Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Iskalnik po mnenjih GDPR

+ -
Datum: 07.08.2019
Naslov: Obdelava OP s strani spletnega portala
Številka: 0712-1/2019/1842
Vsebina: Pravica do ugovora, Pravne podlage, Svetovni splet, Telekomunikacije in pošta
Pravni akt: Mnenje

Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaše zaprosilo za mnenje glede morebitne kršitve varstva osebnih podatkov s strani spletnega portala.

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba o varstvu podatkov), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju: ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju: ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.

 

IP uvodoma poudarja, da lahko podaja nezavezujoča mnenja in pojasnila, ne sme pa izven konkretnih inšpekcijskih postopkov preverjati primernosti izbrane pravne podlage ali namenov oziroma obsega obdelave osebnih podatkov v konkretnem primeru.

 

IP pojasnjuje, da Splošna uredba o varstvu podatkov v 6. členu določa različne pravne podlage za zakonito obdelavo osebnih podatkov. Obdelava je tako zakonita le in kolikor je za konkretni namen obdelave in konkretne osebne podatke izpolnjen eden od naslednjih pogojev:

  • posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov;
  • obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe;
  • obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca;
  • obdelava je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe;
  • obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu;
  • obdelava je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok.

Ob tem je treba upoštevati, da se zadnja alinea ne more uporabljati za obdelavo s strani javnih organov pri opravljanju njihovih nalog.

 

Spletni portal, ki ga navajate v vašem zaprosilu, bi za obdelavo osebnih podatkov torej moral imeti eno izmed naštetih pravnih podlag, sicer obdelava ni bila zakonita. Iz navedb v vašem zaprosilu sicer izhaja, da ste po mnenju spletnega portala podali privolitev (v smislu pravne podlage iz prve alineje prejšnjega odstavka) za obdelavo vaših osebnih podatkov, in sicer naj bi se to zgodilo leta 2017. Ob tem IP izpostavlja, da se je Splošna uredba o varstvu podatkov pričela uporabljati 25. 5. 2018 in od tega dne dalje mora biti vsaka obdelava osebnih podatkov skladna z njenimi določbami. Upoštevati je treba, da Splošna uredba o varstvu podatkov določa strožje pogoje glede veljavne privolitve v primerjavi s prej veljavno ureditvijo. Pri tem je treba upoštevati podrobnejša določila glede pogojev, po katerih se šteje, da je privolitev veljavna, ki so določeni v 7. členu Splošne uredbe o varstvu podatkov. Privolitev posameznika mora biti konkretna, razumljiva izjava ali drugo nedvoumno pritrdilno dejanje in dokazljiva. Molk, vnaprej označena okenca ali kakršnakoli nedejavnost tako ne pomenijo privolitve. Posameznik mora torej jasno podati privolitev za zbiranje in obdelavo svojih osebnih podatkov za konkreten namen. IP poudarja, da mora biti privolitev v primerih, ko obdelava podatkov vključuje več različnih namenov, podana za vsak namen posebej. Upravljavec mora pridobiti več ločenih privolitev za vsako obdelavo posebej (granularnost oziroma razčlenjenost privolitev). Namen mora biti jasno in nedvoumno opredeljen, saj je konkreten, ekspliciten in legitimen namen obdelave predpogoj za pridobitev veljavne privolitve. Upravljavec mora biti zmožen dokazati, da je posameznik privolil v obdelavo svojih osebnih podatkov. Posameznik ima tudi pravico, da svojo privolitev kadarkoli prekliče.

 

V kolikor privolitve, podane pred začetkom uporabe Splošne uredbe o varstvu podatkov, ne ustrezajo njenim standardom, mora upravljavec pridobiti nove privolitve.

 

Več informacij o privolitvi lahko najdete o privolitvi lahko najdete tudi na spletni strani IP:

https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/kljucna-podrocja-uredbe/privolitev/

Predhodna informiranost posameznika o obdelavi njegovih podatkov je torej ključen element zakonite obdelave osebnih podatkov, saj se lahko le na podlagi ustreznih informacij o tem, komu lahko zaupa določene svoje podatke in za kakšen namen, posameznik svobodno odloči, ali bo to storil ali ne.

 

V primeru aktivnosti, ki zajemajo shranjevanje podatkov ali pridobivanje dostopa do podatkov, shranjenih v terminalski opremi naročnika ali uporabnika, je treba upoštevati določbe 157. člena Zakona o elektronskih komunikacijah (ZEkom-1; Uradni list RS, št. 109/12, 110/13, 40/14 – ZIN-B, 54/14 – odl. US, 81/15, 40/17, 30/19 – odl. US), ki določa, da je to dovoljeno samo pod pogojem, da je naročnik ali uporabnik v to privolil potem, ko je bil predhodno jasno in izčrpno obveščen o upravljavcu in namenih obdelave teh podatkov v skladu z zakonom, ki ureja varstvo osebnih podatkov.

