Trženje na elektronski naslov na podlagi obrazca, ki ga je izpolnila tretja oseba

Datum

23.12.2025

Številka

07121-1/2025/1464

Kategorije

Neposredno trženje, nagradne igre

pri Informacijskem pooblaščencu (IP) smo 23. 11. 2025 prejeli vaše zaprosilo za mnenje glede prejemanja neželenih tržnih sporočil po elektronski pošti. Pojasnjujete, da je tretja oseba v spletni obrazec določenega podjetja vnesla vaše podatke, na podlagi česar vas je upravljavec kontaktiral. Pojasnjujete, da ste upravljavca nemudoma obvestili, da obrazca niste izpolnili vi, ter zahtevali, da vaših osebnih podatkov ne uporablja. Upravljavec se vam je opravičil, vendar vam je že naslednji dan poslal komercialno sporočilo z akcijskimi ponudbami. 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22, ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A, ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

Uporaba elektronske pošte je za namene neposrednega trženja dovoljena le na podlagi predhodnega soglasja naročnika oziroma uporabnika, oziroma ob izpolnjenih pogojih za izjemo glede podobnih izdelkov ali storitev, kadar je podjetje e-naslov pridobilo neposredno od kupca v okviru prodajne transakcije.

Nadzor nad izvajanjem določb glede izvajanja neposrednega trženja po e-pošti izvaja AKOS, zato IP v delu, ki se nanaša na neželeno komunikacijo preko e-pošte, ni pristojen za ukrepanje. Če torej pošiljatelju e-sporočila niste podali soglasja za prejemanje komercialnih e-sporočil in tudi niste kupec njihovih izdelkov ali storitev, lahko podate prijavo na AKOS.

Z vidika varstva osebnih podatkov pa lahko pri pošiljatelju neželenih e-sporočil (upravljavcu) na podlagi 17. člena Splošne uredbe o varstvu podatkov zahtevate izbris svojih osebnih podatkov (če so bili npr. pridobljeni nezakonito), upravljavec pa mora na vašo zahtevo odgovoriti najpozneje v enem mesecu. Če na vašo zahtevo ne odgovori ali jo zavrne, lahko pri IP vložite pritožbo.

Glede varnostnih ukrepov pojasnjujemo, da je določitev ustrezne stopnje varnosti podatkov naloga upravljavca, pri čemer mora ta upoštevati stopnjo tehnološkega razvoja in stroškov izvajanja ter narave, obsega, okoliščin in namenov obdelave, pa tudi tveganj za pravice in svoboščine posameznikov, ki se razlikujejo po verjetnosti in resnosti.

Glede morebitnih sankcij oziroma globe pa pojasnjujemo, da je za kršitve ZEKom-2 na področju neželene elektronske komunikacije pristojen AKOS, ki ima tudi pristojnosti prekrškovnega organa.

Obrazložitev

Področje neželenih komunikacij z uporabo sredstev elektronske komunikacije (ang. »spam«) specialno ureja Zakon o elektronskih komunikacijah (Uradni list RS, št. 130/22, v nadaljevanju: ZEKom-2). Ta v prvem odstavku 226. člena določa, da je uporaba elektronske pošte za namene neposrednega trženja dovoljena samo na podlagi naročnikovega ali uporabnikovega predhodnega soglasja. Drugi odstavek 226. člena nadalje določa, da lahko fizična ali pravna oseba, ki od kupca svojih izdelkov ali storitev pridobi njegov elektronski naslov za elektronsko pošto, ta naslov uporablja za neposredno trženje svojih podobnih izdelkov ali storitev pod pogojem, da kupcu ponuja jasno in izrecno možnost, da brezplačno in enostavno zavrne takšno uporabo svojega elektronskega naslova takrat, ko so ti podatki za stike pridobljeni in ob vsakem sporočilu, če kupec ni zavrnil takšne uporabe že na začetku. V skladu z navedeno določbo mora imeti posameznik možnost zavrniti neposredno trženje na svoj elektronski naslov že v trenutku, ko je elektronski naslov pridobljen. Nadzor nad izvajanjem teh določb izvaja AKOS, zato IP v delu, ki se nanaša na neželeno komunikacijo preko elektronske pošte, ni pristojen za ukrepanje. Če torej niste podali soglasja za prejemanje komercialnih e-sporočil in tudi niste kupec njihovih izdelkov ali storitev, lahko glede neželenih e-sporočil podate prijavo na AKOS.

