Informacijski pooblaščenec Republika Slovenija
SLO | ENG

Iskalnik po odločbah in mnenjih VOP

+ -

Opozarjamo, da  posamezna gradiva  na naši spletni strani niso prilagojena na nov evropski okvir varstva osebnih podatkov, zato jih je treba uporabljati preudarno in smiselno ter ob upoštevanju nove evropske ureditve. Stare vsebine so še vedno uporabne za razumevanje prakse, saj se z novo Uredbo 2016/679 in Direktivo 2016/680, temeljni koncepti varstva osebnih podatkov in področna zakonodaja bistveno ne spreminjajo.  Stališča Informacijskega pooblaščenca, izražena v mnenjih in smernicah glede ureditve pred pričetkom uporabe Uredbe 2016/679 in implementacijo Direktive 2016/680 zato niso nujno uporabljiva za nov evropski okvir varstva osebnih podatkov.  


 

Datum: 16.09.2014
Naslov: uporaba e-naslovov
Številka: 0712-1/2014/2923
Vsebina: Elektronska pošta
Pravni akt: Mnenje

Informacijski pooblaščenec (v nadaljevanju Pooblaščenec) je prejel vaš dopis, v katerem navajate, da za obveščanje širše javnosti uporabljate tudi e-pošto (tedenske e-novice, vabila na posamezne dogodke, razna povabila k sodelovanju ali oddaji predlogov, obvestila o odprtih razpisih ipd.). E-mail naslove ste pridobili na podlagi vpisov posameznikov na seznam prejemnikov ali ob strinjanju s tovrstnim obveščanjem pri prijavi na katerega od vaših dogodkov. Nadalje navajate, da so pri beleženju vaših aktivnosti v CRM bazi zabeleženi tudi kontaktni podatki oseb, s katerimi ste bili v stiku na druge načine (sestanki na terenu, telefonskih pogovori, svetovanja preko e-pošte, osebna svetovanja, udeležba na naših dogodkih, itd.). Zanima vas:
- ali lahko v vašo adremo za pošiljanje e-pošte (v smislu 2. odstavka 158. člena ZEKom-1) dodate tudi e-mail naslove oseb, ki so bili zbrani na zgoraj opisane načine (npr. v okviru tel. pogovora, z izmenjavo vizitk, s posredovanjem e-maila)? Če je odgovor da, ali zadostuje o predhodnem stiku zabeležka v vaši CRM bazi, ali pa je potrebno še kakšno drugo dokazilo;
- ali lahko v adremo dodate tudi e-mail naslove podjetij (npr. info@podjetje.si), ki jih pridobite na te načine oziroma so javno objavljeni, glede na to, da se po 4. odstavku 158. člena ZEKom-1, 1. in 2. odstavek nanašata samo na fizične osebe?


V nadaljevanju vam na podlagi predstavljenega dejanskega stanja ter na podlagi 7. točke prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/2007 – uradno prečiščeno besedilo; v nadaljevanju ZVOP-1) ter 2. člena Zakona o Informacijskem pooblaščencu (Uradni list RS št. 113/2005 in 51/2007-ZUstS) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.


O b r a z l o ž i t e v:

Zakonodaja v Sloveniji je glede pošiljanja neželene komunikacije (e-pošte) jasna: Zakon o elektronskih komunikacijah (Uradni list št. 109/2012 s spremembami in dopolnitvami; v nadaljevanju ZEKom-1), Zakon o varstvu potrošnikov (Uradni list št. 98/2004 s spremembami in dopolnitvami; v nadaljevanju ZVPot) in Zakon o elektronskem poslovanju na trgu (Uradni list št. 96/2009; v nadaljevanju ZEPT) vsi določajo, da pošiljanje neželene e-pošte brez vnaprejšnjega soglasja prejemnika ni dovoljeno. Nadzorni organ v primeru neželene e-pošte, poslane fizični osebi, je Agencija za komunikacijska omrežja in storitve Republike Slovenije (v nadaljevanju AKOS). V dopisu namreč citirate določbo 158. člena ZEKom-1, čigar nadzor ni v pristojnosti Pooblaščenca, temveč v pristojnosti AKOS. Upoštevajoč navedeno vam svetujemo, da vaša vprašanja naslovite tudi na AKOS.

