Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Iskalnik po mnenjih GDPR

+ -
Datum: 11.02.2019
Naslov: Izbris javnih sporočil na forumu
Številka: 0712-1/2019/252
Vsebina: Svetovni splet
Pravni akt: Mnenje

Informacijski pooblaščenec (v nadaljevanju IP) je po elektronski pošti prejel vašo prošnjo za mnenje, kaj mora lastnik spletnega foruma storiti v primeru, da od uporabnika prejme zahtevo za izbris vseh sporočil. Navajate primer, ko je uporabnik foruma skozi leta objavljal sporočila v javnih debatah. Nekega dne se odloči, da zahteva izbris vseh svojih sporočil in osebnih podatkov. Menite, da so javna sporočila del daljših debat in tako neločljiv del posamezne debate oz. teme na forumu. Posledično bi, v primeru izbrisa, teme in debate, v katerih je uporabnik sodeloval, postale popolnoma nesmiselne. Zato vas zanima, ali mora lastnik foruma, v primeru prejema takega zahtevka, izbrisati vse javne objave oz. sporočila uporabnika ali samo osebne podatke (e-mail naslov, ime in priimek ipd, če so podani). Prav tako sprašujete, ali je e-poštni naslov, ki ne razkriva identitete uporabnika (npr. tralalaping@mojapostapong.si) osebni podatek ali ne.

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Uredba), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašimi vprašanji.

 

Uredba prinaša posameznikom pravico do izbrisa osebnih podatkov oziroma “pravico do pozabe”, vendar ta pravica ni avtonomna, temveč je potrebno vedno presojati, če je izpolnjen kateri od pogojev, ki so opredeljeni v členu 17 Uredbe, ki določa, da ima posameznik, na katerega se nanašajo osebni podatki, pravico doseči, da upravljavec brez nepotrebnega odlašanja izbriše osebne podatke v zvezi z njim, upravljavec pa ima obveznost osebne podatke brez nepotrebnega odlašanja izbrisati, kadar velja eden od naslednjih razlogov:

  1. osebni podatki niso več potrebni v namene, za katere si bili zbrani ali kako drugače obdelani;

  2. posameznik, na katerega se nanašajo osebni podatki, prekliče privolitev, na podlagi katere poteka obdelava in kadar za obdelavo ne obstaja nobena druga pravna podlaga;

  3. posameznik, na katerega se nanašajo osebni podatki, obdelavi ugovarja v skladu 21. členom Uredbe;

  4. osebni podatki so bili obdelani nezakonito;

  5. osebne podatke je treba izbrisati za izpolnitev pravne obveznosti v skladu s pravom EU ali pravom države članice, ki velja za upravljavca;

  6. osebni podatki so bili zbrani v zvezi s ponudbo storitev informacijske družbe iz člena 8(1) Uredbe.

 

Pred izbrisom bi moral upravljavec na podlagi prejete zahteve najprej preveriti, ali je bila podana ustrezna privolitev oz. ali obstaja, kateri izmed razlogov iz tretjega odstavka 17. člena Uredbe za nadaljnjo hrambo – zahteva po izbrisu osebnih podatkov ne sme voditi v avtomatsko oz. takojšnje brisanje podatkov brez tovrstnega predhodnega preverjanja utemeljenosti zahteve. Pri preverbi zahteve uporabnika pa je ključno predvsem, kaj je bilo dogovorjeno med upravljavcem in uporabnikom. V kontekstu spletnih forumov se dogovor med njima praviloma sklene ob registraciji, ko uporabnik tudi sprejme splošne pogoje (pravila) uporabe foruma. V teh pogojih bi torej moralo biti določeno, katere osebne podatke hrani upravljavec spletnega foruma, za katere namene in koliko časa. IP na tem mestu izpostavlja, da v sklopu neobvezujočega mnenja vsekakor ne more presojati konkretnih dejanj obdelav, temveč lahko to stori šele v okviru inšpekcijskega postopka, zato v nadaljevanju podaja splošna pojasnila. Prav tako ne more presojati o drugih vprašanjih urejanja delovanja forumov, ki posegajo na področje svobode izražanja, in drugih vidikov ureditve sodelovanja v forumu, ki ne sodi pod okvir varstva osebnih podatkov. Ta sodijo v širši okvir pravice do zasebnosti, ki je predmet sodnega varstva.

