Informacijski pooblaščenec Republika Slovenija
SLO | ENG

Privolitev

+ -

Na kratko

  • Uredba določa pridobivanje veljavnih privolitev na način, da daje posameznikom pravo moč odločanja, komu in pod kakšnimi pogoji dovolijo obdelavo svojih osebnih podatkov. Večji nadzor posameznikov nad lastnimi podatki lahko okrepi njihovo zaupanje v upravljavce, na drugi strani pa upravljavci, ki dosledno spoštujete izraženo (ne)strinjanje, lahko dokažete, da ste zaupanja vredni.
  • Privolitev posameznika je ena od šestih veljavnih pravnih podlag za zakonito obdelavo, kot jih določa Uredba. Pogosto se izkaže, da imate kot upravljavec podlago za obdelavo drugje (pogodba ali zakonska obveznost), zato preverite, kdaj je privolitev sploh primerna.  
  • Temeljito preverite vse obrazce za soglasja, sklenjene pogodbe, splošne pogoje storitev in spletne obrazce, s katerimi ste pridobili privolitve. Kjer niso izpolnjeni vsi pogoji Uredbe, boste morali pridobiti ponovne privolitve.
  • Privolitev mora biti prostovoljna, specifična, informirana in nedvoumna. Vnaprej označena okenca za privolitev ali privolitve, skrite v splošnih pogojih, ne izkazujejo prostovoljne privolitve!    
  • Pogojevanje privolitve z izvajanjem pogodbe ni dovoljeno, kadar obdelava osebnih podatkov ni nujno potrebna za izvedbo pogodbenih obveznosti.
  • Vsak namen obdelave potrebuje ločeno privolitev, zato bodite specifični, na kaj se privolitev nanaša.
  • Posameznik ima pravico, da privolitev kadarkoli prekliče. Umik naj bo enostaven in podoben načinu, kot ste privolitev pridobili (znotraj iste aplikacije, spletne strani, uporabniškega računa itd.)
  • Upravljavci morate biti zmožni dokazati, da je posameznik privolil v obdelovalo. Morate dokazati, kdo, kdaj in pod kakšnimi pogoji je podal privolitev.
  • Privolitev ne bi smela biti veljavna pravna podlaga za obdelavo, kadar obstaja očitno neravnotežje med posameznikom in upravljavcem, zlasti kadar je upravljavec javni organ in je zato malo verjetno, da je bila privolitev dana prostovoljno. Tudi delodajalci pomislite, kdaj je privolitev vaših zaposlenih resnično prostovoljna in sploh možna.
  • RELEVANTNI ČLENI UREDBE
    Uvodne  določbe 32, 33, 42, 43, 171
    Členi:  7, 8, 9
  • OBVEZNO BRANJE: Smernice o privolitvah Delovne skupine za varstvo podatkov iz člena 29

Kdaj je privolitev veljavna?

Uredba v 4. členu opredeli privolitev posameznika, na katerega se nanašajo osebni podatki, kot vsako prostovoljno, konkretno, informirano in nedvoumno izkazano voljo posameznika, na katerega se nanašajo osebni podatki, s katero z izjavo ali jasnim pritrdilnim dejanjem izrazi soglasje z obdelavo osebnih podatkov, ki se nanašajo nanj.

Veljavna privolitev mora zadostiti štirim zahtevam, in sicer mora biti:

  • prostovoljna
  • specifična,
  • informirana in
  • nedvoumna.

Kjer niso izpolnjeni vsi pogoji Uredbe, boste morali po 25. 5. 2018 pridobiti ponovne privolitve!

Kdaj je privolitev prostovoljna?

