Informacijski pooblaščenec Republika Slovenija
SLO | ENG

Iskalnik po odločbah in mnenjih VOP

+ -

Opozarjamo, da  posamezna gradiva  na naši spletni strani niso prilagojena na nov evropski okvir varstva osebnih podatkov, zato jih je treba uporabljati preudarno in smiselno ter ob upoštevanju nove evropske ureditve. Stare vsebine so še vedno uporabne za razumevanje prakse, saj se z novo Uredbo 2016/679 in Direktivo 2016/680, temeljni koncepti varstva osebnih podatkov in področna zakonodaja bistveno ne spreminjajo.  Stališča Informacijskega pooblaščenca, izražena v mnenjih in smernicah glede ureditve pred pričetkom uporabe Uredbe 2016/679 in implementacijo Direktive 2016/680 zato niso nujno uporabljiva za nov evropski okvir varstva osebnih podatkov.  


 

Datum: 21.09.2018
Naslov: Jezik spletne strani in pristojnost poljskega nadzornega organa
Številka: 0712-3/2018/1695
Vsebina: Inšpekcijski postopki, Razno
Pravni akt: Mnenje

Informacijski pooblaščenec (v nadaljevanju IP) je po elektronski pošti prejel vaš dopis, v katerem vas zanima naše stališče glede zagotavljanja več jezikovnih verzij spletne strani, npr. slovenska družba upravlja spletno stran, ki ima tudi verzijo v poljskem jeziku, vendar določena besedila so kljub temu v angleškem jeziku. Zanima vas, ali takšno ravnanje predstavlja kršitev prvega odstavka člena 12 Splošne uredbe. Če gre za kršitev in se nato fizična oseba iz Poljske pritoži na poljski organ za varstvo osebnih podatkov, ali lahko slednji ukrepa zoper družbo s sedežem v Sloveniji (npr. po 56. členu Splošne uredbe).

 

***

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju na podlagi 58. člena Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba o varstvu podatkov), 7. točke prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07, uradno prečiščeno besedilo, v nadaljevanju ZVOP-1) ter 2. člena Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.

 

  1. Jezik, v katerem so posameznikom podane informacije v zvezi z obdelavo podatkov

 

Splošna uredba izrecno ne predpisuje jezika, v katerem je potrebno posameznikom podati informacije iz 13. in 14. člena. Ne glede na to pa Splošna uredba v prvem odstavku 12. člena določa, da sprejme upravljavec »ustrezne ukrepe, s katerimi zagotovi posamezniku, na katerega se nanašajo osebni podatki, vse informacije iz členov 13 in 14 ter sporočila iz členov 15 do 22 in 34, povezana z obdelavo, v jedrnati, pregledni, razumljivi in lahko dostopni obliki ter jasnem in preprostem jeziku, kar velja zlasti za vse informacije, namenjene posebej otroku«. Informacije morajo biti torej razumljive povprečnemu posamezniku ciljne javnosti, razumljive pa so lahko le, če so v jeziku, ki ga ta razume. To v bistvenem pomeni, da ste dolžni zagotoviti prevode informacij (politika zasebnosti podjetja, obvestilo o piškotkih in podobno) v tiste jezike, ki jih razumejo posamezniki, katerim ponujate blago oziroma storitve.

 

Tudi Smernice o preglednosti na str. 9 navajajo, da naj upravljavci, ki ciljajo na posameznike v različnih državah članicah, nudijo prevod v enega ali več jezikov teh držav. Namreč le tako so posamezniki lahko dejansko informirani v skladu z določbami Splošne uredbe. Smernice o preglednosti skupine za varstvo podatkov iz člena 29 so dostopne na povezavi:

https://www.ip-rs.si/fileadmin/user_upload/Pdf/mnenja/Mednarodna_mnenja/mnenja_na_eu_ravni/20180413_WP260rev01_Article29WPTransparencyGuidelines.pdf.

 

Ob tem je potrebno upoštevati tudi določbe nacionalnih prav držav članic. Rabo slovenskega jezika kot uradnega jezika v Republiki Sloveniji na primer ureja Zakon o javni rabi slovenščine (Uradni list RS, št. 86/04 in 8/10; v nadaljevanju ZJRS). Ta v 14. člen določa, da vse pravne osebe zasebnega prava in fizične osebe, ki opravljajo registrirano dejavnost, poslujejo s strankami na območju Republike Slovenije v slovenščini. Kadar je njihovo poslovanje namenjeno tudi tujcem, se poleg slovenščine lahko uporablja tudi tuji jezik. IP pa nadalje pojasnjuje, da ni pristojen za podajanje navodil ali pojasnil glede izvajanja Zakona o javni rabi slovenščine.

