Informacijski pooblaščenec Republika Slovenija
   
dekorativna slika

Privolitev

+ -

Na kratko

Kdaj je privolitev veljavna?

Kateri so dodatni pogoji za pridobitev veljavne privolitve?

Kako pridobiti veljavno privolitev otrok?

Kako je s privolitvijo za znanstveno raziskovanje?

Na kratko

  • Splošna uredba določa pridobivanje veljavnih privolitev na način, da daje posameznikom pravo moč odločanja, komu in pod kakšnimi pogoji dovolijo obdelavo svojih osebnih podatkov. Večji nadzor posameznikov nad lastnimi podatki lahko okrepi njihovo zaupanje v upravljavce, na drugi strani pa upravljavci, ki dosledno spoštujete izraženo (ne)strinjanje, lahko dokažete, da ste zaupanja vredni.
  • Privolitev posameznika je ena od šestih veljavnih pravnih podlag za zakonito obdelavo, kot jih določa Splošna uredba. Pogosto se izkaže, da imate kot upravljavec podlago za obdelavo drugje (pogodba ali zakonska obveznost), zato preverite, kdaj je privolitev sploh primerna.
  • ZVOP-2 ne spreminja določb Splošne uredbe glede privolitve, ureja pa dopustnost privolitve v javnem sektorju in podrobneje ureja privolitev otroka v storitve informacijske družbe. 
  • 2. odstavek 6. člena ZVOP-2 določa, da se v javnem sektorju lahko v skladu s 1. odstavkom 6. člena ZVOP-2 obdelujejo osebni podatki posameznika, ki je dal privolitev za obdelavo svojih osebnih podatkov za enega ali več določenih namenov, če tako možnost določa zakon, sicer pa na podlagi privolitve, če ne gre za izvrševanje zakonskih pristojnosti, nalog ali oblastnih obveznosti javnega sektorja.
  • Temeljito preverite vse obrazce za soglasja, sklenjene pogodbe, splošne pogoje storitev in spletne obrazce, s katerimi ste pridobili privolitve. Kjer niso izpolnjeni vsi pogoji Splošne uredbe, boste morali pridobiti ponovne privolitve.
  • Privolitev mora biti prostovoljna, specifična, informirana in nedvoumna. Vnaprej označena okenca za privolitev ali privolitve, skrite v splošnih pogojih, ne izkazujejo prostovoljne privolitve!    
  • Pogojevanje privolitve z izvajanjem pogodbe ni dovoljeno, kadar obdelava osebnih podatkov ni nujno potrebna za izvedbo pogodbenih obveznosti.
  • Vsak namen obdelave potrebuje ločeno privolitev, zato bodite specifični, na kaj se privolitev nanaša.
  • Posameznik ima pravico, da privolitev kadarkoli prekliče. Umik naj bo enostaven in podoben načinu, kot ste privolitev pridobili (znotraj iste aplikacije, spletne strani, uporabniškega računa itd.)
  • Upravljavci morate biti zmožni dokazati, da je posameznik privolil v obdelovalo. Morate dokazati, kdo, kdaj in pod kakšnimi pogoji je podal privolitev.
  • Privolitev ne bi smela biti veljavna pravna podlaga za obdelavo, kadar obstaja očitno neravnotežje med posameznikom in upravljavcem, zlasti kadar je upravljavec javni organ in je zato malo verjetno, da je bila privolitev dana prostovoljno. Tudi delodajalci pomislite, kdaj je privolitev vaših zaposlenih resnično prostovoljna in sploh možna.
  • RELEVANTNI ČLENI SPLOŠNE UREDBE
    Uvodne  določbe 32, 33, 42, 43, 171
    Členi:  7, 8, 9
  • RELEVANTNI ČLENI ZVOP-2
    Členi: 6, 8
  • OBVEZNO BRANJE: Smernice o privolitvi Evropskega odbora za varstvo podatkov
Slika na kratko opisuje, kdaj je privolitev po Splošni uredbi dokazljiva, prostovoljna, specifična, informirana i nedvoumna. Dokazljiva je privolitev, ki omogoča, da jo lahko upravljavec kadarkoli izkaže na zahtevo nadzornega organa. Prostovoljna je privolitev, ki: zagotavlja resnično izbiro in nadzor, NE izhaja iz razmerja nesorazmerne moči med upravljavcem in posameznikom (delovno razmerje, javna oblast, itd.), NI pogoj za sklenitev pogodbe, jo lahko posameznik kadarkoli umakne, ne prinaša škodljivih posledic za posameznika, če je ne poda ali če jo umakne. Specifična je privolitev, ki je podana za konkretno opredeljen namen. Informirana je privolitev, ki jasno pove: kdo je upravljavec, za kakšen namen se bodo podatki obdelovali, kateri podatki se bodo obdelovali, da lahko posameznik privolitev kadarkoli umakne, da ima pravico, da zanj ne velja odločitev, ki temelji zgolj na avtomatizirani obdelavi, vključno z oblikovanjem profilov, o morebitnih tveganjih pri prenosu osebnih podatkov v tretjo državo ali mednarodno organizacijo. Nedvoumna je privolitev, ki je podana z izkazljivim in aktivnim dejanjem posameznika, ni domnevna.