  • Kadar je svobodno dana, torej kadar ima posameznik resnično izbiro in nadzor nad svojimi osebnimi podatki.
  • Posameznik ne sme čutiti prisile ali negativnih posledic, če privolitve ne poda. Prav tako ne sme biti postavljen v situacijo, ko privolitve ne more zavrniti ali preklicati, brez morebitnih sankcij oz. škodnih posledic.
  • Privolitev ne bi smela biti veljavna pravna podlaga za obdelavo, kadar obstaja očitno neravnotežje med posameznikom in upravljavcem, zlasti kadar je upravljavec javni organ in je zato malo verjetno, da je bila privolitev dana prostovoljno. Javni organi in delodajalci boste morali dodatno skrbno dokazati, da je privolitev prostovoljna.
  • Pogojevanje privolitve z izvajanjem pogodbe ni dovoljeno, kadar obdelava osebnih podatkov ni nujno potrebna za izvedbo pogodbenih obveznosti. V primerih, ko obdelovalci zahtevate podatke, ki so resnično nujni za izvajanje konkretne pogodbe, potem privolitev ni ustrezna pravna podlaga. Npr. spletni trgovec želi poslati naročeno blago, zato potrebuje naslov plačnika. V tem primeru je obdelava naslova nujna za izpolnitev pogodbene obveznosti, ne sme pa posredovati naslova drugim pogodbenim partnerjem. V tem primeru bi potreboval privolitev posameznika, da se strinja s posredovanjem naslova.  
  • Ko obdelava podatkov vključuje več namenov, potem mora biti privolitev dana za vsak namen posebej. Upravljavci morate pridobiti več ločenih privolitev oz. ločenih soglasij za vsako obdelavo posebej (granularnost oz. razčlenjenost privolitev).
  • Upravljavci morate izkazati, da lahko posameznik umakne svojo privolitev brez škodnih posledic (dodatnih stroškov, strašenja, zavajanja, ali drugih negativnih posledic)
  • Posameznik ima pravico, da privolitev kadarkoli umakne. Umik naj enostaven in podoben načinu, kot ste privolitev pridobili (znotraj iste aplikacije, spletne strani, uporabniškega računa itd.) O pravici do umika mora biti posameznik obveščen še preden poda svojo privolitev.

Kdaj je privolitev specifična?

  • Ko je podana za konkretno opredeljen namen. Konkreten, ekspliciten in legitimen namen je predpogoj za pridobitev veljavne privolite. Jasno opredeljen namen obdelave je orodje proti t.i. function creep pojavu. Gre za širitev ali zamegljevanje prvotnega namena, za katerega je bila podana privolitev, ki vodi v izgubo nadzora posameznika nad lastnimi podatki.
  • Informacije, potrebne za pridobitev privolitve, morajo biti jasno ločene od drugih informacij.

Kdaj je privolitev informirana?

Ko posameznik razume vsebino privolitve (s čim soglaša) in tudi način, kako lahko privolitev oz. soglasje umakne. Informirana in posledično veljavna privolitev vsebuje najmanj naslednje informacije:

  • identiteto upravljavca (npr. ime podjetja, naziv organizacije ali društva)
  • konkretno opredeljen namen za vsako posamezno obdelavo, za katero je zahtevana posamezna privolitev,
  • navedbo vrst osebnih podatkov, ki bodo zbrani in obdelovani
  • obstoj pravice do umika privolitve,
  • obvestilo posamezniku, da ima pravico, da zanj ne velja odločitev, ki temelji zgolj na avtomatizirani obdelavi, vključno z oblikovanjem profilov
  • obvestilo posamezniku o morebitnih tveganjih pri prenosu osebnih podatkov v tretjo državo ali mednarodno organizacijo.

Uredba ne določa oblike, kako naj bodo informacije posredovane (ustno, pisno, avdio ali video sporočilo), vendar naj bodo dane v jasnem in preprostem jeziku, ki ga lahko povprečna oseba razume. Jezik naj bo prilagojen ciljni publiki (npr. mladoletniki, strokovna javnost). Upravljavci naj ne uporabljajo dolgih in zapletenih politik zasebnosti, polnih pravniškega žargona.

Privolitev mora biti ločena od ostalih izjav, ne sme biti, npr. del splošnih pogojev poslovanja. Tudi v pogodbi v pisni obliki (papirni obliki) mora biti privolitev predložena na način, ki se jasno razlikuje od drugih zadev, najbolje v ločenem dokumentu.

Kdaj je privolitev nedvoumna?

  • Ko posameznik izrazi soglasje z jasnim pritrdilnim ravnanjem, ki mora vedno biti dano z izjavo (pisno ali ustno, vključno z e-sredstvi) ali z izkazano aktivnostjo.
  • Če je privolitev podana ustno, naj bo zavedena, posneta, zapisana.
  • Vnaprej izpolnjeni obrazci, molk ali neaktivnost ne izkazujejo nedvoumne privolitve.
  • Privolitev ne sme biti pridobljena na način soglašanja s pogodbo ali kot soglašanje s splošnimi pogoji poslovanja.
  • Če je privolitev dana z e-sredstvi, naj bo privolitev jasna in natančna, vendar ne sme po nepotrebnem ovirati uporabe storitve, za katero se zagotavlja.  V primerih, ko bi lahko prišlo do nejasnosti ali dvoumnosti, pa naj bo iskanje privolitve izvedeno na način, da ga uporabnik ne more spregledati.
  • Oblika pridobivanja privolitve je v celoti v rokah upravljavcev, ki poiščete način, ki najbolj ustreza organizaciji oz. posameznim poslovnim procesom.  
  • Pomikanje ali drsenje po zaslonu skozi pogoje poslovanja, kjer je vmes tudi izjava o privolitvi, ne predstavlja nedvoumne privolitve. Prav tako v primerih, ko je preveč obvestil, ki zahtevajo potrditveni klik s strani posameznika (t.i. click fatigue), opozorila izgubijo pomen oz. posameznik več ne bere navodil in zgolj klika.   
  • Umik privolitve naj bo omogočen na podobno enostaven način kot je bil pridobljen.

