Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Iskalnik po mnenjih GDPR

+ -
Datum: 17.04.2019
Naslov: Obdelava osebnih podatkov in Facebook oglaševanje
Številka: 0712-1/2019/896
Vsebina: Moderne tehnologije, Informiranje posameznika
Pravni akt: Mnenje

Informacijski pooblaščenec (v nadaljevanju IP) je po elektronski pošti prejel vašo prošnjo za pojasnila glede Facebook oglaševanja.

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Uredba), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašimi vprašanji.

 

  1. Zanima vas, ali je pri Facebook Lead Ads obliki oglaševanja dovolj, če je pri prikazovanju oglasov posameznikom omogočen dostop do Politike zasebnosti Facebook in do politike zasebnosti podjetja. Nadalje vas zanima, ali lahko pri Lead Ads oglaševanju podatke uporabnikov izvozite v bazo podjetja. Na tako pridobljene kontakte bi, npr. pošiljali mesečne novičke, ponudbe izdelkov, vabila na dogodke, občasno vzorčke na domače naslove, če jih boste imeli.

 

IP uvodoma izpostavlja, da v sklopu neobvezujočega mnenja vsekakor ne more presojati konkretnih dejanj obdelav, temveč lahko to stori šele v okviru inšpekcijskega postopka, zato v nadaljevanju podaja splošna pojasnila na vaša vprašanja.

 

Vaše obveznosti in dolžnosti, ki izhajajo iz določb Uredbe, so predvsem odvisne od tega, kakšno vlogo igra vaša organizacija pri uporabi funkcionalnosti omrežja Facebook za neposredno trženje znotraj omrežja in preko e-pošte, v smislu določitve, kdo je upravljavec osebnih podatkov pri različnih aktivnostih in dejavnostih obdelave osebnih podatkov. Na tej točki opozarjamo na nedavno sodbo Sodišča EU v primeru C-210/161, v kateri sodišče tako podjetje, ki ima ustvarjeno Facebook fan stran kot tudi omrežje Facebook, ki funkcionalnost ustvarjanja fan strani ponuja, razume kot upravljavca, ki skupaj določata namen in sredstva obdelave, pri čemer ima vsak od njiju odgovornosti glede tistega dela obdelave osebnih podatkov, ki je pod njegovim nadzorom.

 

Glede na to morata skupna upravljavca, odvisno od izbrane metode ciljanja Facebook uporabnikov, presoditi, kdaj je obveza ustreznega informiranja posameznikov na strani platforme Facebook in kdaj na strani podjetja, ki je skrbnik Facebook strani. Uredba v uvodni določbi 60 določa, da je v skladu s temeljnim načelom zakonite, pravične in pregledne obdelave potrebno posameznika, na katerega se nanašajo osebni podatki, obvestiti o obstoju dejanja obdelave in njegovih namenih. Uredba obveznosti upravljavcev glede informiranja posameznikov še nadgrajuje, in sicer vas IP na tem mestu usmerja na člena 12, 13 in predvsem člen 14 Uredbe, ki določa, da kadar osebni podatki niso bili pridobljeni neposredno od posameznika (če so bili pridobljeni npr. posredno prek platforme Facebook), na katerega se ti nanašajo, upravljavec posamezniku, na katerega se nanašajo osebni podatki, zagotovi naslednje informacije:

 

  1. istovetnost in kontaktne podatke upravljavca in njegovega predstavnika, kadar ta obstaja;

  2. kontaktne podatke pooblaščene osebe za varstvo podatkov, kadar ta obstaja;

  3. namene, za katere se osebni podatki obdelujejo, kakor tudi pravno podlago za njihovo obdelavo;

  4. vrste zadevnih osebnih podatkov;

  5. uporabnike ali kategorije uporabnikov osebnih podatkov, kadar obstajajo;

  6. kadar je ustrezno, informacije o tem, da namerava upravljavec prenesti osebne podatke uporabniku v tretji državi ali mednarodni organizaciji, ter o obstoju ali neobstoju sklepa Komisije o ustreznosti ali v primeru prenosov iz člena 46 ali 47 ali drugega pododstavka člena 49(1) sklic na ustrezne ali primerne zaščitne ukrepe in sredstva za pridobitev njihove kopije ali kje so na voljo.