 

  1. Pristojnost poljskega nadzornega organa

 

Pristojnost nadzornih organov se v skladu s Splošno uredbo določi na podlagi sedeža upravljavca ali obdelovalca (prvi odstavek člena 3). Kar pomeni, da v kolikor v vašem primeru ne bi šlo za čezmejno obdelavo osebnih podatkov, bi postopek zoper slovensko podjetje kot morebitnega kršitelja določb Splošne uredbe najverjetneje vodil slovenski nadzorni organ. V kolikor pa gre za čezmejno obdelavo podatkov, ni nujno, da je v takšnem primeru pristojen le slovenski nadzorni organ, temveč so lahko pristojni tudi nadzorni organi drugih držav članic.

 

Glede vašega vprašanja o pristojnosti poljskega nadzornega organa, IP pojasnjuje, da lahko poljski nadzorni organ v primeru, da gre za čezmejno obdelavo podatkov, vodi postopek kot vodilni nadzorni organ ali kot zadevni nadzorni organ. Za čezmejno obdelavo osebnih podatkov gre takrat, ko (a) obdelava osebnih podatkov, ki poteka v Uniji v okviru dejavnosti sedežev upravljavca ali obdelovalca v več kot eni državi članici, kadar ima upravljavec ali obdelovalec sedež v več kot eni državi članici, bodisi (b) obdelava osebnih podatkov, ki poteka v Uniji v okviru dejavnosti edinega sedeža upravljavca ali obdelovalca, vendar obdelava znatno vpliva ali bi lahko znatno vplivala na posameznike, na katere se nanašajo osebni podatki, v več kot eni državi članici.

 

V primeru čezmejnih postopkov je potrebno določiti vodilni nadzorni organ. Tega se določi na podlagi glavnega ali edinega sedeža upravljavca ali obdelovalca. To pomeni, da lahko poljski nadzorni organ nastopa kot vodilni organ, če ima konkretno podjetje glavni sedež na Poljskem, četudi ima v Sloveniji svojo podružnico. Bistvo načela vodilnega organa je, da nadzor čezmejne obdelave osebnih podatkov vodi le en nadzorni organ v EU.

 

Ne glede na to pa lahko poljski nadzorni organ (kar je v skladu z vašim dopisom v konkretnem primeru bolj verjetno) nastopa kot zadevni nadzorni organ, to je tisti nadzorni organ, ki ga obdelava osebnih podatkov zadeva, ker: (a) ima upravljavec ali obdelovalec sedež na ozemlju države članice tega nadzornega organa; (b) obdelava znatno vpliva ali bi lahko znatno vplivala na posameznike, na katere se nanašajo osebni podatki, s prebivališčem v državi članici tega nadzornega organa, ali (c) je bila vložena pritožba pri tem nadzornem organu. Pod določenimi pogoji, ki so navedeni v drugem in petem odstavku 56. člena Splošne uredbe, mora zadevni nadzorni organ prevzeti vlogo pri obravnavanju zadeve, čeprav ni vodilni nadzorni organ.

 

IP ugotavlja, da v svojem dopisu niste podali dovolj informacij, da bi vam lahko enoznačen odgovor na vaše vprašanje. Ne glede na to pa iz zgoraj napisanega povzemamo, da je poljski nadzorni organ lahko pod določenimi pogoji pristojen za vodenje postopka zaradi kršitev določb Splošne uredbe, kakor to opisujete v svojem elektronskem sporočilu.

 

IP vas napotuje na smernice delovne skupine za varstvo podatkov iz člena 29 za opredelitev vodilnega nadzornega organa upravljavca ali obdelovalca, kjer boste lahko dobili več informaciji povezanih z določitvijo vodilnega in zadevnega nadzornega organa. Smernice so dostopne na povezavi:

https://www.ip-rs.si/fileadmin/user_upload/Pdf/Mednarodno_delovanje/wp244rev01_sl.pdf.

 

 

V upanju, da ste dobili odgovor na svoje vprašanje, vas lepo pozdravljamo.

 

 

Mojca Prelesnik, univ.dipl.prav.,                                                 

informacijska pooblaščenka

 

 

Pripravila:                                                                                                                                

Neja Domnik, mag. prav.,

raziskovalka pri IP