Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Iskalnik po mnenjih GDPR

+ -
Datum: 02.08.2019
Naslov: Spletni brskalnik za mobilne naprave
Številka: 0712-1/2019/1781
Vsebina: Moderne tehnologije, Svetovni splet, Telekomunikacije in pošta, Zavarovanje osebnih podatkov
Pravni akt: Mnenje

Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaše zaprosilo za mnenje glede spletnega brskalnika za mobilne naprave.

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba o varstvu podatkov), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju: ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju: ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.

 

IP uvodoma poudarja, da lahko podaja nezavezujoča mnenja in pojasnila, ne sme pa izven konkretnih inšpekcijskih postopkov preverjati primernosti izbrane pravne podlage ali namenov oziroma obsega obdelave osebnih podatkov v konkretnem primeru. IP ustreznosti določene programske rešitve v okviru mnenja torej ne more presojati, niti ne more vnaprej potrjevati posameznih rešitev z vidika skladnosti s Splošno uredbo o varstvu podatkov

 

IP uvodoma pojasnjuje nekaj splošnih pojmov, ki so relevantni v konkretnem primeru. Osebni podatki predstavljajo skladno s prvo točko 4. člena Splošne uredbe o varstvu podatkov katero koli informacijo v zvezi z določenim ali določljivim posameznikom; določljiv posameznik je tisti, ki ga je mogoče neposredno ali posredno določiti, zlasti z navedbo identifikatorja, kot je ime, identifikacijska številka, podatki o lokaciji, spletni identifikator, ali z navedbo enega ali več dejavnikov, ki so značilni za fizično, fiziološko, genetsko, duševno, gospodarsko, kulturno ali družbeno identiteto tega posameznika. Glede na navedeno lahko fotografije pomenijo varovane osebne podatke po Splošni uredbi o varstvu podatkov le, kadar določajo ali omogočajo določljivost posameznika, predvsem takrat, ko je posameznik na fotografiji jasno in nedvoumno razviden in bi se bi se ga dalo na ta način identificirati, prepoznati in določiti ali, ko se hkrati s posnetki in fotografijami obdelujejo tudi drugi osebni podatki o posamezniku kot na primer njegovo ime in priimek, njegova letnica rojstva in podobno.

 

Zavarovanje osebnih podatkov opredeljuje 32. člen Splošne uredbe o varstvu podatkov. Ta v prvem odstavku določa, da ob upoštevanju najnovejšega tehnološkega razvoja in stroškov izvajanja ter narave, obsega, okoliščin in namenov obdelave, pa tudi tveganj za pravice in svoboščine posameznikov, ki se razlikujejo po verjetnosti in resnosti, upravljavec in obdelovalec z izvajanjem ustreznih tehničnih in organizacijskimi ukrepov zagotovita ustrezno raven varnosti glede na tveganje, vključno med drugim z naslednjimi ukrepi, kot je ustrezno:

 

  1. psevdonimizacijo in šifriranjem osebnih podatkov;
  2. zmožnostjo zagotoviti stalno zaupnost, celovitost, dostopnost in odpornost sistemov in storitev za obdelavo;
  3. zmožnostjo pravočasno povrniti razpoložljivost in dostop do osebnih podatkov v primeru fizičnega ali tehničnega incidenta;
  4. postopkom rednega testiranja, ocenjevanja in vrednotenja učinkovitosti tehničnih in organizacijskih ukrepov za zagotavljanje varnostni obdelave.

 

V drugem odstavku istega člena je določeno, da se pri določanju ustrezne ravni varnosti upoštevajo zlasti tveganja, ki jih pomeni obdelava, zlasti zaradi nenamernega ali nezakonitega uničenja, izgube, spremembe, nepooblaščenega razkritja ali dostopa do osebnih podatkov, ki so poslani, shranjeni ali kako drugače obdelani.

V primeru uporabe spletne aplikacije, ki je namenjena obdelavi osebnih podatkov, je tako po mnenju IP treba zagotoviti, da bo stopnja zavarovanja obdelave teh podatkov čim višja, obseg obdelave pa omejen na njen namen.

Ob tem IP opozarja, da mora imeti posameznik (študent) ob odločitvi za uporabo aplikacije na voljo vse informacije o vseh vidikih obdelave osebnih podatkov. Skladno z določbo 13. člena je namreč dolžan upravljavec v primeru, kadar so bili osebni podatki pridobljeni od posameznika, na katerega se ti nanašajo, le-temu takrat, ko pridobi osebne podatke, zagotoviti naslednje informacije:

  1. identiteto in kontaktne podatke upravljavca in njegovega predstavnika, kadar ta obstaja;
  2. kontaktne podatke pooblaščene osebe za varstvo podatkov, kadar ta obstaja;
  3. namene, za katere se osebni podatki obdelujejo, kakor tudi pravno podlago za njihovo obdelavo;
  4. kadar obdelava temelji na točki (f) člena 6(1), zakonite interese, za uveljavljanje katerih si prizadeva upravljavec ali tretja oseba;
  5. uporabnike ali kategorije uporabnikov osebnih podatkov, kadar obstajajo;
  6. kadar je ustrezno, informacije o tem, da namerava upravljavec prenesti osebne podatke uporabniku v tretji državi ali mednarodni organizaciji, ter o obstoju ali neobstoju sklepa Komisije o ustreznosti ali v primeru prenosov iz člena 46 ali 47 ali drugega pododstavka člena 49(1) sklic na ustrezne ali primerne zaščitne ukrepe in sredstva za pridobitev njihove kopije ali kje so na voljo;
  7. tudi nekatere druge informacije, opredeljene v drugem odstavku istega člena.

 

Dodatno drugi odstavek 13. člena Splošne uredbe o varstvu podatkov zahteva med drugim tudi zagotovitev informacij o roku hrambe, obstoju pravic posameznika in možnosti pritožbe nadzornemu organu. Informacije se posamezniku dajo na način, določen v 12. členu Splošne uredbe o varstvu podatkov. Opisana obveznost informiranja posameznika odpade le izjemoma, in sicer takrat, kadar posameznik, na katerega se nanašajo osebni podatki, že ima informacije.

 

IP sklepno ponavlja, da v okviru mnenja ne more presojati ustreznosti določene rešitve z vidika skladnosti z obstoječimi predpisi. Presojo o ustreznosti lahko izvede le v okviru konkretnega inšpekcijskega ali upravnega postopka. Presoja glede zakonitosti obdelave oziroma obstoja pravne podlage za posamezno obdelavo je na vsakem upravljavcu posebej.

 

 

S spoštovanjem.

 

 

Pripravil:

Matej Sironič,                                                  

Svetovalec pooblaščenca

za varstvo osebnih podatkov

 

Mojca Prelesnik, univ. dipl. prav.,

Informacijska pooblaščenka