Privolitev mora biti pridobljena pred pričetkom vsake obdelave. Če se spremeni namen obdelave ali se uvede nova obdelava, je potrebna nova privolitev.

Kaj je izrecna privolitev in kako se razlikuje od veljavne privolitve?

V določenih primerih, ko obstaja veliko tveganje za zlorabo podatkov ali je potreba posameznika po nadzoru nad osebnimi podatki večja, je potrebno pridobiti eksplicitno oz. izrecno privolitev.

Izrecno privolitev je potrebno pridobiti vedno:

  • ko obdelujete posebne vrste podatkov (usmeritev na 9. člen Uredbe)
  • pri prenosu osebnih podatkov v tretje države ali mednarodne organizacije, pri čemer niso sprejeti ustrezni zaščitni ukrepi (usmeritev na 49. člen Uredbe),
  • ko odločanje temelji izključno na avtomatizirani obdelavi, vključno s profiliranjem (usmeritev 22. člen Uredbe).

Uredba predpisuje, da je za veljavno privolitev potrebno jasno pritrdilno ravnanje, zahteve za izrecno privolitev pa so postavljene višje, pri čemer se izraz izrecno nanaša na način, kako je privolitev izražena. Posameznik mora dati izraženo izjavo, priporočljivo v pisni obliki. Izrecna privolitev ni nujno v obliki podpisane (papirne) izjave, lahko je tudi, npr. izpolnjen spletni obrazec, sporočilo, poslano prek elektronske pošte, naložen skeniran dokument s podpisom ali dokument, podpisan z elektronskim podpisom. Smernice Delovne skupine iz člena 29 svetujejo uporabo potrditve v dveh korakih ali dvostopenjskega preverjanja privolitve. Primer je potrditveno elektronsko sporočilo, ki ga upravljavec pošlje posamezniku na točki, ko zahteva njegovo privolitev. Na njegov elektronski naslov pošlje sporočilo, v katerem prosi za privolitev v obdelavo posebnih podatkov. Posameznik izrazi svojo privolitev s povratnim sporočilom, npr. »Strinjam se«. V naslednjem koraku prejme še elektronsko sporočilo s povezavo, ki jo mora klikniti ali pa SMS sporočilo s potrditveno kodo, ki jo mora vnesti. 

Kateri so dodatni pogoji za pridobitev veljavne privolitve?

Upravljavci morate znati dokazati, da je posameznik privolil v obdelovalo oz. imate dokazno breme kdo, kdaj in pod kakšnimi pogoji je podal privolitev.

  • Za potrebe dokazovanja lahko upravljavci razvijete lastno metodo, ki najbolj ustreza vašim poslovnim procesom. Vendar naj zahteva po dokazljivosti privolitve ne vodi v prekomerno obdelavo podatkov.
  • Ko se obdelava konča, naj se dokaz o pridobljeni privolitvi ne hrani dlje, kot je to nujno potrebno za izpolnjevanje pravne obveznosti ali za uveljavljanje, izvajanje ali obrambo pravnih zahtevkov.
  • Uredba ne določa časovnega roka, kako dolgo ostane privolitev veljavna, ampak je trajanje veljavnosti odvisno od konteksta, obsega prvotne privolitve in pričakovanj posameznikov, katerih podatki se obdelujejo. Smernice Delovne skupine iz člena 29 svetujejo osveževanje privolitev v primernih časovni intervalih.   

Uredba določa, da ima posameznik pravico, da svojo privolitev kadarkoli prekliče.

  • Upravljavci morate zagotoviti, da je umik privolitve enako enostaven kot dajanje privolitve in ga je možno kadarkoli izvesti.
  • Ko je privolitev pridobljena v elektronski obliki, prek določenega uporabniškega vmesnika znotraj spletne storitve, potem mora biti tudi umik izveden v isti obliki, npr. znotraj iste aplikacije, spletne strani, uporabniškega računa, uporabniškega vmesnika IoT naprave, elektronske pošte itd. 
  • Umik privolitve ne sme povzročiti škodnih posledic za posameznika, mora biti brezplačen ali brez zniževanja nivoja storitve.
  • Posameznik mora biti o pravici do preklica in tudi o načinu, kako lahko privolitev prekliče, obveščen še pred dajanjem privolitve.

