Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Iskalnik po mnenjih GDPR

+ -
Datum: 31.12.2018
Naslov: Številka za prijavo kršitev
Številka: 0712-3/2018/2682
Vsebina: Razno
Pravni akt: Mnenje

Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaše zaprosilo za mnenje glede hotline številke za prijavo kršitev.

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba o varstvu podatkov), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju: ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju: ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.

 

Glede prvega vprašanja, ki izhaja iz vašega zaprosila, IP uvodoma pojasnjuje, da je ZVOP-2 še v postopku usklajevanja, zato IP ne more komentirati posameznih določb, ki jih trenutno vsebuje osnutek zakona, saj so le-te še lahko predmet sprememb.

 

Glede hotline številke vas obveščamo, da vsebino, ki jo je urejal 11. člen ZVOP-1, sedaj ureja 28. člen Splošne uredbe o varstvu podatkov. Ta tako ureja razmerje med upravljavcem in obdelovalcem ter določa, da obdelavo s strani obdelovalca ureja pogodba ali drug pravni akt v skladu s pravom Unije ali pravom države članice, ki določa obveznosti obdelovalca do upravljavca, v katerem so določeni vsebina in trajanje obdelave, narava in namen obdelave, vrsta osebnih podatkov, kategorije posameznikov, na katere se nanašajo osebni podatki, ter obveznosti in pravice upravljavca. Ta pogodba ali drug pravni akt zlasti določa, da obdelovalec:

  1. osebne podatke obdeluje samo po dokumentiranih navodilih upravljavca, vključno glede prenosov osebnih podatkov v tretjo državo ali mednarodno organizacijo, razen če to od njega zahteva pravo Unije ali pravo države članice, ki velja za obdelovalca; v slednjem primeru obdelovalec o tej pravni zahtevi pred obdelavo podatkov obvesti upravljavca, razen če zadevno pravo prepoveduje takšno obvestilo na podlagi pomembnih razlogov v javnem interesu;
  2. zagotovi, da so osebe, ki so pooblaščene za obdelavo osebnih podatkov, zavezane k zaupnosti ali jih k zaupnosti zavezuje ustrezen zakon;
  3. sprejme vse ukrepe, potrebne v skladu s členom 32;
  4. spoštuje pogoje iz odstavkov 2 in 4 za zaposlitev drugega obdelovalca;
  5. ob upoštevanju narave obdelave pomaga upravljavcu z ustreznimi tehničnimi in organizacijskimi ukrepi, kolikor je to mogoče, pri izpolnjevanju njegovih obveznosti, da odgovori na zahteve za uresničevanje pravic posameznika, na katerega se nanašajo osebni podatki, iz poglavja III;
  6. upravljavcu pomaga pri izpolnjevanju obveznosti iz členov 32 do 36 ob upoštevanju narave obdelave in informacij, ki so dostopne obdelovalcu;
  7. v skladu z odločitvijo upravljavca izbriše ali vrne vse osebne podatke upravljavcu po zaključku storitev v zvezi z obdelavo ter uniči obstoječe kopije, razen če pravo Unije ali pravo države članice predpisuje shranjevanje osebnih podatkov;
  8. da upravljavcu na voljo vse informacije, potrebne za dokazovanje izpolnjevanja obveznosti iz tega člena, ter upravljavcu ali drugemu revizorju, ki ga pooblasti upravljavec, omogoči izvajanje revizij, tudi pregledov, in pri njih sodeluje.

 

V zvezi s točko (h) obdelovalec nemudoma obvesti upravljavca, če po njegovem mnenju navodilo krši to uredbo ali druge določbe Unije ali predpisov držav članic o varstvu podatkov.

Pravni akt mora torej vsebovati vsaj zgoraj naštete vsebine, saj 28. člen določa njegov minimalni obseg, lahko pa seveda vsebuje tudi dodatne elemente v zvezi z obdelavo osebnih podatkov.

 

IP zato svetuje, da preverite, ali vaš dogovor (pogodba) z obdelovalcem vsebuje vse zgoraj naštete elemente in, v kolikor temu ni tako, dogovor ustrezno prilagodite.

 

IP vas obvešča tudi, da, v nasprotju z ZVOP-1, Splošna uredba o varstvu podatkov ne vsebuje več obveznosti prijave posameznih zbirk osebnih podatkov nadzornemu organu, ampak v 30. členu določa le, da mora upravljavec, obdelovalec ali njun predstavnik, kadar ta obstaja, nadzornemu organu na zahtevo omogočiti dostop do zbirk. Ta isti člen v prvem odstavku določa, da vsak upravljavec vodi evidenco dejavnosti obdelave osebnih podatkov v okviru svoje odgovornosti. Gre za neke vrste popis zbirk osebnih podatkov. Peti odstavek 30. člena Splošne uredbe o varstvu podatkov določa, da se obveznosti glede vodenja evidence dejavnosti obdelave osebnih podatkov ne uporabljajo, če gre za družbe, ki zaposlujejo manj kot 250 oseb, razen če je verjetno, da obdelava, ki jo izvaja, predstavlja tveganje za pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki, in ni občasna, ali obdelava vključuje posebne vrste podatkov. 

