Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Iskalnik po mnenjih GDPR

+ -
Datum: 04.01.2019
Naslov: Obdelava OP v Facebook skupini
Številka: 0712-3/2018/2690
Vsebina: Svetovni splet, Moderne tehnologije
Pravni akt: Mnenje

Informacijski pooblaščenec (v nadaljevanju IP) je po elektronski pošti prejel vašo prošnjo za pojasnila glede upravljanja javne Facebook skupine in objavljanja v njej. Pojasnjujete, da to počne fizična oseba, ki opravlja dopolnilno dejavnost (popoldanski s.p.), in sicer ne kot primarno dejavnost, ampak kot podporno dejavnost za združevanje uporabnikov (potencialnih strank) svoje primarne storitve. Sprašujete, kakšna je povezava med upravljanjem Facebook skupine in obdelavo osebnih podatkov članov skupine ter ali se objavljanje znotraj Facebook skupine razume kot obdelava osebnih podatkov. Nadalje tudi sprašujete, ali bi morale biti dejavnosti (objavljanje članov Facebook skupine) tudi pogodbeno urejene oz. ali bi moral samostojni podjetnik skleniti pogodbo za obdelavo in varovanje osebnih podatkov z družinskimi člani, ki so javno vidni in ki v imenu primarne storitve, ki jo ponuja ta samostojni podjetnik, prav tako objavljajo znotraj Facebook skupine. 

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Uredba), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašimi vprašanji.

 

IP uvodoma izpostavlja, da v sklopu neobvezujočega mnenja vsekakor ne more presojati konkretnih dejanj obdelav, temveč lahko to stori šele v okviru inšpekcijskega postopka, zato v nadaljevanju podaja splošna pojasnila. IP v prvem koraku pojasnjuje ločnico med obdelavo osebnih podatkov za zasebno oz. za komercialno uporabo, ki pomembno vpliva na področje uporabe zakonodaje s področja varstva osebnih podatkov. V skladu s točko (c) drugega odstavka člena 2 Uredbe se ta uredba ne uporablja za obdelavo osebnih podatkov s strani fizične osebe med potekom popolnoma osebne ali domače dejavnosti (izjema zasebne rabe). Uvodna določba 18 Uredbe podrobneje pojasnjuje, da se uredba ne uporablja za obdelavo osebnih podatkov s strani fizične osebe v okviru izključno osebne ali domače dejavnosti ter s tem brez povezave s poklicno ali komercialno dejavnostjo. Osebne ali domače dejavnosti bi lahko vključevale korespondenco in seznam naslovov ali dejavnosti na socialnih omrežjih in na spletu v okviru tovrstnih dejavnosti. Ta uredba pa se uporablja za upravljavce ali obdelovalce, ki zagotavljajo sredstva za obdelavo osebnih podatkov za take osebne ali domače dejavnosti. V primeru, ki ga opisujete, bi IP lahko razumel, da gre za komercialno dejavnost z namenom združevanja potencialnih strank in komunikacije z njimi. V primerih, kjer ni podana izjema zasebne rabe (upoštevati, da gre za zakonsko izjemo, te pa se vedno razlagajo ozko), je potrebno upoštevati splošne obveznosti, kot jih določa Uredba, pri čemer mora biti upravljavec zmožen dokazati, da obdelava osebnih podatkov poteka v skladu z Uredbo. Na tem mestu IP opozarja, da so vsi upravljavci, ki obdelujejo osebne podatke, zavezanci po Uredbi, neodvisno od oblike opravljanja dejavnosti (npr. d.o.o., s.p. ali popoldanski s.p.).

 