Kako pridobiti veljavno privolitev otrok?

Otroci potrebujejo posebno varstvo glede svojih osebnih podatkov, saj se morda manj zavedajo tveganj, posledic in zaščitnih ukrepov in svojih pravic v zvezi z obdelavo osebnih podatkov. Privolitev otrok ureja 8. člen Uredbe, pri čemer morata biti izpolnjena dva pogoja:

  1. obdelava je povezana s storitvami informacijske družbe, ki se ponujajo neposredno otroku (usmeritev na 25. točko 4.člena Uredbe) in
  2. obdelava temelji na privolitvi.
  • Tako posebno varstvo bi moralo zadevati zlasti uporabo osebnih podatkov otrok v namene trženja ali ustvarjanja osebnostnih ali uporabniških profilov in zbiranje osebnih podatkov v zvezi z otroci pri uporabi storitev, ki se nudijo neposredno otroku. 
  • Uredba določa, da je glede storitev informacijske družbe, ki se ponujajo neposredno otroku, obdelava osebnih podatkov otroka zakonita, kadar ima otrok vsaj 16 let. Kadar je otrok mlajši od 16 let, je takšna obdelava zakonita le, če privolitev da ali avtorizira nosilec starševske odgovornosti. Države članice lahko za te namene z zakonom določijo nižjo starost, če ta starost ni nižja od 13 let. Če bo potrjen predlog ZVOP-2, bo privolitev veljavna, če jo bo podala mladoletna oseba, stara 15 let ali več. 

Kako naj upravljavci preverjate starost otrok in soglasja staršev?

  • Ukrepi za potrjevanje starosti naj bodo razumni in sorazmerni glede na naravo in tveganja obdelave, zato naj izbran mehanizem za potrjevanje starosti upošteva tudi oceno tveganj za obdelavo.  
  • Uredba zahteva potrjevanje starosti implicitno, ne eksplicitno, vendar bodo privolitve otrok, ki ne ustrezajo zahtevani starosti, neustrezne oz. bodo podatki obdelovani nezakonito.   
  • Ukrepi za potrjevanje starosti naj ne vodijo v prekomerno zbiranje osebnih podatkov.
  • Uredba ne daje navodil, kako naj upravljavci pridobite soglasje staršev, Delovna skupina iz člena 29 pa svetuje sorazmeren pristop, ki je uglašen z načelom najmanjšega obsega podatkov.
  • Delovna skupina iz člena 29 navaja uporabo storitev zaupanja vrednih ponudnikov preverjanja (trusted third party verification service) kot primer dobre prakse pri pridobivanju privolitev staršev. Primer je spletna igričarska platforma, ki želi soglasje staršev:

1.) V prvem koraku prosi uporabnika, da navede, ali je pod ali nad zakonsko določeno mejo,

2.) platforma ga opozori, da potrebuje soglasje starša in ga prosi za posredovanje starševega elektronskega naslova,

3.) platforma kontaktira starša na posredovani elektronski naslov in prosi za pridobitev soglasja,

4.) v primeru pritožb, mora platforma dodati še druge korake, z namenom preverjanja starosti.

  • Ko otrok dopolni starostno mejo za privolitev, dana starševska privolitev poteče in upravljavci morate pridobiti novo veljavno privolitev. Upravljavci posameznikom pošiljajte periodična sporočila, da jih spomnite, da bo privolitev otroka potekla in mora biti ponovno dana od posameznika osebno.

Starševska privolitev ni potrebna pri storitvah svetovanja ali preventive, ki se nudijo neposredno otroku (npr. spletna klepetalnica, namenjena svetovanju otrokom).

Kako je s privolitvijo za znanstveno raziskovanje?

  • Posameznik mora imeti možnost dati privolitev le določenim področjem znanstvenega raziskovanja ali delom projekta.
  • Privolitev mora biti dobro informirana, nameni obdelave pa dobro določeni, opisani in jasni, zato morajo biti določeni že od začetka. Če to ni možno, so opisi lahko bolj splošni (generalni), ki pa nikakor niso ustrezni, za posebne vrste osebnih podatkov, kot jih določa 9. člen Uredbe, namreč Uredba v teh primerih zahteva več skrbnosti.
  • Če projekt napreduje iz ene stopnje v drugo, mora biti privolitev dana za to naslednjo stopnjo vnaprej, še preden se projekt nadaljuje.
  • 89. člen Uredbe navaja ustrezne zaščitne ukrepe, npr. psevdonimizacijo, anonimizacijo.
  • Četudi obdelava temelji na privolitvi, to ne opraviči prekomernega zbiranja osebnih podatkov glede na določen namen.