Informacijski pooblaščenec Republika Slovenija
SLO | ENG

Iskalnik po odločbah in mnenjih VOP

+ -

Opozarjamo, da  posamezna gradiva  na naši spletni strani niso prilagojena na nov evropski okvir varstva osebnih podatkov, zato jih je treba uporabljati preudarno in smiselno ter ob upoštevanju nove evropske ureditve. Stare vsebine so še vedno uporabne za razumevanje prakse, saj se z novo Uredbo 2016/679 in Direktivo 2016/680, temeljni koncepti varstva osebnih podatkov in področna zakonodaja bistveno ne spreminjajo.  Stališča Informacijskega pooblaščenca, izražena v mnenjih in smernicah glede ureditve pred pričetkom uporabe Uredbe 2016/679 in implementacijo Direktive 2016/680 zato niso nujno uporabljiva za nov evropski okvir varstva osebnih podatkov.  


 

Datum: 23.10.2018
Naslov: Obdelava OP v okviru telekomunikacijskih storitev
Številka: 0712-3/2018/2063
Vsebina: Telekomunikacije in pošta
Pravni akt: Mnenje

V vašem dopisu zastavljate naslednja vprašanja in prosite Informacijskega pooblaščenca (v nadaljevanju: IP) za mnenje:

  • Ali ponudnik mobilne telefonije, ko izvaja prenos podatkov v okviru izvajanja storitev mobilne telefonije za naročnika, izvaja obdelavo osebnih podatkov? Pri tem pojasnite, da vas zanima, ali je sam prenos podatkov prek telekomunikacijskega sredstva že tudi obdelava osebnih podatkov.
  • Ob predpostavki, da gre za obdelavo osebnih podatkov, vas zanima ali ta vidik obdelave ureja Splošna uredba o varstvu podatkov?
  • Zanima vas ali mora podjetje za uporabo službenih prenosnih telefonov s ponudnikom mobilne telefonije skleniti pogodbo o pogodbeni obdelavi osebnih podatkov kakor izhaja iz točke 3, člena 28 Splošne uredbe o varstvu podatkov?
  • Je mogoče enake zahteve razširiti na ponudnike vseh vrst komunikacijskih storitev, ki jih zadeva direktiva 2002/58/EC (t.i. e-privacy direktiva)?
  • Ali obstaja seznam vrst storitev, ki jih zadeva direktiva 2002/58/EC?
  • Ali ponudnik dostopa do interneta (zgolj omogočanje povezljivosti, brez dodatnih storitev kot npr. e-poštni predali) sodi v okvir direktive 2002/58/EC?
  • Ali ponudnik VoIP telefonije sodi v okvir direktive 2002/58/EC?
  • Ali je v kontekstu teh vprašanj potrebno kakorkoli razlikovati med ponudnikom VoIP telefonije, ponudnikom »klasične zemeljske« telefonije, in ponudnikom mobilne telefonije?
  • Ali ponudnik množičnega SMS sporočanja spada pod direktivo 2002/58/EC?
  • Kako naj se v kontekstu zgornjega vprašanja razume recital 173 in člen 95 Splošne uredbe o varstvu podatkov, ob upoštevanju, da nova Uredba e-privacy še ni sprejeta? Ali v kontekstu telekomunikacijskih storitev določbe Splošne uredbe o varstvu podatkov, ki presegajo okvir dolžnosti iz e-privacy direktive, ne veljajo?

 

*************************************

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju na podlagi 58. člena Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba), 7. točke prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07, uradno prečiščeno besedilo, v nadaljevanju ZVOP-1) ter 2. člena Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.

 

*************************************

 

Ali ponudnik mobilne telefonije, ko izvaja prenos podatkov v okviru izvajanja storitev mobilne telefonije za naročnika, izvaja obdelavo osebnih podatkov? Pri tem pojasnite, da vas zanima, ali je sam prenos podatkov prek telekomunikacijskega sredstva že tudi obdelava osebnih podatkov.