Kdaj je privolitev veljavna?

Splošna uredba v 4. členu opredeli privolitev posameznika, na katerega se nanašajo osebni podatki, kot vsako prostovoljno, konkretno, informirano in nedvoumno izkazano voljo posameznika, na katerega se nanašajo osebni podatki, s katero z izjavo ali jasnim pritrdilnim dejanjem izrazi soglasje z obdelavo osebnih podatkov, ki se nanašajo nanj.

Veljavna privolitev mora zadostiti štirim zahtevam, in sicer mora biti:

  • prostovoljna
  • specifična,
  • informirana in
  • nedvoumna.

 Kdaj je privolitev prostovoljna?

  • Kadar je svobodno dana, torej kadar ima posameznik resnično izbiro in nadzor nad svojimi osebnimi podatki.
  • Posameznik ne sme čutiti prisile ali negativnih posledic, če privolitve ne poda. Prav tako ne sme biti postavljen v situacijo, ko privolitve ne more zavrniti ali preklicati, brez morebitnih sankcij oz. škodnih posledic.
  • Privolitev ne bi smela biti veljavna pravna podlaga za obdelavo, kadar obstaja očitno neravnotežje med posameznikom in upravljavcem, zlasti kadar je upravljavec javni organ in je zato malo verjetno, da je bila privolitev dana prostovoljno. Javni organi in delodajalci boste morali dodatno skrbno dokazati, da je privolitev prostovoljna.
  • Pogojevanje privolitve z izvajanjem pogodbe ni dovoljeno, kadar obdelava osebnih podatkov ni nujno potrebna za izvedbo pogodbenih obveznosti. V primerih, ko obdelovalci zahtevate podatke, ki so resnično nujni za izvajanje konkretne pogodbe, potem privolitev ni ustrezna pravna podlaga. Npr. spletni trgovec želi poslati naročeno blago, zato potrebuje naslov plačnika. V tem primeru je obdelava naslova nujna za izpolnitev pogodbene obveznosti, ne sme pa posredovati naslova drugim pogodbenim partnerjem. V tem primeru bi potreboval privolitev posameznika, da se strinja s posredovanjem naslova.  
  • Ko obdelava podatkov vključuje več namenov, potem mora biti privolitev dana za vsak namen posebej. Upravljavci morate pridobiti več ločenih privolitev oz. ločenih soglasij za vsako obdelavo posebej (granularnost oz. razčlenjenost privolitev).
  • Upravljavci morate izkazati, da lahko posameznik umakne svojo privolitev brez škodnih posledic (dodatnih stroškov, strašenja, zavajanja, ali drugih negativnih posledic)
  • Posameznik ima pravico, da privolitev kadarkoli umakne. Umik naj enostaven in podoben načinu, kot ste privolitev pridobili (znotraj iste aplikacije, spletne strani, uporabniškega računa itd.) O pravici do umika mora biti posameznik obveščen še preden poda svojo privolitev.

Kdaj je privolitev specifična?

  • Ko je podana za konkretno opredeljen namen. Konkreten, ekspliciten in legitimen namen je predpogoj za pridobitev veljavne privolite. Jasno opredeljen namen obdelave je orodje proti t.i. function creep pojavu. Gre za širitev ali zamegljevanje prvotnega namena, za katerega je bila podana privolitev, ki vodi v izgubo nadzora posameznika nad lastnimi podatki.
  • Informacije, potrebne za pridobitev privolitve, morajo biti jasno ločene od drugih informacij.

