Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Iskalnik po mnenjih GDPR

+ -
Datum: 05.08.2019
Naslov: Privolitev v obdelavo OP
Številka: 0712-1/2019/1683
Vsebina: Pravne podlage, Privolitev
Pravni akt: Mnenje

Obrnili ste se na Informacijskega pooblaščenca RS (v nadaljevanju IP) s svojim zaprosilom za mnenje. Navajate, da so nekateri poslovni subjekti pred uveljavitvijo nove Splošne uredbe (25.5.2018) pošiljali pozive za pridobivanje privolitev svojih strank ali uporabnikov za nadaljnje obveščanje (npr. z vprašanji, če želijo z njimi ostati z njimi v stiku). Dodajate, da ste sami prejeli podobno sporočilo na katerega niste odgovorili. Zanima vas ali vaš molk velja kot strinjanje za nadaljnjo obdelavo vaših osebnih podatkov oziroma ali lahko upravljavec še naprej vodi osebne podatke posameznika kljub temu, da se posameznik na omenjen poziv ni odzval? 

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba o varstvu podatkov), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašimi vprašanji.

 

 

IP uvodoma pojasnjuje, da mora za zakonito obdelavo osebnih podatkov obstajati ustrezna pravna podlaga. Možne pravne podlage določa člen 6 (1) Splošne uredbe (za enostavnejši prikaz si lahko ogledate Infografiko: Pravne podlage v zasebnem sektorju, ki jo je pripravil IP in je dostopna na naši spletni strani). Pravno podlago je treba zagotoviti za vsak namen obdelave osebnih podatkov.

 

Privolitev je ena od možnih pravnih podlag za obdelavo osebnih podatkov. Po Splošni uredbi je privolitev kot podlaga urejena strožje, kot je veljalo po ZVOP-1. Več o privolitvi po Splošni uredbi si lahko preberete na podstrani spletne strani IP (https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/kljucna-podrocja-uredbe/privolitev/).

 

Če privolitev, ki je bila pridobljena pred 25. 5. 2018, ni skladna s pogoji po Splošni uredbi, potem po navedenem datumu ni več veljavna. Osebnih podatkov, ki se obdelujejo na takšni privolitvi, pa za ta namen ni več dopustno obdelovati. Od izpolnitve namena obdelave je odvisna tudi dopustnost hrambe podatkov (člen 5 (1)(e) Splošne uredbe). Po izpolnitvi namenov obdelave za katere obstaja ustrezna pravna podlaga, je treba osebne podatke uničiti oziroma nepovratno anonimizirati. Hramba je lahko eventualno dopustna tudi po izpolnitvi namena, za katerega so bili podatki zbrani, npr. zaradi obrambe pred pravnimi zahtevki ali če tako zahteva poseben predpis. Dejanski rok hrambe bo odvisen od konkretnega pravnega razmerja. Običajno se za hrambo zaradi obrambe pred pravnimi zahtevki navaja splošni zastaralni po Obligacijskem zakoniku, ki je 5 let od zapadlosti obveznosti.

 

IP še pojasnjuje, da je zavzel stališče, da smejo upravljavci, ki so pred 25. 5. 2018 razpolagali z veljavnimi privolitvami (po tedanji zakonodaji), tudi po 25. 5. 2018 pozvati posameznike za pridobitev (oziroma posodobitev) veljavne privolitve. Podlaga za poziv k posredovanju privolitve za isti namen, za katerega so upravljavci razpolagali s privolitvijo pred 25. majem 2018, je lahko člen 6 (1f) Splošne uredbe – obdelava je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok.

 

Uporaba osebnih podatkov za namen ponovnega pridobivanja (ali posodabljanja) privolitev je torej po mnenju IP skladno s členom 6(1f) Splošne uredbe zakonito. Po mnenju IP pa zgolj ne-odziv posameznika praviloma ne more šteti za privolitev v obdelavo njegovih osebnih podatkov. Po Splošni uredbi mora biti privolitev prostovoljno, informirano in nedvoumno podana izjava volje posameznika, na katerega se nanašajo osebni podatki, s katero z izjavo ali jasnim pritrdilnim dejanjem izrazi soglasje z obdelavo osebnih podatkov. Kot navedeno, pa bo od konkretnih okoliščin odvisno, ali za zakonito hrambo podatkov, tudi brez »posodobljene« privolitve še obstaja ustrezna pravna podlaga.

 

Lep pozdrav,

 

 

Pripravil:

Anže Novak, univ. dipl. prav.

svetovalec Pooblaščenca za preventivo