Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Iskalnik po mnenjih GDPR

+ -
Datum: 08.05.2020
Naslov: Osebni podatki na spletni strani
Številka: 07120-1/2020/343
Vsebina: Definicija OP, Elektronska pošta, Pravne podlage, Svetovni splet
Pravni akt: Mnenje

Informacijski pooblaščenec RS (v nadaljevanju IP) je prejel vaše zaprosilo za mnenje. Navajate, da vzpostavljate spletno stran. Zanima vas ali prejeta vprašanja obiskovalcev spletne strani in njihovih e-naslovov predstavlja zbirko osebnih podatkov? Namen zbiranja je, da se uporabniku odgovori na vprašanje in evidentira delo vašega uslužbenca (npr. da je odgovoril na prejeto vprašanje). Prejeta vprašanja skupaj z e-naslovi nameravati evidentirali v svoj dokumentarni sistem. E-naslovov ne bi obdelovali za druge namene. Zanima vas tudi ali zavedba vprašanj in e-naslovov v dokumentarni sistem vpliva na obstoj zbirke osebnih podatkov?

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba o varstvu podatkov), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašimi vprašanji.

 

 

Za vse obdelave osebnih podatkov, ki se izvajajo z avtomatiziranimi sredstvi – ne glede na to ali obstaja zbirka ali ne – je treba spoštovati pravila varstva osebnih podatkov (torej tudi začasna hramba e-naslovov, ki predstavljajo osebne podatke ali pripis vprašanja e-naslovu z elektronskimi sredstvi, ipd.).

 

Če lahko dostopate do kakorkoli strukturirane baze podatkov, ki vsebuje osebne podatke na primer: e-naslove,  podatke v dopisih (ime, priimek prosilca, morebiten naslov prosilca, itd.), datum, uro prejema vprašanja, ipd.; gre v tem primeru za zbirko osebnih podatkov ne glede na to, ali so podatki zavedeni v dokumentarni sistem pri organu.

 

Obrazložitev

 

IP uvodoma navaja osnovne definicije, ki izhajajo iz Splošne uredbe:

 »Osebni podatki« so katerakoli informacija v zvezi z določenim ali določljivim posameznikom (v nadaljnjem besedilu: posameznik, na katerega se nanašajo osebni podatki); določljiv posameznik je tisti, ki ga je mogoče neposredno ali posredno določiti, zlasti z navedbo identifikatorja, kot je ime, identifikacijska številka, podatki o lokaciji, spletni identifikator, ali z navedbo enega ali več dejavnikov, ki so značilni za fizično, fiziološko, genetsko, duševno, gospodarsko, kulturno ali družbeno identiteto tega posameznika.

»Obdelava« pomeni vsako dejanje ali niz dejanj, ki se izvaja v zvezi z osebnimi podatki ali nizi osebnih podatkov z avtomatiziranimi sredstvi ali brez njih, kot je zbiranje, beleženje, urejanje, strukturiranje, shranjevanje, prilagajanje ali spreminjanje, priklic, vpogled, uporaba, razkritje s posredovanjem, razširjanje ali drugačno omogočanje dostopa, prilagajanje ali kombiniranje, omejevanje, izbris ali uničenje.

»Zbirka« pomeni vsak strukturiran niz osebnih podatkov, ki so dostopni v skladu s posebnimi merili, niz pa je lahko centraliziran, decentraliziran ali razpršen na funkcionalni ali geografski podlagi.

 

Glede na navedene definicije e-naslov predstavlja osebni podatek, če je prek tega e-naslova posameznik določen ali določljiv. V večini primerov so e-naslovi povezani z določeno osebo, ki ta e-naslov uporablja. E-naslovi torej bolj izjemoma ne štejejo za osebne podatke, ko gre na primer za naslov poslovnega subjekta (npr. infoping@podjetjepong.si). Ali določen podatek šteje za osebni podatek se torej preverja v konkretnem primeru za vsak podatek posebej. Kadar vodite podatke, med katerimi so zagotovo tudi osebni podatki in nimate možnosti zanesljivo ločiti med osebnimi in drugimi podatki, potem velja upoštevati pravila varstva osebnih podatkov za celotno zbirko podatkov.

 

Skladno z določbo 2(1) Splošne uredbe se ta uredba uporablja za obdelavo osebnih podatkov v celoti ali delno z avtomatiziranimi sredstvi in za drugačno obdelavo kakor z avtomatiziranimi sredstvi za osebne podatke, ki so del zbirke ali so namenjeni oblikovanju dela zbirke. Iz te določbe torej izhaja, da je za vse obdelave osebnih podatkov, ki se izvajajo z avtomatiziranimi sredstvi – ne glede na to ali obstaja zbirka ali ne – treba spoštovati pravila varstva osebnih podatkov (torej tudi začasna hramba e-naslovov ali pripis vprašanja e-naslovu z elektronskimi sredstvi, ipd.). Za vsa navedena dejanja torej mora obstajati ustrezna pravna podlaga skladno s Splošno uredbo, hkrati pa je treba zagotoviti tudi druge obveznosti iz Splošne uredbe (informiranje posameznikov, ustrezni varnostni ukrepi, izvajanje pravic posmeznikov, evidentiranje dejavnosti obdelav, itd.).

 

Glede vašega vprašanja ali e-naslovi in vprašanja prosilcev predstavlja zbirko osebnih podatkov, pa je odgovor glede na široko definicijo zbirke najverjetneje pritrdilen. Če lahko dostopate do kakorkoli strukturirane baze podatkov, ki vsebuje osebne podatke na primer: e-naslove,  podatke v dopisih (ime, priimek prosilca, morebiten naslov prosilca, itd.), datum, uro prejema vprašanja, ipd.; gre v tem primeru za zbirko osebnih podatkov ne glede na to, ali so podatki zavedeni v dokumentarni sistem pri organu. IP ob tem opozarja, da v primeru zavedbe v dokumentarni sistem so podatki vodeni v zbirki, ki pa je najverjetneje tudi urejena in popisana skladno s pravili vodenja dokumentarnega gradiva in je predviden tudi rok hrambe. V primeru, da dopisov ne zavedete v dokumentarni sistem, obstaja že po Splošni uredbi obveznost, da podatke evidentirate skladno s členom 30 Splošne uredbe (evidenca dejavnosti obdelav), interno predvidite varnostne ukrepe za obdelavo (člen 32 Splošne uredbe, Smernice IP o zavarovanju osebnih podatkov), določite rok hrambe in poskrbite za druge ukrepe za zagotavljanje skladnosti s pravili varstva osebnih podatkov. Ob tem postavlja se sicer postavlja tudi vprašanje skladnosti s predpisi glede ravnanja z dokumentarnim gradivom, kar pa ne sodi v pristojnost IP.

 

 

 

Lep pozdrav,

 

 

Pripravil:

Anže Novak, univ. dipl. prav.

Svetovalec Pooblaščenca za preventivo

 

 

Informacijski pooblaščenec

Mojca Prelesnik, univ. dipl. prav.

informacijska pooblaščenka