Kdaj je privolitev informirana?

Ko posameznik razume vsebino privolitve (s čim soglaša) in tudi način, kako lahko privolitev oz. soglasje umakne. Informirana in posledično veljavna privolitev vsebuje najmanj naslednje informacije:

  • identiteto upravljavca (npr. ime podjetja, naziv organizacije ali društva)
  • konkretno opredeljen namen za vsako posamezno obdelavo, za katero je zahtevana posamezna privolitev,
  • navedbo vrst osebnih podatkov, ki bodo zbrani in obdelovani
  • obstoj pravice do umika privolitve,
  • obvestilo posamezniku, da ima pravico, da zanj ne velja odločitev, ki temelji zgolj na avtomatizirani obdelavi, vključno z oblikovanjem profilov
  • obvestilo posamezniku o morebitnih tveganjih pri prenosu osebnih podatkov v tretjo državo ali mednarodno organizacijo.

Splošna uredba ne določa oblike, kako naj bodo informacije posredovane (ustno, pisno, avdio ali video sporočilo), vendar naj bodo dane v jasnem in preprostem jeziku, ki ga lahko povprečna oseba razume. Jezik naj bo prilagojen ciljni publiki (npr. mladoletniki, strokovna javnost). Upravljavci naj ne uporabljajo dolgih in zapletenih politik zasebnosti, polnih pravniškega žargona.

Privolitev mora biti ločena od ostalih izjav, ne sme biti, npr. del splošnih pogojev poslovanja. Tudi v pogodbi v pisni obliki (papirni obliki) mora biti privolitev predložena na način, ki se jasno razlikuje od drugih zadev, najbolje v ločenem dokumentu.

Kdaj je privolitev nedvoumna?

  • Ko posameznik izrazi soglasje z jasnim pritrdilnim ravnanjem, ki mora vedno biti dano z izjavo (pisno ali ustno, vključno z e-sredstvi) ali z izkazano aktivnostjo.
  • Če je privolitev podana ustno, naj bo zavedena, posneta, zapisana.
  • Vnaprej izpolnjeni obrazci, molk ali neaktivnost ne izkazujejo nedvoumne privolitve.
  • Privolitev ne sme biti pridobljena na način soglašanja s pogodbo ali kot soglašanje s splošnimi pogoji poslovanja.
  • Če je privolitev dana z e-sredstvi, naj bo privolitev jasna in natančna, vendar ne sme po nepotrebnem ovirati uporabe storitve, za katero se zagotavlja.  V primerih, ko bi lahko prišlo do nejasnosti ali dvoumnosti, pa naj bo iskanje privolitve izvedeno na način, da ga uporabnik ne more spregledati.
  • Oblika pridobivanja privolitve je v celoti v rokah upravljavcev, ki poiščete način, ki najbolj ustreza organizaciji oz. posameznim poslovnim procesom.  
  • Pomikanje ali drsenje po zaslonu skozi pogoje poslovanja, kjer je vmes tudi izjava o privolitvi, ne predstavlja nedvoumne privolitve. Prav tako v primerih, ko je preveč obvestil, ki zahtevajo potrditveni klik s strani posameznika (t.i. click fatigue), opozorila izgubijo pomen oz. posameznik več ne bere navodil in zgolj klika.   
  • Umik privolitve naj bo omogočen na podobno enostaven način kot je bil pridobljen.

Privolitev mora biti pridobljena pred pričetkom vsake obdelave. Če se spremeni namen obdelave ali se uvede nova obdelava, je potrebna nova privolitev.

Kaj je izrecna privolitev in kako se razlikuje od veljavne privolitve?

V določenih primerih, ko obstaja veliko tveganje za zlorabo podatkov ali je potreba posameznika po nadzoru nad osebnimi podatki večja, je potrebno pridobiti eksplicitno oz. izrecno privolitev.

Izrecno privolitev je potrebno pridobiti vedno:

  • ko obdelujete posebne vrste podatkov (9. člen Splošne uredbe)
  • pri prenosu osebnih podatkov v tretje države ali mednarodne organizacije, pri čemer niso sprejeti ustrezni zaščitni ukrepi (49. člen Splošne uredbe),
  • ko odločanje temelji izključno na avtomatizirani obdelavi, vključno s profiliranjem (usmeritev 22. člen Splošne Uredbe).