Glede podaje soglasja oziroma privolitve pa z vidika varstva osebnih podatkov pojasnjujemo, da lahko veljavna privolitev obstaja le, če je upravljavec sposoben dokazati, da jo je posameznik dal sam, prostovoljno, informirano in nedvoumno. Če je bil obrazec izpolnjen s strani tretje osebe, upravljavec pa ni vzpostavil ustreznih mehanizmov za preverjanje pristnosti oziroma identitete osebe, ki naj bi dala privolitev, takšne privolitve praviloma ni mogoče šteti za veljavno.

Splošna uredba od upravljavcev zahteva, da izvajajo ustrezne tehnične in organizacijske ukrepe za zavarovanje osebnih podatkov. Ukrepi morajo biti sorazmerni tveganjem, med drugim tudi tveganju, da nekdo zlorabi osebne podatke tretje osebe z vnosom napačnih podatkov v spletni obrazec. Upravljavec mora zagotoviti, da imajo posamezniki dejanski nadzor nad tem, ali želijo prejemati trženjska sporočila. V praksi to lahko pomeni uporabo dodatnih mehanizmov, kot je potrditveno sporočilo, zlasti v primerih, ko obrazec lahko izpolni kdorkoli. Če je mogoče osebne podatke preprosto zlorabiti in upravljavec nima vzpostavljenih mehanizmov, ki bi takšne zlorabe preprečili ali pravočasno zaznali, vzpostavljeni varnostni ukrepi verjetno niso ustrezni. Odločitev o tem, kakšno stopnjo varnosti podatkov bo upravljavec zagotavljal za vsako konkretno obdelavo podatkov, je na strani upravljavca samega, pri tej odločitvi pa mora upoštevati stopnjo tehnološkega razvoja in stroškov izvajanja ter narave, obsega, okoliščin in namenov obdelave, pa tudi tveganj za pravice in svoboščine posameznikov, ki se razlikujejo po verjetnosti in resnosti.

Dodatno pojasnjujemo, da lahko pri upravljavcu uveljavljate tudi pravico do izbrisa po 17. členu Splošne uredbe, ki določa, da ima posameznik, na katerega se nanašajo osebni podatki, pravico doseči, da upravljavec brez nepotrebnega odlašanja izbriše osebne podatke v zvezi z njim, upravljavec pa ima obveznost osebne podatke brez nepotrebnega odlašanja izbrisati, kadar velja eden od naslednjih razlogov:

·osebni podatki niso več potrebni v namene, za katere so bili zbrani ali kako drugače obdelani;

·posameznik, na katerega se nanašajo osebni podatki, prekliče privolitev, na podlagi katere poteka obdelava, in kadar za obdelavo ne obstaja nobena druga pravna podlaga;

·posameznik, na katerega se nanašajo osebni podatki, obdelavi ugovarja v skladu s členom 21(1), za njihovo obdelavo pa ne obstajajo nobeni prevladujoči zakoniti razlogi, ali pa posameznik, na katerega se nanašajo osebni podatki, obdelavi ugovarja v skladu s členom 21(2);

·osebni podatki so bili obdelani nezakonito;

·osebne podatke je treba izbrisati za izpolnitev zakonske obveznosti, ki velja za upravljavca;

·osebni podatki so bili zbrani v zvezi s ponudbo storitev informacijske družbe iz člena 8(1).

Upravljavec se mora na podano zahtevo posameznika odzvati brez nepotrebnega odlašanja, informacije oziroma zavrnilni odgovor pa mora posredovati najkasneje v enem mesecu po prejemu zahteve. V kolikor upravljavec na zahtevo za izbris ne odgovori v enomesečnem roku ali pa uveljavljanje pravice zavrne, lahko posameznik pri IP vloži pritožbo.

Glede morebitnih sankcij oziroma globe pa pojasnjujemo, da je za kršitve ZEKom-2 na področju neželene elektronske komunikacije pristojen AKOS, ki ima tudi pristojnosti prekrškovnega organa.

Lepo vas pozdravljamo.

dr. Jelena Virant Burnik, informacijska pooblaščenka