Objava reklamnih materialov na spletni strani

Datum

17.11.2023

Številka

07121-1/2023/1436

Kategorije

Definicija OP, Elektronska pošta, Informiranje posameznika, Privolitev

Informacijski pooblaščenec (v nadaljevanju: IP) je po e-pošti prejel vaše zaprosilo za mnenje. Navajate, da podjetje izdeluje reklamne materiale, npr. table ter vizitke in ima svojo spletno stran. Sprašujete, ali je za objavo npr. fotografij vizitk ali polepljenega avtomobila z imenom podjetja in kontaktom, treba pridobiti soglasje stranke ter ali mora biti soglasje ustno ali pisno ter kakšne so potencialne sankcije.

* * *

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22, ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A, ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

Predmet varstva s Splošno uredbo in ZVOP-2 so zgolj osebni podatki posameznikov, ne pa tudi podatki, ki se nanašajo na podjetja. Pravno podlago za obdelavo osebnih podatkov morate zagotoviti torej zgolj v primeru, če bi se na reklamnem materialu nahajali osebni podatki posameznikov (npr. ime, priimek in kontaktni podatki konkretnih zaposlenih). Ustrezna pravna podlaga bi bila privolitev posameznikov, iz dokaznega vidika pa vam priporočamo pisno obliko (v papirni ali elektronski obliki).

Če privolitev posameznikov ni podana, se lahko skladno s Splošno uredbo pravnim osebam, samostojnim podjetnikom posameznikom in posameznikom, ki samostojno opravljajo dejavnost, izreče globa, prav tako se lahko izreče globa po ZVOP-2 in sicer odgovorni osebi pravne osebe, samostojnega podjetnika posameznika ali posameznika, ki samostojno opravlja dejavnost ter posamezniku.

Obrazložitev

Uvodoma poudarjamo, da IP izven postopka inšpekcijskega nadzora oziroma drugega upravnega postopka konkretnih obdelav osebnih podatkov ne more presojati. V okviru nezavezujočega mnenja vam lahko podamo zgolj splošna pojasnila in priporočila.

Skladno s 1. točko 4. člena Splošne uredbe predstavljajo osebni podatki katero koli informacijo v zvezi z določenim ali določljivim posameznikom; določljiv posameznik je tisti, ki ga je mogoče neposredno ali posredno določiti, zlasti z navedbo identifikatorja, kot je ime, identifikacijska številka, podatki o lokaciji, spletni identifikator, ali z navedbo enega ali več dejavnikov, ki so značilni za fizično, fiziološko, genetsko, duševno, gospodarsko, kulturno ali družbeno identiteto tega posameznika. Med osebne podatke tako štejemo npr. ime, priimek, kontaktne podatke (telefonska številka, naslov e-pošte), naslov, itd.

Pojasnjujemo, da mora biti za vsako obdelavo osebnih podatkov podana ustrezna pravna podlaga skladno s prvim odstavkom 6. člena Splošne uredbe:

(a)posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov;

(b)obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe;

(c)obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca;

(d)obdelava je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe;

(e)obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu;

(f)obdelava je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok.

Pri tem opozarjamo, da se točka (f) ne uporablja za obdelavo s strani javnih organov pri opravljanju njihovih nalog.

Nadalje pojasnjujemo, da so predmet varstva s Splošno uredbo in ZVOP-2 zgolj osebni podatki posameznikov, ne pa tudi podatki, ki se nanašajo na podjetja. To pomeni, da ime podjetja in npr. elektronski naslov podjetja (npr. v obliki info@podjetje.si), v okviru katerega posameznik ni določljiv, načeloma ni osebni podatek.

Pravno podlago za obdelavo osebnih podatkov morate zagotoviti torej zgolj v primeru, če bi se na reklamnem materialu nahajali osebni podatki posameznikov (npr. ime, priimek in kontaktni podatki konkretnih zaposlenih). Elektronski naslov zaposlenega, npr. v obliki ime.priimek@podjetje.si, je glede na določila Splošne uredbe osebni podatek, saj vsebuje informacijo o imenu, priimku in zaposlitvi osebe in s tem je osebo mogoče določiti ali pa postane vsaj določljiva. To pomeni, da je za zakonito obdelavo navedenega elektronskega naslova zaposlenega potrebno imeti ustrezno pravno podlago (tudi, če je naslov npr. javno objavljen na spletnih straneh). Ustrezna pravna podlaga bi bila, kot navajate tudi sami, privolitev posameznikov po točki (a) prvega odstavka 6. člena Splošne uredbe. Poudarjamo, da mora biti privolitev vedno prostovoljna, specifična, informirana ter nedvoumna in da se lahko kadarkoli prekliče. Upravljavec mora natančno opredeliti, kakšen je namen podane privolitve, na kakšen način bodo prejeti podatki obdelani in kje bodo objavljeni. Glede na zahtevo, da mora biti privolitev informirana, naj vsebuje torej naslednje:

