Pošiljanje SMS sporočil za namen pridobivanja podnapisov

Datum

26.07.2024

Številka

07121-1/2024/872

Kategorije

Neposredno trženje, nagradne igre, Pravica do seznanitve z lastnimi osebnimi podatki, Pravne podlage, Zbirke osebnih podatkov

Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaše zaprosilo za mnenje. Pojasnjujete, da ste prejeli SMS s strani upravne enote glede zbiranja podpisov za namen spremembe Kazenskega zakonika. Menite, da gre za hujšo zlorabo vaših osebnih podatkov. Zanima vas, ali je dovoljeno pridobivati kontakte podatke iz zdravstvenega kartona za namen obveščanja pacientov o stavki zdravnikov.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22; v nadaljevanju: ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, 51/07 – ZUstS-A; ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

Neželeno komunikacijo po SMS ureja ZEKom-2, ki določa, da je le ta dovoljena, če je posameznik v to privolil. Nadzor nad izvajanjem določb ZEKom-2 izvaja AKOS, IP za to ni pristojen.

Upravljavec osebnih podatkov mora za vsako obdelavo osebnih podatkov zagotoviti ustrezno pravno podlago iz prvega odstavka 6. člena Splošne uredbe. IP ugotavlja, da je SMS sporočilo najverjetneje poslala Zdravniška zbornica Slovenije in ne upravna enota. V kolikor ste član zbornice bi le-ta lahko vašo telefonsko številko obdelovala na podlagi vaše privolitve, v zvezi s pogodbo ali pogodbenim razmerjem ali zaradi svojih zakonitih interesov, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika.

Pri upravljavcu lahko uveljavljate pravico do seznanitve z lastnimi osebnimi podatki, v okviru katere lahko preverite, ali le-ta obdeluje vaše osebne podatke (telefonsko številko), za katere namene in kje jo je pridobil.

Obrazložitev

IP uvodoma pojasnjuje, da neželeno komunikacijo po SMS ureja Zakon o elektronskih komunikacijah v 226. členu (Uradni list RS, št. 130/22 in 18/23 – ZDU-1O; v nadaljevanju: ZEKom-2), ki v prvem odstavku določa, da je uporaba samodejnih klicnih in komunikacijskih sistemov za opravljanje klicev na naročnikovo telefonsko številko brez človekovega posredovanja (npr. klicni avtomati, SMS, MMS), telefaksov ali elektronske pošte za namene neposrednega trženja dovoljena samo na podlagi naročnikovega ali uporabnikovega predhodnega soglasja (privolitve). Neposredno trženje preko SMS sporočil je torej dovoljeno le, če je posameznik vanj privolil. IP pa ob tem poudarja, da ni pristojen za interpretacijo in za izvajanje nadzora nad določbami ZEKom-2, saj to sodi v pristojnost Agencije za komunikacijska omrežja in storitve RS (AKOS).

IP nadalje pojasnjuje, da je za vsako obdelavo osebnih podatkov treba zagotoviti ustrezno pravno podlago. To pomeni, da mora obstajati pravna podlaga tako za hrambo telefonske številke posameznika kot za obdelavo telefonske številke v okviru pošiljanja sporočil, saj je le-ta praviloma osebni podatek posameznika. Splošna uredba pravne podlage ureja v prvem odstavku 6. člena, kjer določa, da je obdelava zakonita le in kolikor je izpolnjen vsaj eden od naslednjih pogojev:

(a)posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov;

(b)obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katere-ga se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe;

(c)obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca;

(d)obdelava je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe;

(e)obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dode-ljene upravljavcu;

(f)obdelava je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok.«.

Ob tem je treba upoštevati, da se zadnja točka (f) ne more uporabljati za obdelavo s strani javnih organov pri opravljanju njihovih nalog.