 

Da. Splošna uredba v 2. odstavku člena 4 opredeljuje obdelavo osebnih podatkov kot »vsako dejanje ali niz dejanj, ki se izvaja v zvezi z osebnimi podatki ali nizi osebnih podatkov z avtomatiziranimi sredstvi ali brez njih, kot je zbiranje, beleženje, urejanje, strukturiranje, shranjevanje, prilagajanje ali spreminjanje, priklic, vpogled, uporaba, razkritje s posredovanjem, razširjanje ali drugačno omogočanje dostopa, prilagajanje ali kombiniranje, omejevanje, izbris ali uničenje«.

 

Izhajajoč iz opisane opredelitve tudi prenos osebnih podatkov prek telekomunikacijskega omrežja že predstavlja obdelavo osebnih podatkov.

 

Ob predpostavki, da gre za obdelavo osebnih podatkov, vas zanima ali ta vidik obdelave ureja Splošna uredba o varstvu podatkov?

 

Da.

 

Zanima vas ali mora podjetje za uporabo službenih prenosnih telefonov s ponudnikom mobilne telefonije skleniti pogodbo o pogodbeni obdelavi osebnih podatkov kakor izhaja iz točke 3, člena 28 Splošne uredbe o varstvu podatkov?

 

Ne. Ponudnik mobilne telefonije v tem primeru ne nastopa kot pogodbeni obdelovalec, ampak kot ločeni (samostojni) upravljavec osebnih podatkov. Priporočamo, da si preberete Smernice o pogodbeni obdelavi (predvsem stran 10, kjer je podan odgovor na podobno vprašanje), ki so objavljene na spletni strani IP: https://www.ip-rs.si/fileadmin/user_upload/Pdf/smernice/Smernice_o_pogodbeni_obdelavi_web.pdf

 

Je mogoče enake zahteve razširiti na ponudnike vseh vrst komunikacijskih storitev, ki jih zadeva direktiva 2002/58/EC (t.i. e-privacy direktiva)? Ali obstaja seznam vrst storitev, ki jih zadeva direktiva 2002/58/EC? Ali ponudnik dostopa do interneta (zgolj omogočanje povezljivosti, brez dodatnih storitev kot npr. e-poštni predali) sodi v okvir direktive 2002/58/EC? Ali ponudnik VoIP telefonije sodi v okvir direktive 2002/58/EC? Ali je v kontekstu teh vprašanj potrebno kakorkoli razlikovati med ponudnikom VoIP telefonije, ponudnikom »klasične zemeljske« telefonije, in ponudnikom mobilne telefonije? Ali ponudnik množičnega SMS sporočanja spada pod direktivo 2002/58/EC?

 

Predlagamo, da se v zvezi z navedenimi vprašanji obrnete na Agencijo za komunikacijska omrežja in storitve RS (v nadaljevanju: AKOS), ki je pristojna za vsebinska pojasnila s področja direktive 2002/58/EC.

 

Kako naj se v kontekstu zgornjega vprašanja razume recital 173 in člen 95 Splošne uredbe o varstvu podatkov, ob upoštevanju, da nova Uredba o e-zasebnosti (ang. e-privacy regulation) še ni sprejeta? Ali v kontekstu telekomunikacijskih storitev določbe Splošne uredbe o varstvu podatkov, ki presegajo okvir dolžnosti iz direktive o e-zasebnosti, ne veljajo?

 

V zvezi z opisano dilemo je potrebno upoštevati določbe Splošne uredbe glede obdelave osebnih podatkov, razen kjer in kadar področna zakonodaja podrobneje ureja specifične vidike obdelave osebnih podatkov. V delih, ki jih ureja npr. Direktiva 2002/58/EC in na njeni podlagi Zakon o elektronskih komunikacijah (kadar gre za področje obdelave osebnih podatkov v okviru telekomunikacijskih storitev), veljajo določbe teh področnih predpisov.

 

Pripravil:

mag. Matjaž Drev,

državni nadzornik za varstvo osebnih podatkov

 

 

Mojca Prelesnik, univ. dipl, prav.,

Informacijska pooblaščenka