Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Iskalnik po mnenjih GDPR

+ -
Datum: 02.05.2019
Naslov: Upravljanje z nastavitvami piškotkov
Številka: 0712-1/2019/1021
Vsebina: Moderne tehnologije, Privolitev, Telekomunikacije in pošta
Pravni akt: Mnenje

Informacijski pooblaščenec (v nadaljevanju IP) je prejel vaše zaprosilo za mnenje glede ustreznosti upravljanja s privolitvami za nastavljanje piškotkov navedenega spletnega orodja. Spletno orodje za upravljanje s privolitvami deluje na način, da obiskovalec spletnega mesta sprejme vse piškotke ali pa klikne možnost, kjer lahko ali sprejme vse piškotke ali zavrne vse piškotke ali pa omogoči le izbrane piškote, kar lahko kasneje popravi s klikom na namensko povezavo. Uporabnik lahko tudi ugasne piškotke specifičnega ponudnika tretje strani (t.i.3rd party podjetja), torej ne le glede na namembnost piškota, ampak tudi glede na podjetje, ki si izbrane piškote lasti.

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Uredba), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašimi vprašanji.

IP uvodoma pojasnjuje, da lahko podaja nezavezujoča mnenja in pojasnila, ne more pa v tem okviru presojati ustreznosti določene rešitve z vidika skladnosti z obstoječimi predpisi. Morebitno kršitev določb predpisov s področja varstva osebnih podatkov v posameznem primeru IP lahko ugotavlja šele v okviru konkretnega inšpekcijskega postopka, izven tega pa ne more preverjati primernosti izbrane pravne podlage ali namenov oziroma obsega obdelave osebnih podatkov v konkretnem primeru. Prav tako IP ne more potrjevati konkretnih načinov uporabe določenih aplikacij itd.

IP zato podaja splošna pojasnila, da mora za zakonito obdelavo osebnih podatkov obstajati pravna podlaga. V 6. členu Uredbe je določeno, da je obdelava zakonita le in kolikor je izpolnjen vsaj eden od naslednjih pogojev:

  1. posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov;
  2. obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe;
  3. obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca;
  4. obdelava je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe;
  5. obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu;
  6. obdelava je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok.

Ob tem je treba upoštevati, da se zadnja točka (f) ne more uporabljati za obdelavo s strani javnih organov pri opravljanju njihovih nalog.

 

V primeru aktivnosti, ki zajemajo shranjevanje podatkov ali pridobivanje dostopa do podatkov, shranjenih v terminalski opremi naročnika ali uporabnika, je treba upoštevati določbe 157. člena Zakona o elektronskih komunikacijah (Uradni list RS št. 109/12 s spremembami in dopolnitvami, v nadaljevanju ZEKom-1), ki določa, da je to dovoljeno samo pod pogojem, da je naročnik ali uporabnik v to privolil potem, ko je bil predhodno jasno in izčrpno obveščen o upravljavcu in namenih obdelave teh podatkov v skladu z zakonom, ki ureja varstvo osebnih podatkov. Dovoljeno pa je tehnično shranjevanje podatkov ali dostop do njih izključno zaradi prenosa sporočila po elektronskem komunikacijskem omrežju, ali če je to nujno potrebno za zagotovitev storitve informacijske družbe, ki jo naročnik ali uporabnik izrecno zahtevata. ZEKom-1 določa, da privolitev uporabnika ali naročnika pomeni osebno privolitev v skladu z zakonom, ki ureja varstvo osebnih podatkov. Na tem mestu vas usmerjamo na dodatna pojasnila o različnih vrstah piškotkov in  obveznostih, ki jih najdete v Smernicah o uporabi piškotkov na spletnih straneh. Glede na določila 7. člena Uredbe mora biti privolitev posameznika konkretna, razumljiva izjava ali drugo nedvoumno pritrdilno dejanje in dokazljiva. Privolitev mora biti dana z jasnim pritrdilnim dejanjem, kar pomeni, da posameznik prostovoljno, specifično, ozaveščeno in nedvoumno izrazi privolitev v obdelavo osebnih podatkov v zvezi z njim.  Molk, vnaprej označena okenca ali kakršnakoli nedejavnost tako ne pomenijo privolitve. Posameznik mora torej jasno podati privolitev za zbiranje in obdelavo svojih osebnih podatkov za konkreten namen. Upravljavec mora biti zmožen dokazati, da je posameznik privolil v obdelavo svojih osebnih podatkov. Posameznik ima tudi pravico, da svojo privolitev kadarkoli prekliče.

 

IP poudarja, da mora biti privolitev v primerih, ko obdelava podatkov vključuje več različnih namenov, podana za vsak namen. Upravljavec mora pridobiti več ločenih privolitev za vsako obdelavo posebej (granularnost oz. razčlenjenost privolitev). Posameznik mora imeti možnost privoliti v obdelavo svojih osebnih podatkov za vsak namen obdelave posebej. Namen mora biti jasno in nedvoumno opredeljen, saj je konkreten, ekspliciten in legitimen namen obdelave predpogoj za pridobitev veljavne privolitve. Preden posameznik torej poda veljavno soglasje, da se na njegovo terminalsko napravo naloži izbrana tehnika sledenja (piškotek, digitalni prstni odtis t.i. fingerprint itd.), mora biti obveščen glede obdelave njegovih osebnih podatkov, saj je njegova privolitev veljavna le, če je podana na podlagi predhodnega ustreznega informiranja. Posameznik torej mora vedeti, kaj pomeni, če bo izbral opcijo, da nadaljujejo, informacije o tem pa mu morajo biti enostavno dostopne, preden izbere to opcijo (povezava ne te informacije na drugem mestu je lahko primerna rešitev).  Uredba še nadgrajuje obveznosti upravljavca glede informiranja posameznikov, in sicer vas IP na tem mestu usmerja na  člen 12, 13 in 14 Uredbe, ki urejajo pravice posameznika, na katerega se nanašajo osebni podatki.

 

V upanju, da ste dobili odgovor na svoje vprašanje, vas lepo pozdravljamo.                                              

 

 

                                                                                                   Mojca Prelesnik, univ.dipl.prav.,                                                 

                                                                                                   informacijska pooblaščenka

 

Pripravila:                                                                                                                              

Jasmina Mešić,
svetovalka pooblaščenca za preventivo