Informacijski pooblaščenec Republika Slovenija
    SLO | ENG
dekorativna slika

Iskalnik po mnenjih GDPR

+ -
Datum: 10.02.2021
Naslov: Brisanje osebnih podatkov na zahtevo stranke in dokazovanje soglasja
Številka: 07121-1/2021/244
Vsebina: Neposredno trženje, nagradne igre, Pravica do pozabe, Pravne podlage, Privolitev
Pravni akt: Mnenje

Informacijski pooblaščenec (v nadaljevanju IP) je prejel vaše zaprosilo za mnenje glede brisanja osebnih podatkov na zahtevo stranke in dokazovanje soglasja. Pojasnjujete primer, ko je bilo osebi A poslano SMS sporočilo, pri čemer imate sistemsko onemogočeno pošiljanje SMS sporočil posameznikom, ki niso podali soglasja za takšno komunikacijo. Na željo osebe A so bili osebni podatki izbrisani, skladno in v roku z veljavno zakonodajo. Ker je oseba A podala prijavo glede pošiljanja SMS sporočil brez soglasja, je AKOS od podjetja zahteval dokazilo o pridobljenem soglasju (pravno podlago). Zaradi vmesne zahteve po izbrisu osebnih podatkov s strani osebe A, njenega dokazila o pridobljenem soglasju organu niste mogli dokazati. Posledično je sledilo opozorilo zaradi kršitve 158. člena ZEKom-1. Prosite nas za mnenje, ali bi morali hraniti dokazilo o prejetem soglasju določen čas po zahtevi o izbrisu osebnih podatkov oziroma ali bi morali postopati kako drugače?

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Uredba), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašimi vprašanji.

 

Informacijski pooblaščenec opozarja, da lahko podaja nezavezujoča mnenja in pojasnila, ne more pa izven inšpekcijskih postopkov presojati konkretnih dejanj obdelave osebnih podatkov oz. se v vašem primeru na ravni mnenja opredeliti do konkretnega primera, ki ga navajate. To bi bilo mogoče le v okviru inšpekcijskega postopka. Zato vam v nadaljevanju podajamo splošna pojasnila po Splošni uredbi.

 

Upravljavec osebnih podatkov mora osebne podatke vedno obdelovati na zakoniti pravni podlagi, kot jo opredeljuje prvi odstavek 6. člena Splošne uredbe. Kadar gre za obdelave osebnih podatkov, ki jih specialno ureja Zakon o elektronskih komunikacijah (Uradni list RS, št. 109/12 s spremembami in dopolnitvami; ZEKom -1), je pri presoji pravne podlage treba upoštevati specialne določbe tega zakona – v vašem primeru torej 158. člen ZEKom-1, ki pošiljanje neželenih sporočil (in s tem povezano obdelavo osebnih podatkov) dopušča na podlagi privolitve posameznika.

 

Čeprav ZEKom-1 določa pravno podlago za pošiljanje neželenih sporočil, je glede ostalih vprašanj, povezanih s tovrstno obdelavo osebnih podatkov treba upoštevati tudi Splošno uredbo, glede na temo vašega vprašanja predvsem določbe o:

  • pravicah posameznikov (členi 12 do 22 Splošne uredbe),
  • veljavnosti privolitve v obdelavo osebnih podatkov (člen 7) ter
  • tudi načela, ki jih opredeljuje člen 5, vključno z načelom odgovornosti.

 

Člen 7(1) upravljavcu nalaga, da mora biti, v primeru obdelave osebnih podatkov na temelju privolitve posameznika, zmožen dokazati, da je posameznik, na katerega se nanašajo osebni podatki, privolil v obdelavo svojih osebnih podatkov. To izhaja tudi iz člena 5(2), ki določa, da je upravljavec odgovoren za skladnost z vsemi načeli obdelave osebnih podatkov iz člen 5(1) in je to skladnost tudi zmožen dokazati. Z vidika določb Splošne uredbe mora biti torej upravljavec vedno sposoben dokazati, da obdeluje osebne podatke za določen namen na ustrezni pravni podlagi; v primeru privolitve (tudi po specialnem zakonu za vaše področje) to pomeni, da mora imeti na voljo ustrezno dokazilo o dani privolitvi.