Upravljavec posamezniku, na katerega se nanašajo osebni podatki, zagotovi tudi naslednje informacije, ki so potrebne za zagotavljanje poštene in pregledne obdelave:

 

  1. obdobje hrambe osebnih podatkov ali, če to ni mogoče, merila, ki se uporabijo za določitev tega obdobja;

  2. kadar obdelava temelji na točki (f) člena 6(1), zakonite interese, za uveljavljanje katerih si prizadeva upravljavec ali tretja oseba;

  3. obstoj pravice, da se od upravljavca zahtevajo dostop do osebnih podatkov in popravek ali izbris osebnih podatkov ali omejitev obdelave v zvezi s posameznikom, na katerega se nanašajo osebni podatki, in obstoj pravice do ugovora obdelavi ter pravice do prenosljivosti podatkov;

  4. kadar obdelava temelji na točki (a) člena 6(1) ali točki (a) člena 9(2), obstoj pravice, da se lahko privolitev kadar koli prekliče, ne da bi to vplivalo na zakonitost obdelave podatkov, ki se je na podlagi privolitve izvajala do njenega preklica;

  5. pravico do vložitve pritožbe pri nadzornem organu;

  6. od kje izvirajo osebni podatki in po potrebi, ali izvirajo iz javno dostopnih virov, in

  7. obstoj avtomatiziranega sprejemanja odločitev, vključno z oblikovanjem profilov iz člena 22(1) in (4), ter vsaj v takih primerih smiselne informacije o razlogih zanj, kot tudi pomen in predvidene posledice take obdelave za posameznika, na katerega se nanašajo osebni podatki.

 

Torej je potrebno jasno opredeliti, za kakšen namen bodo osebni podatki obdelovani (tudi uvoženi v lastno bazo), pri čemer IP usmerja na uvodno določbo 50, ki določa, da bi obdelava osebnih podatkov za druge namene kot tiste, za katere so bili osebni podatki prvotno zbrani, morala biti dovoljena le, kadar je združljiva z nameni, za katere so bili osebni podatki prvotno zbrani. Za ugotovitev, ali je namen nadaljnje obdelave združljiv z namenom, za katerega so bili osebni podatki prvotno zbrani, bi moral upravljavec, potem ko je izpolnil vse zahteve glede zakonitosti prvotne obdelave, med drugim upoštevati morebitno povezavo med prvotnimi nameni in nameni načrtovane nadaljnje obdelave, zlasti razumna pričakovanja posameznikov, na katere se nanašajo osebni podatki. Torej, če so bili osebni podatki pridobljeni prek izbranega načina oglasnega ciljanja za, npr. namen prenosa priročnika na temo A, bi to lahko bilo nezdružljivo z namenom obveščanja prek elektronske pošte o produktu ali storitvi B.

 

  1. Nadalje sprašujete, ali bi lahko elektronske naslove iz vaše CRM baze uporabili za targetiranje v sklopu t.i. Custom Audience (Lookalike Audience), pri čemer bi rekli, da gre za vaš zakoniti interes (neposredno trženje) in ne bi iskali privolitev posameznikov, da dovolijo za potrebe prikazovanja spletnih oglasov v oglaševalskih omrežjih Google in Facebook.

 

IP pojasnjuje, da za vsako obdelavo osebnih podatkov mora obstajati ustrezna pravna podlaga. Skladno s prvim odstavkom člena 6 Uredbe je obdelava zakonita le in kolikor je izpolnjen vsaj eden od naslednjih pogojev:

  1. posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov;

  2. obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe;

  3. obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca;

  4. obdelava je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe;

  5. obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu;

  6. obdelava je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok.