-podatek o identiteti upravljavca (npr. ime podjetja),

-konkretno opredeljen namen za vsako posamezno obdelavo, za katero je zahtevana posamezna privolitev,

-navedbo vrst osebnih podatkov, ki bodo zbrani in obdelovani,

-obstoj pravice do umika privolitve,

-obvestilo posamezniku, da ima pravico, da zanj ne velja odločitev, ki temelji zgolj na avtomatizirani obdelavi, vključno z oblikovanjem profilov,

-obvestilo posamezniku o morebitnih tveganjih pri prenosu osebnih podatkov v tretjo državo ali mednarodno organizacijo.

Oblika pridobivanja privolitve je v celoti v rokah upravljavca, ki naj poišče način, ki najbolj ustreza organizaciji oz. posameznim poslovnim procesom. Iz dokaznega vidika IP priporoča pisno obliko (v papirni ali npr. elektronski obliki), pri čemer je treba tudi zagotoviti, da je umik privolitve mogoč v tako enostavni obliki, kot je bila dana privolitev in da ga je možno kadarkoli izvesti. O možnosti umika privolitve je treba posameznike obvestiti že pred samo podajo privolitve. Več o privolitvi in njenih obveznih sestavinah si tako lahko preberete na spletni strani IP: https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/kljucna-podrocja-uredbe/privolitev/.

Preden posamezniki izpolnijo obrazec s privolitvijo, morajo biti tudi podrobno informirani o obdelavi osebnih podatkov, kot to določa 13. člen Splošne uredbe. Tako morajo npr. prejeti morajo informacije o: namenih ter pravni podlagi za obdelavo osebnih podatkov; uporabnikih osebnih podatkov; obdobju hrambe osebnih podatkov; pravicah posameznika, itd. Več informacij glede obveščanja posameznikov je dostopnih na: https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/ključna-področja-uredbe/obveščanje-posameznikov-o-obdelavi-osebnih-podatkov.

V zvezi z vašim vprašanjem, kakšne so potencialne sankcije pojasnjujemo, da 95. člen ZVOP-2 določa, da se sankcije za kršitve, ki jih predpisuje Splošna uredba, izrekajo pravnim osebam, samostojnim podjetnikom posameznikom in posameznikom, ki samostojno opravljajo dejavnost kot globe za prekrške, v višini in razponih, kot jih določa Splošna uredba. Navedeno pomeni, da se lahko upravljavcu glede kršitev osnovnih načel obdelav, vključno s pogoji za privolitev, skladno s petim odstavkom 83. člena Splošne uredbe naloži upravna globa v znesku do 20 000 000 EUR ali v primeru družbe v znesku do 4 % skupnega svetovnega letnega prometa v preteklem proračunskem letu, odvisno od tega, kateri znesek je višji. Globe za odgovorne osebe pravne osebe, samostojnega podjetnika posameznika ali posameznika, ki samostojno opravlja dejavnost in za posameznike pa nadalje opredeljuje 96. člen ZVOP-2, npr. za navedeno kršitev se lahko npr. odgovorni osebi izreče globa od 200 do 8.000 EUR, posamezniku pa od 200 do 2.000 EUR. Konkretna višina globe se za morebitni prekršek določi z upoštevanjem določenih dejavnikov, kot so narava, teža in trajanje kršitve, sprejeti ukrepi s strani upravljavca, predhodne kršitve, itd. Računati je treba seveda tudi z morebitnimi odškodninskimi zahtevki posameznikov, za kar pa so pristojna sodišča.

V upanju, da ste prejeli odgovor na svoje vprašanje, vas lepo pozdravljamo.

Mojca Prelesnik, univ. dipl. prav., informacijska pooblaščenka

Pripravila

Barbara Žurej, univ. dipl. prav., svetovalka pooblaščenca za preventivo