 

Na drugi strani člen 17 Splošne uredbe ureja pravico posameznika do izbrisa osebnih podatkov, skupaj z izjemami in odstopanji, in sicer ima posameznik pravico doseči, da upravljavec brez nepotrebnega odlašanja izbriše osebne podatke v zvezi z njim, upravljavec pa ima obveznost osebne podatke brez nepotrebnega odlašanja izbrisati, kadar velja eden od naslednjih razlogov:

(a)    osebni podatki niso več potrebni v namene, za katere so bili zbrani ali kako drugače obdelani;
(b)    posameznik, na katerega se nanašajo osebni podatki, prekliče privolitev, na podlagi katere poteka obdelava v skladu s točko (a) člena 6(1) ali točko (a) člena 9(2), in kadar za obdelavo ne obstaja nobena druga pravna podlaga;
(c)    posameznik, na katerega se nanašajo osebni podatki, obdelavi ugovarja v skladu s členom 21(1), za njihovo obdelavo pa ne obstajajo nobeni prevladujoči zakoniti razlogi, ali pa posameznik, na katerega se nanašajo osebni podatki, obdelavi ugovarja v skladu s členom 21(2);
(d)    osebni podatki so bili obdelani nezakonito;
(e)    osebne podatke je treba izbrisati za izpolnitev pravne obveznosti v skladu s pravom Unije ali pravom države članice, ki velja za upravljavca;
(f)    osebni podatki so bili zbrani v zvezi s ponudbo storitev informacijske družbe iz člena 8(1).

  

Zgoraj določeno pa se ne uporablja, če je obdelava potrebna:

(a)    za uresničevanje pravice do svobode izražanja in obveščanja;
(b)    za izpolnjevanje pravne obveznosti obdelave na podlagi prava Unije ali prava države članice, ki velja za upravljavca, ali za izvajanje naloge v javnem interesu ali pri izvajanju javne oblasti, ki je bila dodeljena upravljavcu;
(c)    iz razlogov javnega interesa na področju javnega zdravja v skladu s točkama (h) in (i) člena 9(2) ter členom 9(3);
(d)    za namene arhiviranja v javnem interesu, za znanstveno- ali zgodovinskoraziskovalne namene ali statistične namene v skladu s členom 89(1), kolikor bi pravica iz odstavka 1 lahko onemogočila ali resno ovirala uresničevanje namenov te obdelave, ali
(e)    za uveljavljanje, izvajanje ali obrambo pravnih zahtevkov.

 

Že člen 17 Splošne uredbe tako ne omogoča posamezniku izbrisa podatkov, kadar za njihovo obdelavo obstaja druga podlaga oziroma ena od situacij iz člena 17(3), torej kadar je obdelava potrebna za izpolnjevanje pravne obveznosti obdelave na podlagi prava Unije ali prava države članice ter tudi za uveljavljanje, izvajanje ali obrambo pravnih zahtevkov.

 

Ker Splošna uredba upravljavcem zelo jasno, že v načelih iz člena 5, nalaga dolžnost, da morajo biti vedno sposobni izkazati (tudi pred nadzornim organom), da obdelujejo osebne podatke skladno z zakonodajo, je to treba upoštevati tudi z vidika izvrševanja pravic po členu 17. Upravljavec mora torej po mnenju IP pretehtati, ali in kateri so tisti osebni podatki, ki jih kljub zahtevi posameznika morda ne more izbrisati, ker za njihovo obdelavo druga pravna podlaga  oziroma so potrebni za uveljavljanje, izvajanje ali obrambo pravnih zahtevkov. Seveda to ne pomeni, da je mogoče vsakršno zahtevo posameznika za izbris podatkov enostavno v celoti zavrniti na temelju, da so podatki morda potrebni zaradi izvajanja načela odgovornosti, pač pa mora upravljavec v konkretni situaciji pozorno pretehtati, kateri je tisti najmanjši nabor podatkov, s katerimi bo še zmožen zadostiti zahtevi po dokazilu, da je ustrezna pravna podlaga obstajala. V ostalem obsegu pa mora izvršiti zahtevo posameznika po izbrisu podatkov. Upravljavec mora torej pri zahtevi za izbris osebnih podatkov vedno pretehtati pogoje iz člena 17(1) ter morebiten obstoj situacij iz člena 17(3).

 

Prijazen pozdrav.

 

 

Mojca Prelesnik, univ.dipl.prav.,

informacijska pooblaščenka

 

 

Pripravila:

dr. Jelena Burnik,

vodja mednarodnega sodelovanja in nadzora