Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Iskalnik po mnenjih GDPR

+ -
Datum: 23.06.2020
Naslov: Pridobivanje podatkov članov društva za namene SMS obveščanja
Številka: 07121-1/2020/1122
Vsebina: Društva, Pravica do ugovora, Pravne podlage
Pravni akt: Mnenje

Informacijski pooblaščenec (v nadaljevanju IP) je po elektronski pošti prejel vaš dopis, v katerem pojasnjujete, da je zveza društev, v katero je vključeno tudi vaše društvo, posameznikom (ki v konkretnem primeru sodijo v invalidsko populacijo) poslala obrazec za prijavo na SMS obvestila. Posameznike z obrazcem nagovarjajo k registraciji za prejemanje obvestil o izrednih dogodkih in dogodkih, povezanih z aktivnostmi zveze društev. Takšno zbiranje osebnih podatkov se vam zdi sporno tako z vidika varstva osebnih podatkov kot z vidika poseganja v delovanje posameznih društev. Menite namreč, da lahko osebne podatke posameznikov zlorabijo za ponujanje programov, ki so konkurenčni programom društev, poleg tega pa menite, da obveščanje posameznikov, ki sodijo v invalidsko populacijo, iz preveč virov lahko vodi do zlorabe. Prosite nas za mnenje, ali je takšna obdelava osebnih podatkov zakonita.

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju na podlagi 58. člena Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba), 7. točke prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07, uradno prečiščeno besedilo, v nadaljevanju ZVOP-1) ter 2. člena Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem. Ob tem IP poudarja, da izven postopka inšpekcijskega nadzora, v primeru, ko je podana njegova pristojnost, konkretnih obdelav osebnih podatkov ne more presojati.

 

Neposredno trženje po elektronski pošti oziroma telefonu (klic ali SMS) je urejeno v specialnih predpisih, in sicer v Zakonu o elektronskih komunikacijah (Uradni list RS, št. 109/12, 110/13, 40/14 – ZIN-B, 54/14 – odl. US, 81/15 in 40/17; v nadaljevanju ZEKom-1) in Zakonu o elektronskem poslovanju na trgu (Uradni list RS, št. 96/09 – uradno prečiščeno besedilo in 19/15; v nadaljevanju: ZEPT), nadzor nad izvajanjem njunih določb pa je v pristojnosti Agencije za komunikacijska omrežja in storitve RS (v nadaljevanju: AKOS) oziroma Tržnega inšpektorata RS (v nadaljevanju: TIRS).

 

ZEKom-1 v 158. členu govori o neželeni komunikaciji in v prvem odstavku določa, da je uporaba samodejnih klicnih in komunikacijskih sistemov za opravljanje klicev na naročnikovo telefonsko številko brez človekovega posredovanja (npr. klicni avtomati, SMS, MMS), telefaksov ali elektronske pošte za namene neposrednega trženja dovoljena samo na podlagi naročnikovega ali uporabnikovega predhodnega soglasja. Uporaba drugačnih sredstev za neposredno trženje z uporabo elektronskih komunikacij je dovoljena le s soglasjem naročnika ali uporabnika. Tretji odstavek istega člena določa, da mora biti zavrnitev soglasja za zadevnega naročnika ali uporabnika brezplačna. V kolikor pošiljatelj ne ravna skladno z navedenimi določbami, lahko kdor koli poda prijavo neposredno pri AKOS.

 

Pomembno je omeniti tudi, da člen 21 Splošne uredbe ureja t.i. pravico do ugovora in v drugem odstavku določa, da kadar se osebni podatki obdelujejo za namene neposrednega trženja, ima posameznik, na katerega se nanašajo osebni podatki, pravico, da kadar koli ugovarja obdelavi osebnih podatkov v zvezi z njim za namene takega trženja, vključno z oblikovanjem profilov, kolikor je povezano s takim neposrednim trženjem (IP je v tem primeru pritožbeni organ). IP vas še usmerja na uvodno določbo 70 Splošne uredbe, ki pravi, da kadar se osebni podatki obdelujejo za namene neposrednega trženja, bi moral imeti posameznik, na katerega se nanašajo osebni podatki, pravico, da taki obdelavi, bodisi prvotni ali nadaljnji, vključno z oblikovanjem profila, kolikor je povezano s takšnim neposrednim trženjem, kadar koli in brezplačno ugovarja. Posameznika, na katerega se nanašajo osebni podatki, bi bilo treba na to pravico izrecno opozoriti ter jo predstaviti jasno in ločeno od katerih koli drugih informacij.

 

Člen 13 Splošne uredbe pa določa tudi t.i. pravico do informacij, saj opredeljuje obvezen nabor informacij, ki jih mora upravljavec osebnih podatkov (v vašem primeru zveza društev) zagotoviti posamezniku, kadar se osebni podatki pridobijo od posameznika, na katerega se nanašajo osebni podatki, med drugim identiteto in kontaktne podatke upravljavca; namene in pravno podlago za obdelavo; uporabnike ali kategorije uporabnikov osebnih podatkov ter nadalje tudi obdobje hrambe osebnih podatkov; obstoj pravic posameznika; obstoj pravice do preklica privolitve; pravico do vložitve pritožbe pri nadzornem organu.  Vse informacije iz člena 13 Splošne uredbe mora upravljavec proaktivno sporočiti posamezniku preden se začne obdelava njegovih osebnih podatkov. Za nadzor nad (ne)izvrševanjem tega člena pa je pristojen IP.

 

Kot smo že uvodoma poudarili, konkretnih obdelav (oziroma obrazcev pred začetkom obdelave) IP ne more presojati. V kolikor se vam zdi, da je pri opisani zadevi prišlo do kršitve predpisov, vam svetujemo, da najprej zadevo predočite zvezi društev, lahko pa se s prijavo obrnete tudi na pristojni organ (AKOS ali IP glede na razdelitev pristojnosti, kot je zgoraj opisano).

 

 

V upanju, da ste dobili odgovor na svoje vprašanje, vas lepo pozdravljamo.

 

 

                                                                                               Mojca Prelesnik, univ.dipl.prav.,                                                 

                                                                                               informacijska pooblaščenka

 

 

Pripravila:                                                                                                                              

mag. Polona Merc, univ. dipl. prav.,

svetovalka IP za varstvo osebnih podatkov