Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Iskalnik po mnenjih GDPR

+ -
Datum: 25.03.2020
Naslov: Mnenje glede pravnih podlag za obdelavo podatkov o geolokacijah
Številka: 07121-1/2020/348
Vsebina: Moderne tehnologije, Pravne podlage, Telekomunikacije in pošta
Pravni akt: Mnenje

Prejeli smo vaš dopis, v katerem nas prosite za mnenje, na kakšni pravi podlagi lahko oseba, ki ni oseba, ki zagotavlja elektronsko komunikacijsko omrežje in ne izvaja elektronskih komunikacijskih storitev, zbira in nadalje obdeluje podatek o geolokaciji. Vaše razumevanje je, da se v tem primeru ne uporablja 152. člen ZEKom-1, kar pomeni, da bi obdelava podatka o lokaciji za storitve informacijske družbe lahko temeljila tudi na kateri od drugih podlag po 6. členu GDPR, npr. na točki (f) (in ne zgolj na privolitvi uporabnika). Prosite nas za mnenje, ali je za zbiranje podatka o geolokaciji vedno potrebno pridobiti soglasje posameznika (6(1)(a) GDPR)? Ali bi zbiranje podatka o geolokaciji lahko utemeljevali na katePri drugi podlagi po členu 6(1) GDPR? Npr. na legitimnem interesu (točka (f))? In če da, pod kakšnimi pogoji oziroma v kakšnih primerih?Če je odgovor na vprašanje pod 1 pritrdilen, ali velja obveznost pridobiti soglasje za vse geolokacijske podatke, ali samo za natančne geolokacijske podatke (GPS koordinate)?

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju na podlagi 58. člena Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba), 7. točke prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07, uradno prečiščeno besedilo, v nadaljevanju ZVOP-1) ter 2. člena Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.

 

Uvodoma pojasnjujemo, da Informacijski pooblaščenec podaja nezavezujoča mnenja in pojasnila, ne more pa izven inšpekcijskih postopkov presojati konkretnih dejanj obdelave osebnih podatkov.

 

Upravljavec osebnih podatkov mora osebne podatke (to so lahko tudi podatki o lokaciji, kadar so vezani na določljivega posameznika) vedno obdelovati na zakoniti pravni podlagi, ki jo opredeljuje prvi odstavek 6. člena Splošne uredbe, in sicer je obdelava zakonita le in kolikor je izpolnjen vsaj eden od naslednjih pogojev: (a) posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov; (b) obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe; (c) obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca; (d) obdelava je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe; (e) obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu; (f) obdelava je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok. Pri tem se točka (f) prvega pododstavka ne uporablja za obdelavo s strani javnih organov pri opravljanju njihovih nalog. 

 

Kadar gre za upravljavca osebnih podatkov, ki ga zavezujejo določbe Zakona o elektronskih komunikacijah (Uradni list RS, št. 109/12 s spremembami in dopolnitvami; ZEKom -1), posebne pogoje in omejitve za obdelavo podatkov o geolokacijah določa 152. člen. Interpretacija določb ZEKom-1 je izven pristojnosti Informacijskega pooblaščenca, nadzorni organ je Agencija za komunikacijska omrežja in storitve.

 

Kadar ne gre za upravljavca, ki bi ga zavezovale določbe ZEKom-1 oziroma določbe druge specialne zakonodaje, mora odločitev o pravnih podlagah za obdelavo podatka o geolokacijah upravljavec sprejeti glede na določbe Splošne uredbe, ob upoštevanju konkretnega konteksta in namenov obdelave takih podatkov ter tveganj za pravice posameznikov ob obdelavi podatkov o njihovih geolokacijah, ki so lahko precejšnja.

 

V svojem dopisu ne opredeljujete natančneje, za kakšen namen naj bi se podatki o geolokacijah obdelovali, niti za kakšnega upravljavca oz. ponudnika kakšne storitve gre, zato natančnejšega pojasnila o pravnih podlagah iz Splošne uredbe ni mogoče podati. Glede uporabe podlage zakonitih interesov Informacijski pooblaščenec poudarja, da je tu potrebno zadostiti testu tehtanja med zakonitim interesom upravljavca na eni in posegom v interese oziroma temeljne pravice in svoboščine posameznika na drugi strani. Odgovornost za ustrezno izvedeno tehtanje je seveda na upravljavcu, ki izvaja obdelavo osebnih podatkov. Ob tem IP opozarja na načelo najmanjšega obsega podatkov, ki določa, da morajo biti pod pogojem, da obstaja pravna podlaga, osebni podatki, ki se obdelujejo, ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo.

 

Opozarjamo pa tudi, da morajo biti pri obdelavi osebnih podatkov vedno upoštevana temeljna načela obdelave osebnih podatkov, med drugim načelo sorazmernosti, in da je treba v zvezi z obdelavo geolokacij posameznikov, izbirati rešitve, ki najmanj posegajo v pravice posameznikov, ob upoštevanju namena, ki  ga upravljavec zasleduje. Invazivni ukrepi, kot je "sledenje" posameznikom za določen namen (tj. obdelava zgodovinskih ne-anonimiziranih lokacijskih podatkov), se lahko štejejo za sorazmerne le v izjemnih okoliščinah in če so zagotovljene močne varovalke za pravice posameznika (sorazmernost obdelave glede na trajanje in obseg, omejitev roka hrambe podatkov in omejitev namena obdelave).

 

Ne glede na pravno podlago mora biti posameznik o obdelavi osebnih podatkov ustrezno obveščen, skladno s členi 12, 13 in 14 Splošne uredbe.

 

Posebej opozarjamo tudi na dolžnosti upravljavca da izvede oceno vpliva na varstvo osebnih podatkov iz člena 35 Splošne uredbe, predvsem kadar bi obdelava podatkov o geolokacijah zadevala enega od kriterijev iz 3. odstavka člena 35 Splošne uredbe.

 

Prijazen pozdrav.

 

Pripravila:                                                                                       

Dr. Jelena Burnik,

vodja mednarodnega sodelovanja in nadzora

 

 

Mojca Prelesnik, univ.dipl.prav.,                                          

informacijska pooblaščenka