Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Iskalnik po mnenjih GDPR

+ -
Datum: 07.03.2019
Naslov: Arhivski OP
Številka: 0712-1/2019/519
Vsebina: Razno
Pravni akt: Mnenje

Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaše zaprosilo za mnenje glede obdelave osebnih podatkov iz vaših arhivov.

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba o varstvu podatkov), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju: ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju: ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.

 

IP poudarja, da v okviru mnenja ne more presojati ustreznosti določene rešitve z vidika skladnosti z obstoječimi predpisi. Presojo o ustreznosti lahko izvede le v okviru konkretnega inšpekcijskega postopka.

 

Splošna uredba o varstvu podatkov v drugi točki člena 4 določa, da obdelava osebnih podatkov pomeni vsako dejanje ali niz dejanj, ki se izvaja v zvezi z osebnimi podatki ali nizi osebnih podatkov z avtomatiziranimi sredstvi ali brez njih, kot je zbiranje, beleženje, urejanje, strukturiranje, shranjevanje, prilagajanje ali spreminjanje, priklic, vpogled, uporaba, razkritje s posredovanjem, razširjanje ali drugačno omogočanje dostopa, prilagajanje ali kombiniranje, omejevanje, izbris ali uničenje.

 

IP uvodoma pojasnjuje, da je za zakonito obdelavo osebnih podatkov treba zagotoviti ustrezno pravno podlago. Splošna uredba o varstvu podatkov v 6. členu določa različne pravne podlage za zakonito obdelavo osebnih podatkov. Obdelava je tako zakonita le in kolikor je za konkretni namen obdelave in konkretne osebne podatke izpolnjen eden od naslednjih pogojev:

  1. posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov;
  2. obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe;
  3. obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca;
  4. obdelava je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe;
  5. obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu;
  6. obdelava je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok.

Ob tem je treba upoštevati, da se zadnja alinea ne more uporabljati za obdelavo s strani javnih organov pri opravljanju njihovih nalog.

V kolikor torej obstaja ena izmed zgoraj naštetih podlag za obdelavo osebnih podatkov, je takšna obdelava skladna z zakonodajo. IP vam svetuje, da najprej presodite, na kakšni pravni podlagi ste obdelovali osebne podatke posameznikov na prijavnicah pred začetkom veljavnosti Splošne uredbe o varstvu podatkov in ali ta podlaga še vedno obstaja.

 

Če ocenite, da je v vašem primeru pravna podlaga privolitev, boste morali preveriti, ali so (prej pridobljene) privolitve skladne z novo zakonodajo. V kolikor so, vam novih privolitev ni treba pridobivati in dosedanje uporabnike lahko še naprej obveščate o novostih. Recital 171 Splošne uredbe o varstvu podatkov namreč določa, da posamezniku, na katerega se nanašajo osebni podatki, ni treba ponovno dati privolitve, če je bila privolitev dana na način, ki je v skladu s pogoji iz te uredbe, s čimer se upravljavcu dovoli, da takšno obdelavo še naprej izvaja po datumu začetka uporabe te uredbe. To pomeni, da privolitve, ki zadovoljujejo standarde, postavljene z uredbo, ostanejo veljavne tudi naprej. Splošna uredba o varstvu podatkov se je pričela uporabljati 25. 5. 2018 in od tega dne dalje mora biti vsaka obdelava osebnih podatkov skladna z njenimi določbami.

 

V kolikor so vaše privolitve skladne z navedenimi določbami (ali če imate ustrezno drugo pravno podlago za obdelavo osebnih podatkov), potem vam novih privolitev ni potrebno pridobivati. V kolikor pa obstoječe privolitve ne ustrezajo standardom iz Splošne uredbe o varstvu podatkov, pa je za nadaljnjo obdelavo podatkov treba pridobiti nove privolitve. V nasprotnem primeru pravna podlaga za obdelavo osebnih podatkov (več) ne obstaja, zato osebnih podatkov ni (več) dopustno obdelovati.

 

Ob tem je treba upoštevati, da Splošna uredba o varstvu podatkov določa strožje pogoje glede veljavne privolitve v primerjavi s prej veljavno ureditvijo. Podrobnejša določila glede pogojev, po katerih se šteje, da je privolitev veljavna, so določeni v 7. členu Splošne uredbe o varstvu podatkov. Privolitev posameznika mora biti tako konkretna, razumljiva izjava ali drugo nedvoumno pritrdilno dejanje in dokazljiva. Molk, vnaprej označena okenca ali kakršnakoli nedejavnost tako ne pomenijo privolitve. Posameznik mora torej jasno podati privolitev za zbiranje in obdelavo svojih osebnih podatkov za konkreten namen. Če vključuje storitev več obdelav osebnih podatkov za več namenov, morajo biti nameni granulirani, privolitev pa dana za vsak namen posebej. Upravljavec mora biti zmožen dokazati, da je posameznik privolil v obdelavo svojih osebnih podatkov. Posameznik ima tudi pravico, da svojo privolitev kadarkoli prekliče.

 

Več informacij o privolitvi lahko najdete v Smernicah o privolitvi (dostopne so v angleškem jeziku), ki so jih pripravili evropski nadzorni organi za varstvo osebnih podatkov in vam bodo v pomoč pri sprejemanju odločitev v zvezi s privolitvijo v obdelavo osebnih podatkov po Splošni uredbi o varstvu podatkov: https://www.ip-rs.si/fileadmin/user_upload/Pdf/mnenja/Mednarodna_mnenja/mnenja_na_eu_ravni/20180416_WP259rev01_Article29WPGuidelinesonConsent.pdf.

Kratek povzetek ključnih informacij pa je na voljo tudi na spletni strani IP:

https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/kljucna-podrocja-uredbe/privolitev/

 

 

S spoštovanjem.

 

 

Pripravil:

Matej Sironič,                                                  

Svetovalec pooblaščenca

za varstvo osebnih podatkov

 

 

Informacijski pooblaščenec:

Mojca Prelesnik, univ. dipl. prav.,

pooblaščenka