Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Iskalnik po mnenjih GDPR

+ -
Datum: 27.08.2019
Naslov: Obdelava osebnih podatkov naročnika revije
Številka: 0712-1/2019/1953
Vsebina: Pravica do pozabe, Pravne podlage
Pravni akt: Mnenje

Informacijski pooblaščenec (v nadaljevanju IP) je prejel vaše zaprosilo za mnenje. Pojasnjujete, da ste sklenili enoletno naročnino na revijo, po izteku tega obdobja pa ste prejeli obvestilo, da lahko spremenite naročniško razmerje tako, da se vam naročnina avtomatsko podaljšuje. Nato so brez vaše privolitve naročnino podaljšali ter jo trgali s kreditne kartice. Izpostavljate, da izdajatelj revije nima vašega pooblastila za hrambo vaših osebnih podatkov.

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov, v nadaljevanju Splošna uredba), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.

 

IP uvodoma opozarja, da je samostojen in neodvisen državni organ, ki lahko poleg nalog, določenih v 2. členu ZInfP, na podlagi 49. člena ZVOP-1 daje tudi neobvezna mnenja, pojasnila, stališča, navodila in priporočila s področja varstva osebnih podatkov. IP ugotavlja, da se vaše zaprosilo nanaša predvsem na varstvo potrošnikov, posredovanje mnenj iz tega področja pa ne sodi v pristojnost IP.

 

Ob upoštevanju zgoraj pojasnjenega vam IP v zvezi z vašim zaprosilom z vidika varstva osebnih podatkov pojasnjuje, da je za vsako obdelavo osebnih podatkov treba imeti zakonito in ustrezno pravno podlago. Te so določene v členu 6(1) Splošne uredbe in so za zasebni sektor naslednje:

-      privolitev (točka (a)),

-      sklenitev ali izvajanje pogodbe (točka (b)),

-      zakon oziroma izvajanje javnih nalog (točka (c) oziroma (e)),

-      zakoniti interesi, ki prevladajo nad interesi posameznika (točka (f)).

 

Izbira ustrezne pravne podlage za obdelavo osebnih podatkov, upoštevajoč konkretne okoliščine in namen obdelave, je obveznost upravljavca. Za zakonitost obdelave pa je dovolj, da je izpolnjena ena od samostojnih pravnih podlag, ki jih določa člen 6(1) Splošne uredbe. To pomeni, da v kolikor upravljavec osebne podatke obdeluje npr. zaradi izvajanja pogodbe, za te podatke privolitev ni dolžan pridobivati. V zvezi s pravnimi podlagami v zasebnem sektorju si lahko ogledate tudi infografiko, objavljeno na spletni strani IP: https://www.ip-rs.si/fileadmin/user_upload/png/infografike/pravne_podlage_zasebni_sektor_s_pogoji_privolitve.pdf.

 

Iz vašega zaprosila izhaja, da ste sklenili naročniško razmerje na revijo za enoletno obdobje, torej ste z izdajateljem revije sklenili pogodbo. Glede na navedeno bi pravno podlago za obdelavo določenih vaših osebnih podatkov s strani izdajatelja revije v času veljavnosti pogodbe lahko predstavljala določba 6(1)(b) Splošne uredbe (»obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki«). Razlaga, kdaj je obdelava določenih podatkov potrebna za izvajanje pogodbe, pa mora biti, upoštevajoč načelo najmanjšega obsega podatkov iz člena 5(1)(c) Splošne uredbe, stroga ter zožujoča. Če določena obdelava ni nujno potrebna za izvedbo konkretne pogodbe, lahko še vedno poteka na drugi ustrezni pravni podlagi, če so seveda izpolnjeni pogoji zanjo. Ker pa se mora upravljavec izogniti kakršni koli nejasnosti glede veljavne pravne podlage za posamezno vrsto obdelave, jo je dolžan opredeliti in jasno predstaviti posamezniku že na začetku obdelave.

 

IP ob tem še opozarja, da pri sklepanju pogodb posamezniki pogosto zmotno dobijo vtis, da s podpisom pogodbe obenem dajejo privolitev v skladu s členom 6(1)(a) Splošne uredbe. Med sklenitvijo pogodbe v smislu 15. člena Obligacijskega zakonika (Uradni list RS, št. 97/07 – uradno prečiščeno besedilo, 64/16 – odl. US in 20/18 – OROZ631) in podajo privolitve v smislu člena 6(1)(a) Splošne uredbe pa je treba razlikovati, saj gre za različna pojma s povsem drugačnimi pravnimi posledicami.

 

Ko pogodba preneha veljati v celoti, člen 6(1)(b) Splošne uredbe načeloma ni več ustrezna pravna podlaga za obdelavo osebnih podatkov. Upravljavec bi moral v takem primeru z obdelavo prenehati in zbrane osebne podatke praviloma tudi izbrisati, kot to izhaja iz člena 17(1) Splošne uredbe, razen tistih osebnih podatkov, obdelava katerih je potrebna npr. za izvrševanje zakonske dolžnosti ali za uveljavljanje, izvajanje ali obrambo pravnih zahtevkov. Te izjeme so določene v členu 17(3) Splošne uredbe. V takšnih primerih se osebnih podatkov ne sme brisati, četudi bi posameznik tako zahteval, temveč je treba upoštevati tudi pogoje in roke hrambe, ki jih določa zakonodaja. Glede na pojasnjeno bi moral upravljavec že na začetku obdelave predvideti, na katerih pravnih podlagah in s kakšnim namenom bo obdeloval osebne podatke, ko pogodba postane neveljavna (npr. na podlagi zakona, privolitve,…), ter to posamezniku transparentno predstaviti.

 

 

Lep pozdrav,

 

                                                                                                     Mojca Prelesnik, univ. dipl. prav.,                                               

                                                                                                           informacijska pooblaščenka

Pripravila:                                                                                                                              

Tina Ivanc, univ. dipl. prav.,
svetovalka IP za varstvo osebnih podatkov