 

Na strani vašega podjetja je, da v skladu s predpisi s področja varstva osebnih podatkov, opredelite ustrezne pravne podlage za določene namene obdelave osebnih podatkov. Izven posameznega inšpekcijskega postopka namreč IP ne sme preverjati primernosti izbrane pravne podlage, niti namenov ali obsega obdelave osebnih podatkov v konkretnem primeru. Torej je definiranje namenov in obsega obdelave ter zagotavljanja veljavne pravne podlage izključno v domeni vašega podjetja ob upoštevanju področne zakonodaje in IP ne more in ne sme prevzeti odgovornosti za vaše delovanje, podobno kot to velja za druge inšpekcijske organe. Na tem mestu vas IP usmerja tudi na uvodno določbo 47 Uredbe, v skladu s katero zakoniti interesi upravljavca lahko predstavljajo pravno podlago za obdelavo, če ne prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, pri čemer se upoštevajo razumna pričakovanja posameznikov, na katere se nanašajo osebni podatki, glede na njihovo razmerje do upravljavca. Za ugotovitev obstoja zakonitega interesa bi bila potrebna skrbna ocena, tudi glede tega, ali posameznik, na katerega se nanašajo osebni podatki, lahko v času zbiranja osebnih podatkov in v njegovem okviru razumno pričakuje, da se bodo ti obdelali v zadevni namen. Interesi in temeljne pravice posameznika, na katerega se nanašajo osebni podatki, bi zlasti lahko prevladali nad interesi upravljavca podatkov, kadar se osebni podatki obdelujejo v okoliščinah, ko posamezniki, na katere se nanašajo osebni podatki, razumno ne pričakujejo nadaljnje obdelave.

 

  1. Sprašujete, ali je dovoljeno na zgornje načine kontaktirati (po elektronski pošti) tudi take uporabnike Facebooka, ki so kliknili na vaš oglas, pa obrazca za recimo naročilo izdelka (v spletni trgovini) niso do konca izpolnili, so pa s klikom nanj pokazali interes za naš izdelek. Zanima vas, ali smete narediti in obdelovati seznam samo takih in jim pošiljati sporočila, naj se prijavijo na vaše novičke oziroma obiščejo spletno stran in opravijo naročilo. Ali gre v tem primeru lahko za zakoniti interes podjetja (neposredno trženje), ko na tako pridobljene elektronske naslove pošiljate marketinška sporočila (splošna sporočila brez predhodnega segmentiranja oz. profiliranja)?

 

IP pojasnjuje, da je na področju neposrednega trženja prek elektronske pošte potrebno primarno upoštevati specialno zakonodajo. Pridobivanje osebnih podatkov in njihovo uporabo za namene neposrednega trženja, kamor sodi tudi neposredno trženje prek elektronske pošte, ureja še veljaven 72. člen ZVOP-1, ki določa, da lahko upravljavec osebnih podatkov za namene izvajanja neposrednega trženja uporablja osebne podatke posameznikov, ki jih je zbral ali iz javno dostopnih virov (npr. telefonskega imenika) ali pa jih je pridobil v okviru zakonitega opravljanja dejavnosti (od svojih bivših oz. obstoječih strank, udeležencev v anketah itd). Pri tem opozarjamo, da se ZVOP-1 (in s tem pristojnost IP) glede na specifično ureditev drugih področij, kot pojasnjujemo v nadaljevanju, nanaša zgolj na izvajanje neposrednega trženja po navadni pošti. V kolikor pa gre za trženje po elektronski pošti oz. z uporabo elektronskih komunikacij (npr. elektronska pošta, sporočila SMS, telefon), se še naprej uporablja specialna ureditev po Zakonu o elektronskih komunikacijah (Uradni list RS, št. 109/12, 110/13, 40/14 – ZIN-B, 54/14 – odl. US, 81/15 in 40/17; v nadaljevanju ZEKom-1) in Zakonu o elektronskem poslovanju na trgu (Uradni list RS, št. 96/09 – uradno prečiščeno besedilo in 19/15; v nadaljevanju ZEPT), zato vas IP usmerja na določbe 158. člena ZEKom-1 (trženje po e-pošti in podobnih kanalih). Tudi po pričetku veljave Uredbe v tem delu še naprej velja ureditev po ZEKom-1 in ZEPT, kot ena izmed možnih pravnih podlag. V pomoč vam je tudi lahko infografika o neposrednem trženju, ki jo je pripravil IP (https://www.ip-rs.si/fileadmin/user_upload/Pdf/infografike/Neposredno_trzenje_infografika.pdf) in pojasnjuje, kdaj je dopustno neposredno trženje brez privolitve posameznika.