V drugem koraku IP pojasnjuje, da ustvarjanje in administriranje Facebook skupine (neodvisno, ali gre za odprto ali zaprto, torej širši javnosti nedostopno Facebook skupino) predstavlja obdelavo osebnih podatkov, kot jo opredeljuje druga točka člena 4 Uredbe, ki določa, da je »obdelava« vsako dejanje ali niz dejanj, ki se izvaja v zvezi z osebnimi podatki ali nizi osebnih podatkov z avtomatiziranimi sredstvi ali brez njih, kot je zbiranje, beleženje, urejanje, strukturiranje, shranjevanje, prilagajanje ali spreminjanje, priklic, vpogled, uporaba, razkritje s posredovanjem, razširjanje ali drugačno omogočanje dostopa, prilagajanje ali kombiniranje, omejevanje, izbris ali uničenje. Družbeno omrežje Facebook je komunikacijska platforma, ki omogoča obdelavo osebnih podatkov in kadar jo kot tako podjetje uporablja za obdelavo osebnih podatkov svojih potencialnih strank (ki so v »obliki« članov Facebook skupine, pri čemer je administrator tudi tisti, ki določi namen Facebook skupine, s tem, ko jo ustvari, izbere ime ter definira osnovni interesni skupni imenovalec za nastanek skupine), potem je zelo verjetno, da je tako podjetje upravljavec teh podatkov, vendar zgolj v tistem delu obdelave, ki je pod njegovim nadzorom. Posledično mora upravljavec spoštovati in izpolniti obveze, ki izhajajo iz Uredbe, vendar v obsegu, ki je še v njegovem nadzoru, glede na skupno upravljavstvo s platformo Facebook. V tem kontekstu bi nekatere izmed obveznosti upravljavca Facebook skupine lahko bile zagotavljanje transparentnosti in ustrezno obveščanje posameznikov (npr. ustrezen opis v profilu, za kakšen namen je skupina ustvarjena, kdo jo upravlja), spoštovanje načela omejitve obdelave osebnih podatkov (upravljavec Facebook skupine zbranih osebnih podatkov ne sme nadalje obdelovati na način, ki ni združljiv s prvotnim namenom ustanovljene skupine; npr. morebitno preimenovanje skupine in posledična sprememba prvotnega namena skupine), zagotavljanje ustrezne ravni varnosti, kjer je to mogoče (npr. upravljavec Facebook skupine skrbi za osnovne varnostne nastavitve uporabniškega računa, s katerim administrira skupino, zagotavlja ustrezno programsko varnost fizičnih naprav, s katerimi dostopa do uporabniškega računa (ustrezna gesla, anitivirusni program in programske posodobitve, morebitna dodatna varnost v obliki dvokoračne avtentikacije itd.). IP ponovno izpostavlja, da gre za splošne napotke, saj  izven inšpekcijskih postopkov podjetjem ne more svetovati glede konkretnih obdelav.

 

IP nadalje pojasnjuje, da bi objave posameznikov znotraj članov Facebook skupine morda (če ne gre za objave komercialne narave) lahko razumeli kot izjemo zasebne rabe, saj v skladu z uvodno določbo 18 Uredbe osebne ali domače dejavnosti lahko vključujejo tudi korespondenco na družbenih omrežjih, pri čemer tovrstne objave lahko tudi  predstavljajo obdelavo osebnih podatkov, npr. objava imena in priimka ali fotografije posameznika. Vendar v tem delu Uredba ne varuje osebnih podatkov, ki izhajajo iz objav posameznikov v Facebook skupini, kar pa še ne pomeni, da je objavljanje osebnih podatkov znotraj zaprte Facebook skupine tudi sicer zakonito. Objava osebnih podatkov lahko tudi v primerih, ki ne sodijo v okvir določb Uredbe, predstavlja poseg v pravico drugih posameznikov do zasebnosti v širšem smislu, katere meje so začrtane v 35. členu Ustave RS (varstvo pravic zasebnosti in osebnostnih pravic). Namreč ravnanje nezakonite objave osebnih podatkov lahko pomeni storitev katerega od kaznivih dejanj zoper čast in dobro ime (za presojo česar pa IP ni pristojen) iz 18. poglavja Kazenskega zakonika (Uradni list RS, št. 50/12-UPB2; v nadaljevanju: KZ-1). Nadalje se je v takšnem primeru mogoče pod odločenimi pogoji poslužiti tudi institutov civilnega prava kot npr. zahteve za prenehanje s kršitvami osebnostnih pravic iz 134. člena Obligacijskega zakonika (Uradni list RS, št. 97/07 – uradno prečiščeno besedilo s spremembami in dopolnitvami; v nadaljevanju: OZ), zahteve za povrnitev premoženjske in nepremoženjske škode ter drugih institutov civilnega prava.

 

Glede vašega vprašanja o sklenitvi pogodbe o obdelavi in varovanju osebnih podatkov z družinskimi člani, katerih podatki so javno vidni, vas IP ponovno usmerja na prvotno razlago, da kadar gre za povsem zasebno rabo družbenega omrežja (pri čemer je ozka razlaga, kdaj velja izjema zasebne rabe in pomeni, da vaši družinski člani komunicirajo znotraj Facebook skupine brez povezav s komercialno dejavnostjo), potem se Uredba ne uporablja, v nasprotnem primeru pa veljajo obveznosti, kot jih upravljavcu predpisuje poglavje 5 Uredbe.

 

 

V upanju, da ste dobili odgovor na svoje vprašanje, vas lepo pozdravljamo.                                              

 

 

                                                                                                   Mojca Prelesnik, univ.dipl.prav.,                                                 

                                                                                                   informacijska pooblaščenka

 

Pripravila:                                                                                                                              

Jasmina Mešić,
svetovalka pooblaščenca za preventivo