznosti-upravljavcev/prenos-osebnih-podatkov-v-tretje-drzave-in-mednarodne-organizacije/.

 

Glede roka hrambe telefonskih številk za potrebe pošiljanja SMS sporočil IP pojasnjuje, da ta v konkretnem primeru ni določen s posebnimi predpisi. Posledično je treba upoštevati splošna določila Splošne uredbe, zlasti člen 5(1)(e), ki določa, da morajo biti osebni podatki hranjeni v obliki, ki dopušča identifikacijo posameznikov, na katere se nanašajo osebni podatki, le toliko časa, kolikor je potrebno za namene, za katere se osebni podatki obdelujejo. To določbo je treba razlagati skupaj s členom 5(1)(c), ki določa, da morajo biti osebni podatki ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo. Rok hrambe telefonskih številk naslovnikov je torej odvisen od namena obdelave, ki je v konkretnem primeru pošiljanje SMS sporočil; ko se ta izpolni (npr. prenehanje pogodbe o tej storitvi, prenehanje pogodbe o zaposlitvi naslovnika, menjava telefonske številke ipd.), takrat hramba ni več dopustna, če ni za to druge izrecne zakonske podlage.

 

Več o obdelavi osebnih podatkov na splošno si lahko preberete tudi na spletni strani IP https://upravljavec.si/.

 

 

Lep pozdrav,

 

                                                                                                     Mojca Prelesnik, univ. dipl. prav.,                                                

                                                                                                           informacijska pooblaščenka

Pripravila:                                                                                                                              

Tina Ivanc, univ. dipl. prav.,
svetovalka IP za varstvo osebnih podatkov