Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Iskalnik po mnenjih GDPR

+ -
Datum: 14.03.2019
Naslov: Privolitev za merjenje obiskanosti
Številka: 0712-1/2019/606
Vsebina: Moderne tehnologije, Telekomunikacije in pošta
Pravni akt: Mnenje

Informacijski pooblaščenec (v nadaljevanju IP) je prejel vaše zaprosilo za mnenje glede informiranja uporabnikov in pridobivanja privolitev za merjenje dosega spletnih strani znotraj raziskave o obiskanosti spletnih strani. Pojasnjujete, da ko uporabnik naloži aplikacijo, sledi vprašanje. »Ali želite nadaljevati z vašim uporabniškim profilom merjenja obiskanosti?« V primeru, da obiskovalec odgovori DA, povežete njegov piškotek/informacije z ID v aplikaciji. Če je odgovor NE, potem tega ne storite. Ob tem ponudite tudi povezavo za več informacij. Prosite za potrditev smeri izvedbe oz. v nasprotnem primeru za komentar IP.

 

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Uredba), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašimi vprašanji.

IP uvodoma pojasnjuje, da lahko podaja nezavezujoča mnenja in pojasnila, ne more pa v tem okviru presojati ustreznosti določene rešitve z vidika skladnosti z obstoječimi predpisi. Morebitno kršitev določb predpisov s področja varstva osebnih podatkov v posameznem primeru IP lahko ugotavlja šele v okviru konkretnega inšpekcijskega postopka, izven tega pa ne more preverjati primernosti izbrane pravne podlage ali namenov oziroma obsega obdelave osebnih podatkov v konkretnem primeru. Prav tako IP ne more potrjevati konkretnih dikcij, politik zasebnosti, načinov uporabe določenih aplikacij itd.

IP zato podaja splošna pojasnila, da mora za zakonito obdelavo osebnih podatkov obstajati pravna podlaga. V 6. členu Uredbe je določeno, da je obdelava zakonita le in kolikor je izpolnjen vsaj eden od naslednjih pogojev:

  1. posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov;
  2. obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe;
  3. obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca;
  4. obdelava je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe;
  5. obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu;
  6. obdelava je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok.

Ob tem je treba upoštevati, da se zadnja točka (f) ne more uporabljati za obdelavo s strani javnih organov pri opravljanju njihovih nalog.

 

V primeru aktivnosti, ki zajemajo shranjevanje podatkov ali pridobivanje dostopa do podatkov, shranjenih v terminalski opremi naročnika ali uporabnika, je treba upoštevati določbe Zakona o elektronskih komunikacijah (Uradni list RS št. 109/12 s spremembami in dopolnitvami), ki določa, da je to dovoljeno samo pod pogojem, da je naročnik ali uporabnik v to privolil potem, ko je bil predhodno jasno in izčrpno obveščen o upravljavcu in namenih obdelave teh podatkov v skladu z zakonom, ki ureja varstvo osebnih podatkov. Dovoljeno pa je tehnično shranjevanje podatkov ali dostop do njih izključno zaradi prenosa sporočila po elektronskem komunikacijskem omrežju, ali če je to nujno potrebno za zagotovitev storitve informacijske družbe, ki jo naročnik ali uporabnik izrecno zahtevata. ZEKom-1 določa, da privolitev uporabnika ali naročnika pomeni osebno privolitev v skladu z zakonom, ki ureja varstvo osebnih podatkov.

 

Glede na določila 7. člena Uredbe mora biti privolitev posameznika konkretna, razumljiva izjava ali drugo nedvoumno pritrdilno dejanje in dokazljiva. Privolitev mora biti dana z jasnim pritrdilnim dejanjem, kar pomeni, da posameznik prostovoljno, specifično, ozaveščeno in nedvoumno izrazi privolitev v obdelavo osebnih podatkov v zvezi z njim.  Molk, vnaprej označena okenca ali kakršnakoli nedejavnost tako ne pomenijo privolitve. Posameznik mora torej jasno podati privolitev za zbiranje in obdelavo svojih osebnih podatkov za konkreten namen. Upravljavec mora biti zmožen dokazati, da je posameznik privolil v obdelavo svojih osebnih podatkov. Posameznik ima tudi pravico, da svojo privolitev kadarkoli prekliče.

IP poudarja, da mora biti privolitev v primerih, ko obdelava podatkov vključuje več različnih namenov, podana za vsak namen. Upravljavec mora pridobiti več ločenih privolitev za vsako obdelavo posebej (granularnost oz. razčlenjenost privolitev). Posameznik mora imeti možnost privoliti v obdelavo svojih osebnih podatkov za vsak namen obdelave posebej. Namen mora biti jasno in nedvoumno opredeljen, saj je konkreten, ekspliciten in legitimen namen obdelave predpogoj za pridobitev veljavne privolitve.

 

Preden posameznik torej poda veljavno soglasje, da se njegova naprava s pomočjo izbrane tehnike sledenja (piškotek, digitalni prstni odtis t.i. fingerprint itd.) vključi v raziskavo o obiskanosti spletnih strani, mora biti obveščen glede obdelave njegovih osebnih podatkov, saj je njegova privolitev veljavna le, če je podana na podlagi predhodnega ustreznega informiranja. Posameznik torej mora vedeti, kaj pomeni, če bo izbral opcijo, da nadaljujejo, informacije o tem pa mu morajo biti enostavno dostopne, preden izbere to opcijo (povezava ne te informacije na drugem mestu je lahko primerna).  Uredba še nadgrajuje obveznosti upravljavca glede informiranja posameznikov, in sicer vas IP na tem mestu usmerja na 12., 13. in 14. člen Uredbe, ki urejajo pravice posameznika, na katerega se nanašajo osebni podatki.

 

V pomoč pri obveščanju posameznikov sta vam lahko neobvezna obrazca, ki ju najdete na spletni strani IP:

 

V upanju, da ste dobili odgovor na svoje vprašanje, vas lepo pozdravljamo.                                              

 

 

                                                                                                   Mojca Prelesnik, univ.dipl.prav.,                                                 

                                                                                                   informacijska pooblaščenka

 

Pripravila:                                                                                                                              

Jasmina Mešić,
svetovalka pooblaščenca za preventivo