Splošna uredba predpisuje, da je za veljavno privolitev potrebno jasno pritrdilno ravnanje, zahteve za izrecno privolitev pa so postavljene višje, pri čemer se izraz izrecno nanaša na način, kako je privolitev izražena. Posameznik mora dati izraženo izjavo, priporočljivo v pisni obliki. Izrecna privolitev ni nujno v obliki podpisane (papirne) izjave, lahko je tudi, npr. izpolnjen spletni obrazec, sporočilo, poslano prek elektronske pošte, naložen skeniran dokument s podpisom ali dokument, podpisan z elektronskim podpisom. Smernice Evropskega odbora za varstvo podatkov (EDPB) svetujejo uporabo potrditve v dveh korakih ali dvostopenjskega preverjanja privolitve. Primer je potrditveno elektronsko sporočilo, ki ga upravljavec pošlje posamezniku na točki, ko zahteva njegovo privolitev. Na njegov elektronski naslov pošlje sporočilo, v katerem prosi za privolitev v obdelavo posebnih podatkov. Posameznik izrazi svojo privolitev s povratnim sporočilom, npr. »Strinjam se«. V naslednjem koraku prejme še elektronsko sporočilo s povezavo, ki jo mora klikniti ali pa SMS sporočilo s potrditveno kodo, ki jo mora vnesti.

Kateri so dodatni pogoji za pridobitev veljavne privolitve?

Upravljavci morate znati dokazati, da je posameznik privolil v obdelovalo oz. imate dokazno breme kdo, kdaj in pod kakšnimi pogoji je podal privolitev.

  • Za potrebe dokazovanja lahko upravljavci razvijete lastno metodo, ki najbolj ustreza vašim poslovnim procesom. Vendar naj zahteva po dokazljivosti privolitve ne vodi v prekomerno obdelavo podatkov.
  • Ko se obdelava konča, naj se dokaz o pridobljeni privolitvi ne hrani dlje, kot je to nujno potrebno za izpolnjevanje pravne obveznosti ali za uveljavljanje, izvajanje ali obrambo pravnih zahtevkov.
  • Splošna uredba ne določa časovnega roka, kako dolgo ostane privolitev veljavna, ampak je trajanje veljavnosti odvisno od konteksta, obsega prvotne privolitve in pričakovanj posameznikov, katerih podatki se obdelujejo. Smernice o privolitvi Evropskega odbora za varstvo podatkov svetujejo osveževanje privolitev v primernih časovni intervalih.   

Splošna uredba določa, da ima posameznik pravico, da svojo privolitev kadarkoli prekliče.

  • Upravljavci morate zagotoviti, da je umik privolitve enako enostaven kot dajanje privolitve in ga je možno kadarkoli izvesti.
  • Ko je privolitev pridobljena v elektronski obliki, prek določenega uporabniškega vmesnika znotraj spletne storitve, potem mora biti tudi umik izveden v isti obliki, npr. znotraj iste aplikacije, spletne strani, uporabniškega računa, uporabniškega vmesnika IoT naprave, elektronske pošte itd. 
  • Umik privolitve ne sme povzročiti škodnih posledic za posameznika, mora biti brezplačen ali brez zniževanja nivoja storitve.
  • Posameznik mora biti o pravici do preklica in tudi o načinu, kako lahko privolitev prekliče, obveščen še pred dajanjem privolitve.

Kako pridobiti veljavno privolitev otrok?

Otroci potrebujejo posebno varstvo glede svojih osebnih podatkov, saj se morda manj zavedajo tveganj, posledic in zaščitnih ukrepov in svojih pravic v zvezi z obdelavo osebnih podatkov. Privolitev otrok v storitve informacijske družbe urejata 8. člen Splošne uredbe in 8. člen ZVOP-2.

Tako posebno varstvo bi moralo zadevati zlasti uporabo osebnih podatkov otrok v namene trženja ali ustvarjanja osebnostnih ali uporabniških profilov in zbiranje osebnih podatkov v zvezi z otroci pri uporabi storitev, ki se nudijo neposredno otroku. 

