Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Iskalnik po mnenjih GDPR

+ -
Datum: 21.03.2019
Naslov: Poslovna komunikacija B2B
Številka: 0712-1/2019/657
Vsebina: Neposredno trženje, nagradne igre, Delovna razmerja, Elektronska pošta
Pravni akt: Mnenje

Obrnili ste se na Informacijskega pooblaščenca RS (v nadaljevanju IP) s svojim zaprosilom za mnenje. Zanima vas, kako je z uporabo kontaktnih podatkov (telefon, e-mail naslov) za kontaktiranje podjetja. V zvezi s tem opisujete različne hipotetične situacije, glede katerih želite naše pojasnilo:

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba o varstvu podatkov), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašimi vprašanji.

 

1. Oseba A se na vas obrne glede sklenitve pravnega posla, da dorečete bistvene sestavine. Ker je oseba A direktor, vam posreduje kontakt osebe B, ki je informatik, da dorečete ostale sestavine pogodbe. Slednji vam posreduje kontaktne podatke osebe C, ki je v podjetju tajnica direktorja, da ji posredujete pogodbo ter jo predloži v podpis osebi A. Oseba C vam nato posreduje podpisano pogodbo.

 

IP pojasnjuje, da se za namen poslovne komunikacije med podjetji v zvezi s sklepanjem ali izvajanjem pogodbe med poslovnima subjektoma za obdelavo osebnih podatkov zaposlenih (in drugih predstavnikov podjetja) praviloma uporablja podlaga iz člena 6(1f) Splošne uredbe, ki določa, da je obdelava dopustna, ko je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok.

 

Ko na drugi strani obdeluje podatke svojih zaposlenih delodajalec (ko npr. direktor posreduje kontakte svojih zaposlenih v zvezi z izvajanjem pogodbe poslovnemu partnerju) obdelava poteka na podlagi 48. člena Zakona o delovnih razmerjih (ZDR-1), ki določa, da lahko delodajalec podatke svojih zaposlenih posreduje tretjim osebam tudi, če je to potrebno zaradi uresničevanja pravic in obveznosti iz delovnega razmerja ali v zvezi z delovnim razmerjem.

 

V nobenem od navedenih primerov torej ni treba zbirati predhodne privolitve in lahko pridobljene podatke od tajnice, informatika ali direktorja obdelujete skladno z namenom za katerega ste podatke prejeli, zaradi svojih zakonitih interesov ob upoštevanju upravičenega pričakovanja glede posega v zasebnost posameznika (člen 6 (1) (f) Splošne uredbe).

 

Več o tem si lahko preberete v članku objavljenem na spletni strani upravljavec.si, ki jo je IP pripravil za pomoč podjetjem: https://upravljavec.si/pogosta-vprasanja/komunikacija-b2c-in-b2b/.

 

Ob navedenem pa je treba upoštevati vse zahteve za transparentno obdelavo osebnih podatkov in posameznikom, od katerih obdelujete osebne podatke posredovati informacije o obdelavi, ki izhajajo iz 13 oziroma 14. člena Splošne uredbe. IP je pripravil tudi vzorca obvestil posameznikom, ki sta dostopna na spletni strani IP:

 

2. Zanima vas, ali lahko osebe A, B in C vodite v internem imeniku za namen kontaktiranja podjetja.

 

IP meni, da se lahko šteje za zakoniti interes upravljavca, če osebne podatke zaposlenih ali predstavnikov drugega podjetja, ki jih pridobi v okviru izvajanja svoje poslovne dejavnosti pri neposrednem poslovnem stiku, hrani v svojem internem imeniku. Podatke zaposlenih in predstavnikov poslovnega partnerja je tako načeloma dopustno hraniti v poslovnem imeniku, brez privolitve teh posameznikov, na podlagi člena 6(1) (f) Splošne uredbe. Ob tem pa je treba upoštevati vsa načela varstva osebnih podatkov vključno z načelom minimizacije podatkov (le tiste podatke, ki jih potrebujete) in načelo omejitve shranjevanja (le toliko časa kot je potrebno za dosego zakonitega namena za katerega se podatke hrani).

 

V zvezi s tem ponovno opozarjamo na zahtevo po obveščanju posameznikov v zvezi z obdelavo njihovih osebnih podatkov, vključno s pravico do ugovora po členu 21. Splošne uredbe. Ta namreč določa, da kadar je podlaga za obdelavo člen 6 (1) (f) ali (e-za javni sektor), potem ima posameznik pravico ugovarjati obdelavi. V primeru ugovora mora upravljavec prenehati z obdelavo (v primeru hrambe v internem imeniku, npr. umakniti podatek iz imenika), razen če dokaže nujne legitimne razloge za obdelavo. Več o pravici do ugovora si lahko preberete na spletni strani tiodlocas.si, ki jo je IP pripravil za pomoč posameznikom za uveljavljanje njihovih pravic po Splošni uredbi: https://tiodlocas.si/zelim-ugovarjati-obdelavi-mojih-podatkov/.

 

Podatkov zbranih v internem poslovnem imeniku, pa se ne sme uporabljati za namen, ki ni združljiv s prvotnim namenom zbiranja (npr. ne bi se štelo za združljivo z namenom zbiranja, če bi te kontakte posredovali tretjemu podjetju, da bi nanje tržil svoje izdelke ali storitve – za takšen namen bi potrebovali privolitev).

 

Če bi podatke želeli uporabiti za namen neposrednega trženja (npr. periodično obveščanje o svoji ponudbi) obstajajo na tem področju posebna pravila. Za neposredno trženje po poteh elektronske komunikacije (SMS, e-mail, telefon, itd.) se uporabljajo pravila ZEKom-1, zlasti 158. člen, in ZEPT za nadzor nad njihovim izvajanjem pa sta pristojna AKOS in Tržni inšpektorat RS. Za trženje po navadni pošti se uporabljajo pravila ZVOP-1 iz 72 in 73. člena, za nadzor pa je pristojen IP. V vsakem primeru, je treba upoštevati upravičeno pričakovanje posameznikov za kakšen namen in v katerih primerih se bo uporabilo njihov kontakt (tudi če gre za službeni kontakt zaposlenega).

 

IP še dodaja, da se bodo pravila neposrednega trženja po elektorskih komunikacijah spremenila z uveljavitvijo nove evropske uredbe o e-zasebnosti (ang. E-privacy regulation), ki pa še ni bila sprejeta.

 

Za boljši pregled nad (še) aktualnimi pravili neposrednega trženja je IP izdelal tudi infografiko, ki je dostopna na naslednji povezavi: https://www.ip-rs.si/fileadmin/user_upload/Pdf/infografike/Neposredno_trzenje_infografika.pdf

 

Upamo, da smo vam s svojimi pojasnili uspeli pomagati.

 

Lep pozdrav