Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Iskalnik po mnenjih GDPR

+ -
Datum: 05.08.2019
Naslov: Obdelava podatkov strank v avtomobilski prodaji
Številka: 0712-1/2019/1651
Vsebina: Pogodbena obdelava podatkov, Pravne podlage
Pravni akt: Mnenje

Obrnili ste se na Informacijskega pooblaščenca RS (v nadaljevanju IP) s svojim zaprosilom za mnenje. Ste pooblaščeni serviser in prodajalec vozil določene znamke. Pojasnjujete, da v verigi avtomobilske prodaje in servisa nastopate v vlogi »sekundarne mreže«. S strani »principala« ste prejeli v podpis obrazec »dovoljenje za usklajevanje kontaktnih osebnih podatkov kupcev«, ki omogoča principalu zlasti ažuriranje podatkov strank s podatki iz javno dostopnih virov, usklajevanje kontaktnih osebnih podatkov kupcev z vsemi (internimi povezanimi) informacijskimi sistemi ter zagotavljanje pravic posameznikom v zvezi z varstvom osebnih podatkov. Dodatno ste pojasnili tudi, da imate sklenjeno pogodbo o obdelavi osebnih podatkov s principalom oziroma drugimi deležniki v verigi prodaje in servisa avtomobilov določene znamke. Zanima vas, ali potrebujete za podpis navedenega »dovoljenja« soglasje svojih kupcev?

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba o varstvu podatkov), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašimi vprašanji.

 

IP uvodoma pojasnjuje, da kot inšpekcijski organ ne more podajati zavezujočih stališč v zvezi s konkretnimi obdelavami osebnih podatkov. To lahko stori le v okviru konkretnega inšpekcijskega postopka po ugotovitvi vseh relevantnih okoliščin primera. IP tudi ni znana narava dokumenta »dovoljenje za usklajevanje kontaktnih osebnih podatkov«, ki ste ga prejeli v podpis, zato IP tudi ne more zagotovo ugotoviti kakšno vlogo ima navedeno dovoljenje za varstvo osebnih podatkov vaših strank oziroma ali navedeno dovoljenje zadostuje za zakonito omogočanje dostopa ali druge dejavnosti v zvezi s podatki vaših strank.

 

IP lahko na splošno pojasni, da mora za obdelavo osebnih podatkov obstajati ustrezna pravna podlaga. Dopustne pravne podlage za obdelavo osebnih podatkov predpisuje člen 6 (1) Splošne uredbe.[1] IP je za enostavnejši prikaz pravnih podlag, ki najpogosteje pridejo v poštev v različnih primerih obdelav osebnih podatkov v zasebnem sektorju pripravil infografiko: Pravne podlage za zasebni sektor.

 

Pravno podlago za obdelavo osebnih podatkov mora zagotoviti upravljavec osebnih podatkov. Upravljavec je tisti, ki določa sredstva in namene obdelave osebnih podatkov. Kadar je obdelava osebnih podatkov 'potrebna za izvajanje pogodbe' (podlaga je zagotovljena skladno s členom 6 (1)(b) Splošne uredbe), potem je upravljavec npr. lahko pogodbena stranka te pogodbe kot ponudnik ponudbe ali storitve. Od dejanskih okoliščin pa bo odvisno ali glede posamezne dejavnosti obdelave osebnih podatkov nastopate v vlogi upravljavca. 

 

Po drugi strani pa osebne podatke lahko obdeluje tudi obdelovalec. Ta deluje v imenu in za namen upravljavca. Obdelovalec torej ne obdeluje osebnih podatkov za svoj namen temveč za namen, ki ga določi upravljavec in mora ravnati le po navodilih upravljavca. Razmerje med njima mora opredeljevati pogodba ali drug pisni akt, ki mora vsebovati določene predpisane sestavine (člen 28 Splošne uredbe). Več o pogodbeni obdelavi osebnih podatkov si lahko preberete prenovljene Smernice IP, Smernice o pogodbeni obdelavi, ki so dostopne na spletni strani IP.    

 

Omenili ste, da imate sklenjeno »pogodbo o obdelavi osebnih podatkov«. IP ni znano glede katerih dejavnosti obdelav osebnih podatkov (sklepanje pogodb, neposredno trženje, itd.) nastopate v vlogi obdelovalca in glede katerih v vlogi upravljavca osebnih podatkov. Če glede posameznega dejanja obdelave nastopate kot obdelovalec, potem lahko podatke obdelujete le v skladu z dokumentiranimi navodili upravljavca in podatkov ne smete posredovati brez njegovih navodil. Če glede posameznega dejanja obdelave delujete kot samostojni upravljavec, morate za obdelavo osebnih podatkov zagotoviti ustrezno pravno podlago. Dopustna pravna podlaga je lahko le ena od naštetih v členu 6(1) Splošne uredbe (privolitev, izvajanje pogodbe, zakoniti interes,…). Za izbiro ustrezne pravne podlage je treba zasledovati načelo poštene obdelave, kar pomeni, da je treba izbrati v konkretnem primeru tisto, ki je ustrezna glede na naravo in namen obdelave ter ki zagotavlja posamezniku največ možnosti nadzora nad njegovimi osebnimi podatki. Izbira ustrezne pravne podlage je lahko težavna, saj je treba dobro poznati pravila varstva osebnih podatkov, kot tudi naravo pravnega razmerja za katerega se določa pravno podlago. Kot pomoč malim podjetjem za uporabo pravil varstva osebnih podatkov v praksi je IP pripravil tudi posebno spletno stran https://upravljavec.si/, ki prek šestih korakov in praktičnih primerov pomaga podjetju razumeti, kaj mora storiti za zagotovitev svoje skladnosti s Splošno uredbo. Na omenjenem spletnem mestu boste našli tudi odgovore na pogosta vprašanja v zvezi s pravnimi podlagami, neposrednim trženjem, pogodbeno obdelavo in drugimi vsebinami, ki so pomembne za zagotavljanje skladnosti s Splošno uredbo.   

 

Upamo, da smo vam s pojasnili uspeli pomagati.

 

Lep pozdrav,

 

 

Pripravil: 

Anže Novak, univ. dipl. prav. 

Svetovalec Pooblaščenca za preventivo

 

 

Mojca Prelesnik , univ. dipl. prav.,

informacijska pooblaščenka