Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Iskalnik po mnenjih GDPR

+ -
Datum: 25.08.2020
Naslov: Uporaba aplikacije ob registraciji uporabnika
Številka: 07121-1/2020/1461
Vsebina: Informiranje posameznika, Moderne tehnologije, Pravne podlage
Pravni akt: Mnenje

Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaše zaprosilo za mnenje glede ustreznosti rešitve, ki jo nameravate vzpostaviti ob registraciji posameznika na vaši spletni strani, s predpisi s področja varstva osebnih podatkov.

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba o varstvu podatkov), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju: ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju: ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.

 

IP uvodoma poudarja, da v okviru mnenja ne more presojati ustreznosti določene programske rešitve, niti ne more vnaprej potrjevati posameznih rešitev z vidika skladnosti z obstoječimi predpisi s področja varstva osebnih podatkov. Presojo o ustreznosti lahko izvede le v okviru konkretnega inšpekcijskega postopka. Zakonitost obdelav osebnih podatkov pri delovanju konkretne rešitve se torej lahko ugotovi le v okviru konkretnega inšpekcijskega postopka.

IP tako ne nudi storitve pregleda ali vnaprejšnje odobritve različnih storitev, aplikacij ali drugih sistemov, ki jih uvajajo posamezni upravljavci, z vidika njihove skladnosti z veljavnimi predpisi. IP namreč za to ni pristojen. IP tako v okviru mnenja ne more presojati ustreznosti rešitve, ki jo nameravate vzpostaviti, ter načina obveščanja posameznikov o sami rešitvi,  s predpisi s področja varstva osebnih podatkov.

IP nadalje pojasnjuje, da mora upravljavec pred uvedbo rešitve presoditi dopustnost in sorazmernost obdelav osebnih podatkov, če bodo v njenem okviru obdelovani osebni podatki. Vsaka obdelava osebnih podatkov mora potekati transparentno in skladno z določbami Splošne uredbe o varstvu podatkov. Upravljavec je dolžan uporabnika seznaniti z rešitvijo, načinom njenega delovanja, namenom njene namestitve, nameni, za katere bodo pridobljeni podatki uporabljeni, ter o ostalih pomembnih  vidikih obdelave osebnih podatkov, ki so določeni v 13. členu Splošne uredbe o varstvu podatkov. Navedene informacije morajo biti čim bolj jasne, pregledne in uporabnikom razumljive ter lahko dostopne.

Sama obdelava osebnih podatkov v okviru rešitve pa mora potekati na eni od pravnih podlag, kot jih določa 6. člen Splošne uredbe o varstvu podatkov. Ob tem mora upravljavec poskrbeti tudi za zavarovanje zbirke osebnih podatkov, ki nastane na podlagi uporabe rešitve. Gre za organizacijske in tehnične ukrepe, ki jih določata Splošna uredba o varstvu podatkov (32. člen) in ZVOP-1 (24. in 25. člen). Dodatne informacije v zvezi z zavarovanjem osebnih podatkov so na voljo v smernicah IP, ki so dostopne na spletni strani IP:

https://www.ip-rs.si/fileadmin/user_upload/Pdf/smernice/Smernice_o_zavarovanju_OP.pdf

Usmeritve in napotila omenjenih smernic so zelo koristne tako pri razvoju in nastavitvah kot tudi pri uporabi posameznih rešitev, ki so povezane z obdelavo osebnih podatkov.

Ob tem IP posebej opozarja na načelo najmanjšega obsega podatkov, ki določa, da morajo biti pod pogojem, da obstaja pravna podlaga, osebni podatki, ki se obdelujejo, ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo. Navedeno načelo pomeni, da je potrebno obdelovati samo toliko osebnih podatkov uporabnikov, kolikor je nujno potrebno za izpolnitev namena v konkretnem primeru (torej registracijo uporabnika).

IP na podlagi navedenega pojasnjuje, da je upravljavec odgovoren za izbiro rešitve in zakonitost ter sorazmernost obdelav osebnih podatkov, ki se izvajajo v njenem okviru njenega delovanja. Upravljavec v okviru opisanih pogojev torej sam odloča o ukrepih, ki so potrebni za nemoteno in učinkovito delovanje rešitve, kot tudi o načinu dostopa do podatkov v njenem okviru. V skladu s tem morate torej presoditi, ali je uporaba konkretne aplikacije, opisane v vašem zaprosilu za mnenje, nujno potrebna za registracijo uporabnika ali pa predstavlja zgolj možnost za olajšanje oziroma pospešitev procesa registracije. V kolikor ocenite, da je njena uporaba za registracijo uporabnika nujno potrebna, ima seveda vsak posameznik še vedno možnost, da se ne registrira oziroma ne začne uporabljati aplikacije. V kolikor pa ocenite nasprotno, pa mora imeti posameznik še vedno možnost registracije brez uporabe konkretne aplikacije. Ob tem IP ponovno poudarja, da mora biti posameznik na primeren način obveščen o vseh vidikih obdelave osebnih podatkov, ki so določeni v 13. členu Splošne uredbe o varstvu podatkov.

IP sklepno ponavlja, da v okviru mnenja ne more presojati ustreznosti določene rešitve z vidika skladnosti z obstoječimi predpisi. Presojo o ustreznosti lahko izvede le v okviru konkretnega inšpekcijskega ali upravnega postopka. Presoja glede zakonitosti obdelave oziroma obstoja pravne podlage za posamezno obdelavo in odgovornost zanjo je vedno na upravljavcu osebnih podatkov.

 

 

S spoštovanjem.

 

 

Pripravil:

Matej Sironič,                                                  

Svetovalec pooblaščenca

za varstvo osebnih podatkov

 

 

Mojca Prelesnik, univ. dipl. prav.,

Informacijska pooblaščenka