IP vas dodatno napotuje na svojo spletno stran, kjer lahko najdete relevantne informacije glede vodenja evidence dejavnosti obdelave osebnih podatkov: https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/kljucna-podrocja-uredbe/evidenca-dejavnosti-obdelave/.

 

Glede drugega vprašanja, ki izhaja iz vašega zaprosila, IP poudarja, da v okviru mnenja ne more presojati ustreznosti določene rešitve z vidika skladnosti z obstoječimi predpisi. Presojo o ustreznosti lahko izvede le v okviru konkretnega inšpekcijskega postopka.

 

IP nadalje pojasnjuje, da so s Splošno uredbo o varstvu podatkov varovani le osebni podatki, to so podatki fizičnih oseb, ne pa tudi podatki o pravnih osebah. Naslovi sedežev podjetij ter splošni elektronski naslovi podjetij (npr. info@podjetje.si), ki niso izrecno dodeljeni v uporabo eni osebi, ne predstavljajo osebnih podatkov, ampak podatke o pravnih osebah, ki načeloma ne uživajo zakonskega varstva po predpisih, ki urejajo varstvo osebnih podatkov.

 

Za zakonito obdelavo osebnih podatkov je treba imeti ustrezno pravno podlago. Splošna uredba o varstvu podatkov določa pravne podlage v prvem odstavku 6. člena, ki določa, da je obdelava zakonita le in kolikor je izpolnjen vsaj eden od naslednjih pogojev:

(a) posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov;

(b) obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe;

(c) obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca;

(d) obdelava je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe;

(e) obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu;

(f) obdelava je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok.«.

Ob tem je treba upoštevati, da se zadnja točka (f) ne more uporabljati za obdelavo s strani javnih organov pri opravljanju njihovih nalog.

 

Splošna uredba o varstvu podatkov torej v 6. členu določa pravne podlage za obdelavo osebnih podatkov in privolitev posameznika je zgolj ena od pravnih podlag za zakonito obdelavo osebnih podatkov. Smiselno je torej najprej presoditi, če morda v vašem primeru v poštev pride katera druga od pravnih podlag, npr. obdelava v zvezi z izvrševanjem pogodbe (točka b člen 6(1) Splošne uredbe) ali v zvezi z zakonitimi interesi (točka f člen 6(1) Splošne uredbe).

 

V kolikor ocenite, da je pravna podlaga v vašem primeru privolitev, izpostavljamo, da je treba, kadar je posameznik privolil v obdelavo njegovih osebnih podatkov v enega ali več namenov (člen 6 (1)(a) Splošne uredbe), upoštevati  podrobnejša določila glede pogojev, po katerih se šteje, da je privolitev veljavna, ki so določeni v členu 7. Privolitev posameznika mora biti konkretna, razumljiva izjava ali drugo nedvoumno pritrdilno dejanje in dokazljiva. Molk, vnaprej označena okenca ali kakršnakoli nedejavnost tako ne pomenijo privolitve. Posameznik mora torej jasno podati privolitev za zbiranje in obdelavo svojih osebnih podatkov za konkreten namen. Če vključuje storitev več obdelav osebnih podatkov za več namenov, morajo biti nameni granulirani, privolitev pa dana za vsak namen posebej. Upravljavec mora biti zmožen dokazati, da je posameznik privolil v obdelavo svojih osebnih podatkov. Posameznik ima tudi pravico, da svojo privolitev kadarkoli prekliče.

 

Recital 171 Splošne uredbe določa, da posamezniku, na katerega se nanašajo osebni podatki, ni treba ponovno dati privolitve, če je bila privolitev dana na način, ki je v skladu s pogoji iz te uredbe, s čimer se upravljavcu dovoli, da takšno obdelavo še naprej izvaja po datumu začetka uporabe te uredbe. To pomeni, da vam, v kolikor morebitne privolitve, ki ste jih pridobili pred uveljavitvijo Splošne uredbe o varstvu podatkov, ustrezajo zahtevam iz Splošne uredbe o varstvu podatkov, novih privolitev ni treba pridobivati.  V kolikor pa obstoječe privolitve ne ustrezajo njenim standardom, pa je treba pridobiti nove privolitve.

 

Več informacij o veljavni privolitvi lahko najdete tudi na spletni strani IP:

https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/kljucna-podrocja-uredbe/privolitev/.

 

S spoštovanjem.

 

 

Pripravil:

Matej Sironič,                                                  

Svetovalec pooblaščenca za varstvo osebnih podatkov

 

 

Informacijski pooblaščenec:

Mojca Prelesnik, univ. dipl. prav.,

pooblaščenka