 

Preden posameznik torej poda veljavno privolitev, da se na njegovo terminalsko napravo naloži izbrana tehnika sledenja (piškotek, digitalni prstni odtis itd.), mora biti obveščen glede obdelave njegovih osebnih podatkov, saj je njegova privolitev veljavna le, če je podana na podlagi predhodnega ustreznega informiranja. Posameznik torej mora vedeti, kaj pomeni, če bo izbral opcijo, da nadaljuje, informacije o tem pa mu morajo biti enostavno dostopne, preden izbere to opcijo (povezava ne te informacije na drugem mestu je lahko primerna rešitev). Splošna uredba o varstvu podatkov še nadgrajuje obveznosti upravljavca glede informiranja posameznikov, in sicer vas IP na tem mestu usmerja na člene 12, 13 in 14, ki urejajo pravice posameznika, na katerega se nanašajo osebni podatki.

 

IP pojasnjuje še, da Splošna uredba o varstvu podatkov v 77. členu določa, da ima brez poseganja v katero koli drugo upravno ali pravno sredstvo vsak posameznik, na katerega se nanašajo osebni podatki, pravico, da vloži pritožbo pri nadzornem organu, zlasti v državi članici, v kateri ima običajno prebivališče, v kateri je njegov kraj dela ali v kateri je domnevno prišlo do kršitve, če meni, da obdelava osebnih podatkov v zvezi z njim krši to uredbo. Nadzorni organ v RS je Informacijski pooblaščenec, ki je v skladu z 2. členom ZInfP samostojen in neodvisen državni organ, pristojen za inšpekcijski nadzor nad izvajanjem zakona in drugih predpisov, ki urejajo varstvo ali obdelavo osebnih podatkov oziroma iznos osebnih podatkov iz Republike Slovenije, ter opravljanje drugih nalog, ki jih določajo ti predpisi. V kolikor torej menite, da so vam bile kršene vaše pravice v zvezi z varstvom osebnih podatkov, lahko pri IP vložite prijavo po elektronski pošti na naslov gp.ip@ip-rs.si, oz. po navadni pošti na naslov: Informacijski pooblaščenec, Dunajska cesta 22, 1000 Ljubljana. To lahko storite tudi preko obrazca, ki je dostopen na spletni strani IP:

 

https://www.ip-rs.si/varstvo-osebnih-podatkov/pravice-posameznika/vlozitev-prijave

 

IP sklepno pojasnjuje, da področje neposrednega trženja z uporabo elektronskih sredstev (npr. elektronska pošta, sms sporočila, telefon) posebej urejata ZEKom-1 in Zakon o elektronskem poslovanju na trgu (ZEPT; Uradni list RS, št. 61/06, 45/08 – ZArbit, 79/09, 19/15). Tako ZEkom-1 v prvem odstavku 158. člena določa, da je uporaba samodejnih klicnih in komunikacijskih sistemov za opravljanje klicev na naročnikovo telefonsko številko brez človekovega posredovanja (npr. klicni avtomati, SMS, MMS), telefaksov ali elektronske pošte za namene neposrednega trženja dovoljena samo na podlagi naročnikovega ali uporabnikovega predhodnega soglasja.

 

Nadzor nad določbami ZEKom-1 in ZEPT izvaja Agencija RS za komunikacijska omrežja in storitve (AKOS). IP tako ni pristojen za nadzor nad trženjem po telefonu, zato vam IP svetuje, da v primeru kršitev določb ZEKom-1 ali ZEPT podate prijavo na AKOS.

 

IP pojasnjuje tudi, da  ima skladno z 21. členom Splošne uredbe o varstvu podatkov posameznik pravico, da ugovarja obdelavi osebnih podatkov za namene neposrednega trženja, upravljavec pa dolžnost, da v primeru ugovora posameznika preneha z obdelavo osebnih podatkov posameznika za ta namen. Posameznik, na katerega se nanašajo osebni podatki, mora biti na pravico do ugovora izrecno opozorjen najpozneje ob prvem komuniciranju z njim in se mu mora to pravico predstaviti jasno in ločeno od vseh drugih informacij. Konkretno to pomeni, da imate v primeru neposrednega trženja pravico od upravljavcev, ki vam pošiljajo pošto, kadarkoli zahtevati, da prenehajo obdelovati vaše osebne podatke za namene neposrednega trženja. Upravljavec je v tem primeru dolžan ustrezno preprečiti uporabo osebnih podatkov za namen neposrednega trženja.

 

V kolikor boste izkoristili opisano pravico in ugovarjali obdelavi vaših osebnih podatkov za namene neposrednega trženja, vam mora upravljavec informacije o ukrepih, sprejetih na vašo zahtevo, zagotoviti brez nepotrebnega odlašanja in v vsakem primeru v enem mesecu po prejemu zahteve oziroma ugovora. V kolikor bi upravljavec vašo zahtevo zavrnil ali nanjo ne bi odgovoril, lahko vložite pritožbo na IP.

 

 

S spoštovanjem.

 

 

Pripravil:

Matej Sironič,                                                  

Svetovalec pooblaščenca

za varstvo osebnih podatkov

 

 

Mojca Prelesnik, univ. dipl. prav.,

Informacijska pooblaščenka