IP v danem primeru nima dovolj informacij, da bi ocenil, na kateri pravni podlagi se v danem primeru obdelujejo vaši osebni podatki, prav tako se IP v okviru mnenja ne more konkretno opredeliti do morebitnih kršitev zakona, temveč lahko to stori šele v okviru ustreznega inšpekcijskega, upravnega ali prekrškovnega postopka, ko so mu poznane vse relevantne okoliščine primera. Prav tako iz danega primera ni povsem jasno, kdo je upravljavec podatkov. Iz posredovanega SMS sporočila je mogoče razbrati, da je le-to najverjetneje poslala Zdravniška zbornica Slovenije in ne upravna enota, kakor sami navajate. Prav tako je mogoče sklepati, da so se v okviru portala e-Uprava zbirali podpisi posameznikov za namen podaje predloga spremembe zakona Državnemu zboru, kar pa ne kaže na to, da je sporočila poslala upravna enota.

V kolikor ste član navedene zbornice, ima le-ta lahko ustrezno podlago za obdelavo vaše telefonske številke. In sicer bi jo lahko obdelovala na podlagi vaše privolitve (točka a prvega odstavka 6. člena Splošne uredbe), v zvezi s pogodbo oziroma pogodbenim razmerjem (točka b) ali zaradi zakonitih interesov, ki prevladajo nad interesi ali temeljnimi pravicami in svoboščinami posameznika (točka f).

V kolikor vam ni znano, kako upravljavec obdeluje vaše osebne podatke, vam svetujemo, da se na upravljavca obrnete z zahtevo za seznanitev z lastnimi osebnimi podatki. Glede pravice do seznanitve prvi odstavek 15. člena Splošne uredbe določa, da ima posameznik, na katerega se nanašajo osebni podatki, pravico od upravljavca dobiti potrditev, ali se v zvezi z njim obdelujejo osebni podatki, in kadar je temu tako, dostop do osebnih podatkov ter nekatere informacije o obdelavi osebnih podatkov, kot je npr. informacija o tem, za katere namene se obdelujejo osebni podatki, vse razpoložljive informacije v zvezi z virom teh informacij. V kolikor boste na upravljavca naslovili zahtevo, vam svetujemo, da natančno pojasnite v zvezi s katerimi osebnimi podatki uveljavljate svojo pravico, npr. v povezavi s svojo telefonsko številko. Več koristnih napotil v zvezi s pravico do seznanitve lahko preberete na spletni strani https://tiodlocas.si/zelim-vedeti-kaj-pocnejo-z-mojimi-podatki/, glede tega kako je pravico mogoče uveljavljati pa na strani: https://tiodlocas.si/kako-uveljavim-svoje-pravice/, pri čemer je IP pripravil neobvezen obrazec, s katerim lahko posameznik uveljavlja svojo pravico do seznanitve: https://www.ip-rs.si/obrazci/varstvo-osebnih-podatkov/.

V zvezi z vašim vprašanjem glede pridobivanja telefonske številke iz zdravstvenega kartona pacienta za namen obveščanja o stavki IP vnovič pojasnjuje, da mora za to upravljavec izkazati ustrezno pravno podlago. Vsekakor lahko obstajajo različne situacije, kjer je tudi pravna ocena zakonitosti obdelave podatkov lahko drugačna, med drugim lahko na oceno vpliva odgovor na vprašanje kdo izvaja takšno obveščanje, za kakšen namen (npr. obveščanje konkretnih posameznikov zaradi odpovedi pregleda ali obveščanje z namen pridobivanja podpore in podpisnikov konkretnih predlogov), čigave podatke obdeluje, ali ima za to ustrezno pravno podlagi ipd. Kakor že pojasnjeno, je obveznost na upravljavcu, da izkaže, da podatke obdeluje na zakonit način. IP tako ne more podati dokončnega odgovora glede zakonitosti obdelave podatkov, temveč se lahko šele v okviru konkretnega postopka opredeli do zakonitosti konkretne obdelave podatkov.

Lepo vas pozdravljamo,

Pripravila

Neja Domnik, Državna nadzornica za varstvo osebnih podatkov

dr. Jelena Burnik Virant, Informacijska pooblaščenka