Pooblaščenec je v zvezi z neželeno e-pošto predvsem pristojen v delu, kjer gre za zbirko osebnih podatkov (e-naslovov), ki jo vodi pošiljatelj. Zbiranje osebnih podatkov je namreč temeljna faza obdelave osebnih podatkov, zato je upoštevanje načela zakonitosti in poštenosti pri zbiranju osebnih podatkov zelo pomembno. Zasebni sektor praviloma potrebuje privolitev posameznika za obdelavo osebnih podatkov, za privolitev kot pravno podlago pa se lahko šteje le svobodno in aktivno izražena volja posameznika, da določene osebne podatke za določene namene zaupa obdelovalcu. Slednje, torej obveščanje posameznika o obdelavi osebnih podatkov, podrobneje ureja 19. člen ZVOP-1. Upravljavci baz podatkov morajo tako hraniti dokazila o privolitvi posameznikov in jih na zahtevo tudi posredovati posamezniku.

Pooblaščencu so znani primeri upravljavcev, ki so e-naslove po lastnih zatrdilih sicer zakonito pridobivali iz različnih virov – torej s privolitvijo posameznikov, hkrati pa niso imeli dokazil, da so posamezniki resnično podali privolitev, bodisi zaradi tega, ker takrat zakonodaja še ni bila v veljavi, ali ker dokazil niso dovolj pozorno hranili oz. so bila v letih uničena (npr. razne pristopne izjave, ustne privolitve, itd.). Pooblaščenec vam svetuje, da posameznikom, čigar e-naslove ste pridobili na podlagi sestankov na terenu, telefonskih pogovorov, svetovanj preko e-pošte, osebnih svetovanj, udeležbe na vaših dogodkih itd., pošljete sporočilo, v katerem jih prosite za potrditev, ali želijo prejemati vašo e-pošto z določeno vsebino in v bazi ohranite le tiste, ki bodo to potrdili. Na ta način boste pridobili dokazila o privolitvah, pri čemer pa e-naslovov posameznikov, ki takšne privolitve ne bodo podali, ne smete vključiti v vašo bazo, saj za obdelavo le-teh nimate pravne podlage. Navedeno, seveda velja pod predpostavko, da je posameznik že ob npr. sestanku na terenu prostovoljno posredoval svoj e-naslov, pri čemer pa je bil tudi obveščen, da se bo e-naslov uporabljal za določen namen.

V zvezi z vašim vprašanjem, ali lahko v adremo dodate tudi e-mail naslove podjetij, Pooblaščenec pojasnjuje, da določba 1. člena ZVOP-1 opredeljuje pravni objekt varstva osebnih podatkov, ki je lahko le posameznik (fizična oseba), in ne pravna oseba. Da gredo pravice do varstva osebnih podatkov zgolj posameznikom oziroma fizičnim osebam, menijo tudi avtorji Komentarja Ustave Republike Slovenije, ki so se glede vprašanja, ali pravice iz 38. člena Ustave Republike Slovenije pripadajo morda tudi pravnim osebam, opredelili na naslednji način: »Glede na naravo in predmet varovanja (osebni podatek) gre obravnavana pravica samo fizičnim osebam, ne pa tudi pravnim osebam.«  Na stališče, da določbe ZVOP-1 varujejo zgolj posameznike kot fizične osebe, se je postavilo tudi Ustavno sodišče Republike Slovenije, ko je v odločbi, št. U-I 298/04 z dne 27. 10. 2005, zapisalo, da uživajo varstvo osebnih podatkov le posamezniki, pri čemer takšnega varstva ne uživajo imetniki transakcijskih računov, ki so pravne osebe in fizične osebe, ki na trgu nastopajo kot gospodarski subjekt. Iz navedenega izhaja, da npr. elektronski naslov info@podjetje.si ne predstavlja osebnega podatka v smislu 6. člena ZVOP-1.

Pooblaščenec pojasnjuje, da se je do podobnega vprašanja, kot je vaše, na področju varstva osebnih podatkov že opredeljeval. Z vsebino neobveznega mnenja se lahko seznanite preko spletne strani:https://www.ip-rs.si/varstvo-osebnih-podatkov/iskalnik-po-odlocbah-in-mnenjih/odlocbe-in-mnenja-varstvo-osebnih-podatkov/, in sicer tako, da v iskalnik vpišete številko mnenja, tj. št. 0712-1/2011/2755. Mnenje je bilo izdano dne 04.11.2011.

V upanju, da smo odgovorili na vaše vprašanje, vas lepo pozdravljamo.

S spoštovanjem,

Informacijski pooblaščenec:
Mojca Prelesnik, univ. dipl. prav.,
Pooblaščenka