 

  1. Sprašujete, ali je dovoljeno tako pridobljene kontakte uvoziti v Mailchimp in ali je dovoljeno na te kontakte pošiljati ponudbe vaših partnerskih ali lastniško povezanih podjetij. Navajate, da imate v Politiki zasebnosti opredeljen tako prenos podatkov partnerskim in lastniško povezanim podjetjem za določene namene. Prav tako imate glede uporabe Mailchimpa in iznosa podatkov v tretje države to dejstvo zapisano.

 

IP ponovno izpostavlja, da podaja nezavezujoča mnenja in pojasnila, ne more pa izven konkretnih inšpekcijskih postopkov podjetjem svetovati, kako organizirati konkretne poslovne procese, katere aplikacije uporabiti, skratka ne more presojati vaših konkretnih dejanj obdelave. IP vas ponovno usmerja na 14. člen Uredbe, ki od upravljavca zahteva, da kadar je ustrezno, posamezniku zagotovi tudi informacije o tem, da namerava upravljavec prenesti osebne podatke uporabniku v tretji državi ali mednarodni organizaciji, pri čemer vas IP usmerja na Smernice glede prenosa osebnih podatkov v tretje države (https://www.ip-rs.si/fileadmin/user_upload/Pdf/smernice/Smernice_glede_prenosa_OP_v_tretje_drzave_in_mednarodne_organizacije_po_Splosni_uredbi.pdf).

 

Kot predhodno pojasnjeno, je za vsako obdelavo osebnih podatkov potrebno zagotoviti ustrezno pravno podlago. Uredba v 7. točki člena 4 določa, da »upravljavec« pomeni fizično ali pravno osebo, javni organ, agencijo ali drugo telo, ki samo ali skupaj z drugimi določa namene in sredstva obdelave. Zakon o gospodarskih družbah (Ur.l. RS, št. 65/09 uradno prečiščeno besedilo, s spremembami in dopolnitvami, v nadaljevanju ZGD-1) pa v 529. členu odvisno družbo opredeljuje kot pravno samostojno družbo, ki jo neposredno ali posredno obvladuje druga družba (obvladujoča družba). Ne glede na dejstvo, v kakšnem medsebojnem razmerju sta odvisna in obvladujoča družba, predstavljata glede na določbe ZGD-1 v celoti samostojni pravni osebi. Uredba torej ne dopušča možnosti, da bi kot isti upravljavec osebnih podatkov veljali povezani družbi temveč določa, da je vsaka gospodarska družba, ne glede na kapitalski delež drugih družb, samostojen upravljavec osebnih podatkov, ki mora iskati ustrezno pravno podlago za obdelavo osebnih podatkov skladno s prvim odstavkom člena 6 Uredbe (še dodatno kratko pojasnilo o pravnih podlagah: https://upravljavec.si/kako-uporabljate-te-podatke/kratko-o-pravnih-podlagah/). Torej ni dopustno, da eno podjetje pridobi privolitev uporabnika za, npr. namen neposrednega trženja in nato pridobljene osebne podatke brez ustrezne pravne podlage prenese drugemu, lastniško povezanemu podjetju. Glede pošiljanja elektronskih sporočil partnerskih podjetij, pri čemer gre za obdelavo podatkov na osnovi veljavne privolitve posameznika in dejanja obdelave izvaja zgolj eno podjetje (upravljavec, ki pošlje promocijsko ponudbo drugega podjetja), pa vas usmerjamo na prvo vprašanje in odgovor, predvsem na obveznost transparentnega obveščanje posameznikov, za kateri namen bodo podatki obdelovani in pridobivanje veljavne ločene privolitve za vsak namen posebej, saj upravljavci morajo pridobiti več ločenih privolitev oz. ločenih soglasij za vsako obdelavo posebej (granularnost oz. razčlenjenost privolitev), kar bi pomenilo, da bi bilo potrebno pridobiti ločeno privolitev za namen prejemanja sporočil partnerskih podjetij. Več pojasnil o veljavni privolitvi se nahaja na tej povezavi https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/kljucna-podrocja-uredbe/privolitev/.

 

V upanju, da ste dobili odgovor na svoje vprašanje, vas lepo pozdravljamo.

 

 

Mojca Prelesnik, univ.dipl.prav.,

informacijska pooblaščenka

 

 

 

 

 

Pripravila:

Jasmina Mešić,
svetovalka pooblaščenca za preventivo