  • Glede storitev informacijske družbe, ki se ponujajo neposredno otroku, Splošna uredba določa, da lahko države članice lahko za te namene z zakonom določijo nižjo starost, če ta starost ni nižja od 13 let. 8. člen ZVOP-2 določa, da je privolitev otroka za uporabo storitev informacijske družbe, ki se ponujajo neposredno otrokom oziroma za katere se lahko verjetno domneva, da jih bodo uporabljali otroci, je veljavna, če je otrok star 15 let ali več. Če je otrok mlajši od 15 let, je privolitev veljavna le, če jo da ali odobri eden od staršev otroka, njegov skrbnik ali oseba, ki ji je podeljena starševska skrb. Kadar se storitev informacijske družbe ponuja neodplačno, lahko privolitev odobri tudi rejnik ali predstavnik zavoda, v katerega je nameščen otrok. V primerih, ko pogoji poslovanja izvajalca storitev informacijske družbe predpisujejo višjo starost otroka za uporabo teh storitev, se upošteva starost iz navedenih pogojev poslovanja izvajalca storitev.  Privolitev otroka ne sme biti pogojena s pretiranimi pogoji s strani upravljavca, tako da bi otrok moral posredovati več osebnih podatkov, kot je potrebno za namen opravljanja takšne dejavnosti. Podobno določa Splošna uredba, ki določa, da si upravljavec ob upoštevanju razpoložljive tehnologije v takih primerih razumno prizadeva za preveritev, ali je nosilec starševske odgovornosti za otroka dal ali odobril privolitev.

Kako naj upravljavci preverjate starost otrok in soglasja staršev?

  • Ukrepi za potrjevanje starosti naj bodo razumni in sorazmerni glede na naravo in tveganja obdelave, zato naj izbran mehanizem za potrjevanje starosti upošteva tudi oceno tveganj za obdelavo.  
  • Splošna uredba zahteva potrjevanje starosti implicitno, ne eksplicitno, vendar bodo privolitve otrok, ki ne ustrezajo zahtevani starosti, neustrezne oz. bodo podatki obdelovani nezakonito.   
  • Ukrepi za potrjevanje starosti naj ne vodijo v prekomerno zbiranje osebnih podatkov.
  • Zakonodaja specifično ne daje navodil, kako naj upravljavci pridobite soglasje staršev, Evropski odbor za varstvo podatkov pa svetuje sorazmeren pristop, ki je uglašen z načelom najmanjšega obsega podatkov.
  • Evropski odbor za varstvo podatkov navaja uporabo storitev zaupanja vrednih ponudnikov preverjanja (trusted third party verification service) kot primer dobre prakse pri pridobivanju privolitev staršev. Primer je spletna igričarska platforma, ki želi soglasje staršev:

1.) V prvem koraku prosi uporabnika, da navede, ali je pod ali nad zakonsko določeno mejo,

2.) platforma ga opozori, da potrebuje soglasje starša in ga prosi za posredovanje starševega elektronskega naslova,

3.) platforma kontaktira starša na posredovani elektronski naslov in prosi za pridobitev soglasja,

4.) v primeru pritožb, mora platforma dodati še druge korake, z namenom preverjanja starosti.

  • Ko otrok dopolni starostno mejo za privolitev, dana starševska privolitev poteče in upravljavci morate pridobiti novo veljavno privolitev. Upravljavci posameznikom pošiljajte periodična sporočila, da jih spomnite, da bo privolitev otroka potekla in mora biti ponovno dana od posameznika osebno.

Starševska privolitev ni potrebna pri storitvah svetovanja ali preventive, ki se nudijo neposredno otroku (npr. spletna klepetalnica, namenjena svetovanju otrokom).

Kako je s privolitvijo za znanstveno raziskovanje?

  • Posameznik mora imeti možnost dati privolitev le določenim področjem znanstvenega raziskovanja ali delom projekta.
  • Privolitev mora biti dobro informirana, nameni obdelave pa dobro določeni, opisani in jasni, zato morajo biti določeni že od začetka. Če to ni možno, so opisi lahko bolj splošni (generalni), ki pa nikakor niso ustrezni, za posebne vrste osebnih podatkov, kot jih določa 9. člen Splošne uredbe, namreč Splošna uredba v teh primerih zahteva več skrbnosti.
  • Če projekt napreduje iz ene stopnje v drugo, mora biti privolitev dana za to naslednjo stopnjo vnaprej, še preden se projekt nadaljuje.
  • 89. člen Splošne uredbe navaja ustrezne zaščitne ukrepe, npr. psevdonimizacijo, anonimizacijo.
  • Četudi obdelava temelji na privolitvi, to ne opraviči prekomernega zbiranja osebnih podatkov glede na določen namen.