Objava osebnih podatkov na spletni strani brez privolitve

Datum

17.04.2023

Številka

07121-1/2023/521

Kategorije

Prenos osebnih podatkov v tretje države ali mednarodne organizacije, Svetovni splet

Informacijski pooblaščenec (v nadaljevanju IP) je po elektronski pošti prejel vaš dopis, v katerem pojasnjujete, da ste na določeni spletni strani, ki objavlja t.i. rodbinske informacije, našli objavljeno svoje ime, domači naslov in telefonsko številko. Svojih podatkov omenjeni spletni strani niste posredovali, poskušali pa ste tudi doseči izbris osebnih podatkov prek njihovega obrazca, a neuspešno. Za izbris so namreč zahtevali še dodatne osebne podatke, da potrdijo vašo identiteto. Zanima vas, kaj lahko storite v tem primeru.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22, ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A, ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

IP proti upravljavcem, ustanovljenim izven EU, zelo omejene možnosti ukrepanja, zaradi česar vam tudi ne bi mogli praktično pomagati pri uveljavljanju vaših pravic, na primer pravice do izbrisa osebnih podatkov. Sporočimo pa vam lahko, da je proti navedenemu upravljavcu že ukrepal nizozemski nadzorni organ za varstvo osebnih podatkov, ki pa ima prav tako omejene možnosti izvrševanja svojih pristojnosti izven EU.

Glede samega preverjanja identitete ob vaši zahtevi za izbris pa lahko dodamo, da ima upravljavec osebnih podatkov v primeru upravičenega dvoma v identiteto posameznika, možnost zahtevati zagotovitev dodatnih informacij, ki so potrebne za potrditev identitete posameznika, na katerega se nanašajo osebni podatki.

Obrazložitev

IP uvodoma poudarja, da konkretnega in dokončnega odgovora o zakonitosti obdelave osebnih podatkov v okviru mnenja v nobenem primeru ne more podati, saj lahko IP posamezne primere obdelave podatkov konkretno presoja zgolj v okviru inšpekcijskega ali drugega upravnega postopka.

Nadalje vam pojasnjujemo, da je bil zoper spletno mesto, ki ga navajate, na podlagi velikega števila pritožb posameznikov zaradi težav pri uveljavljanju pravic iz Splošne uredbe že leta 2018 sprožen postopek čezmejnega sodelovanja nadzornih organov, kot ga opredeljuje 7. poglavje Splošne uredbe. V njem je bilo ugotovljeno, da ponudnik storitve nima glavne ustanovitve (sedeža) niti druge ustanovitve (npr. predstavništva) v EU, niti ni skladno z določbami 27. člena Splošne uredbe določil predstavnika v EU. Zaradi teh okoliščin postopka sodelovanja nadzornih organov v okviru mehanizma »vse na enem mestu« iz 60. člena Splošne uredbe ni mogoče izvesti.

Nadzorni organi posameznih držav EU, v kolikor gre za upravljavca iz držav izven EU brez imenovanega predstavnika, vodijo postopke samostojno in posamično, pri čemer pa se srečujejo s praktičnimi problemi na ravni dejanskega izvrševanja pooblastil zoper takšne upravljavce izven EU.

Kot primer nacionalne prakse lahko navedemo, da je zoper omenjenega upravljavca uvedel postopek nizozemski nadzorni organ, pri tem pa je v preiskavi sodeloval tudi z drugimi evropskimi nadzornimi organi ter Uradom za zasebnost Kanade. V postopku je ugotovil kršitev člena 27(1) Splošne uredbe ter z odločbo konec leta 2021 odredil zavezancu, da mora imenovati predstavnika v EU ter mu naložil visoko globo, vendar upravljavec na svojih spletnih straneh do danes še nima imenovanega predstavnika. Več o tem lahko najdete na: https://autoriteitpersoonsgegevens.nl/en/news/dutch-dpa-imposes-fine-%E2%82%AC525000-locatefamilycom.

IP je tudi skladno s 4. členom novega Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22, v nadaljevanju ZVOP-2), ki je stopil v veljavo 26. 1. 2023, pristojen za obdelavo osebnih podatkov, ki se izvaja v okviru dejavnosti ustanovitve upravljavca ali obdelovalca, ki je registrirana zunaj Evropske unije, če so dejavnosti obdelave povezane z nudenjem blaga ali storitev posameznikom v Republiki Sloveniji, ne glede na to, ali je zanje potrebno plačilo, ali če so povezane s spremljanjem delovanja ali vedenja posameznikov, če to poteka v Republiki Sloveniji. Ob tem pa IP po analizi obstoječe zakonodaje ugotavlja, da področja upravnega prava, inšpekcijskega nadzora ter prekrškovnega prava ne predvidevajo procesnih in materialnih pristojnosti IP v situacijah izvajanja postopkov s čezmejnim elementom, kot npr. vročanje pisanj, preiskovalna dejanja oziroma pravna pomoč pri opravljanju preiskovalnih dejanj, izvršitev odločb in drugo. Zaradi navedene problematike se je IP že obrnil na pristojna ministrstva s prošnjo po naboru predpisov, še posebej mednarodnopravnih instrumentov za praktično eksteritorialno uveljavljanje določb Splošne uredbe ter za sklenitev mednarodnih in bilateralnih sporazumov, ki bi to omogočali.

Če povzamemo, ima IP proti upravljavcem, ustanovljenim izven EU, žal zelo omejene možnosti ukrepanja, zaradi česar bi vam tudi težko praktično pomagali pri uveljavljanju vaših pravic, na primer pravice do izbrisa osebnih podatkov.

Pri tem pa lahko še navedemo, da ima upravljavec po Splošni uredbi sicer določene možnosti, da od posameznika, ki uveljavlja pravice po tej uredbi, zahteva identifikacijo. Šesti odstavek 12. člena Splošne uredbe namreč določa, da lahko upravljavec, kadar ima upravičen dvom v zvezi z identiteto posameznika, ki predloži zahtevo za dostop do lastnih osebnih podatkov (15. člen Splošne uredbe), zahtevo za izbris osebnih podatkov (17. člen Splošne uredbe) itn. zahteva zagotovitev dodatnih informacij, ki so potrebne za potrditev identitete posameznika, na katerega se nanašajo osebni podatki. IP je pri preučitvi situacije iz spletnih virov ugotovil, da obstaja verjetnost, da konkretni upravljavec po preverjanju identitete dejansko izbriše osebne podatke posameznika, vendar vam tega ne moremo jamčiti. Svetujemo vam lahko edino, da skušate več informacij izvedeti tudi prek interneta, kjer so navedene izkušnje drugih posameznikov.

Sklepno IP poudarja, da tematiki domnevano nezakonite obdelave osebnih podatkov posameznikov v EU s strani omenjenega spletnega mesta pozorno sledimo ter pri tem sodelujemo z vsemi relevantnimi organi v EU. Za učinkovito izvedbo nadzora glede skladnosti Splošne uredbe in ZVOP-2 pa morajo biti Informacijskemu pooblaščencu na voljo tudi orodja za izvrševanje pooblastil oziroma mora biti imenovan predstavnik po 27. členu Splošne uredbe, kar pa je zavezancu že odredil nizozemski nadzorni organ.

Lepo vas pozdravljamo,

Mojca Prelesnik, univ.dipl.prav., informacijska pooblaščenka

Pripravila

mag. Polona Merc, univ. dipl. prav., svetovalka IP za varstvo osebnih podatkov