 

Glede na vrste osebnih podatkov upravljavci spletnih forumov navadno obdelujejo osebne podatke, ki bi jih lahko razdelili v tri kategorije. V prvo kategorijo sodijo podatki, ki so zahtevani ob registraciji (npr. elektronski naslov, uporabniško ime oz. vzdevek, drugi podatki, ki jih uporabnik vnese v svoj profil itd.). Upravljavec foruma lahko, npr. v pravilih uporabe določi, da se registracijski podatki hranijo do takrat, ko uporabnik izbriše svojo registracijo. Zelo dobrodošlo je, da upravljavec spletnega foruma opredeli, kako je z registracijskimi podatki neaktivnih uporabnikov, in sicer se lahko odloči, da jih bo po določenem obdobju neaktivnosti (npr. več kot eno leto od zadnje objave na forumu – rok ni zakonsko predpisan) brisal, lahko se pa tudi odloči, da se bodo registracijski podatki neaktivnih uporabnikov hranili dokler sami ne zahtevajo izbrisa registracije.

 

V drugo kategorijo sodijo podatki, ki niso vidni navzven in se hranijo »v ozadju«. Takšen primer so recimo datum in čas registracije in zadnje prijave ali številka IP, ki se pa lahko hrani v dnevniških datotekah spletnega foruma. Pri podatkih, ki se shranjujejo v ozadju, IP priporoča, da upravljavec spletnega foruma jasno opredeli nabor in rok hrambe teh podatkov. Z vidika zagotavljanja varnosti in samega delovanja spletnega foruma (npr. onemogočanje uporabnikov, ki ne spoštujejo pravil uporabe spletnega foruma, ponavljanje kršitev pod različnimi uporabniškimi imeni ali pa preprečevanja avtomatskih objav na forumu) se lahko upravljavec odloči za ustrezen rok hrambe, katerega pa mora znati utemeljiti, sam rok pa mora biti po načelu sorazmernosti ustrezen glede na namen obdelave osebnih podatkov.

 

V tretjo kategorijo lahko uvrstimo podatke, ki se javno objavijo (upravljavec spletnega foruma naj v pravilih uporabe jasno navede, kateri podatki so javno objavljeni in kateri se hranijo v ozadju), pri čemer za podatke, ki se javno objavijo, po priporočilih IP posebnega roka hrambe upravljavcu foruma ni potrebno določati, saj gre za javno objavo, in je lahko rok hrambe opredeljen z voljo uporabnika, ki lahko svojo objavo izbriše oziroma popravi (na tem mestu vas IP usmerja na Smernice glede varstva osebnih podatkov na spletnih forumih https://www.ip-rs.si/fileadmin/user_upload/Pdf/smernice/Smernice_-_forumi_web.pdf). Če pa je upravljavec spletnega foruma v splošnih pogojih jasno opredelil rok hrambe za javno objavljene podatke (npr. v letih ali do določenega obdobja neaktivnosti uporabniškega računa), potem je izbris potrebno izvesti šele po prenehanju tega obdobja.

 

IP še pojasnjuje, da Uredba v prvi točki 4. člena opredeli osebni podatek kot katero koli informacijo v zvezi z določenim ali določljivim posameznikom, pri čemer je določljiv posameznik tisti, ki ga je mogoče neposredno ali posredno določiti. V primeru, ko iz elektronskega naslova ni moč določiti posameznika, npr. ko gre za generični elektronski naslov podjetja, potem ne gre za varovani osebni podatek.

 

IP pa ni pristojen presojati o drugih vprašanjih ureditve delovanja foruma, ki presegajo vprašanja varstva osebnih podatkov.

 

V upanju, da ste dobili odgovor na svoje vprašanje, vas lepo pozdravljamo.

 

 

Mojca Prelesnik, univ.dipl.prav.,

informacijska pooblaščenk

 

 

 

Pripravila:

Jasmina Mešić,
svetovalka pooblaščenca za preventivo