Obdelava OP ob včlanitvi v klub zvestobe

Datum

27.03.2024

Številka

07121-1/2024/361

Kategorije

Informiranje posameznika, Pravne podlage

Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaše zaprosilo za mnenje glede ustreznosti obrazca za včlanitev v klub zvestobe.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22; ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, 51/07 – ZUstS-A; ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

IP ne nudi storitve pregleda ali vnaprejšnje odobritve različnih obrazcev, storitev, aplikacij ali drugih rešitev, ki jih uvajajo posamezni upravljavci, z vidika njihove skladnosti z veljavnimi predpisi.

Posamezniku je treba v skladu s 13. členom Splošne uredbe o varstvu podatkov zagotoviti določene informacije o obdelavi osebnih podatkov.

Upravljavec mora izkazati, zakaj je za dosego namena obdelave (včlanitev v klub zvestobe) potrebna tudi obdelava vsakega posameznega podatka (vključno z EMŠO), ki ga želi zbrati za ta namen.

Obrazložitev

IP uvodoma poudarja, da lahko podaja neobvezujoča mnenja in pojasnila, ne sme pa izven konkretnih nadzornih ali drugih upravnih postopkov preverjati primernosti izbrane pravne podlage ali namenov oziroma obsega obdelave osebnih podatkov v konkretnem primeru. IP tako ne nudi storitve pregleda ali vnaprejšnje odobritve različnih obrazcev, storitev, aplikacij ali drugih rešitev, ki jih uvajajo posamezni upravljavci, z vidika njihove skladnosti z veljavnimi predpisi.

IP kot nadzorni organ na področju varstva osebnih podatkov v okviru mnenja tako ne more presojati skladnosti konkretnega obrazca, ki ga opisujete v vašem zaprosilu za mnenje, s predpisi s področja varstva osebnih podatkov.

IP nadalje pojasnjuje, da mora upravljavec pred uvedbo posamezne rešitve (v konkretnem primeru kartice zvestobe) presoditi dopustnost in sorazmernost obdelav osebnih podatkov, ki bodo obdelovani v njenem okviru. Vsaka obdelava osebnih podatkov mora potekati transparentno in skladno z določbami Splošne uredbe. Upravljavec je dolžan uporabnika seznaniti z rešitvijo, načinom njenega delovanja, nameni, za katere bodo pridobljeni podatki uporabljeni, rokom njihove hrambe ter o ostalih pomembnih vidikih obdelave osebnih podatkov, ki so določeni v 13. členu Splošne uredbe. Navedene informacije morajo biti čim bolj jasne, pregledne in uporabnikom razumljive ter lahko dostopne.

IP splošno pojasnjuje, da mora vsaka obdelava osebnih podatkov potekati transparentno in skladno z določbami Splošne uredbe. Ta v prvem odstavku 6. člena določa, da je obdelava osebnih podatkov zakonita le in kolikor je za konkretni namen obdelave izpolnjen eden od naslednjih pogojev:

(a)posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov;

(b)obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe;

(c)obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca;

(d)obdelava je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe;

(e)obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu;

(f)obdelava je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok.

Vsaka obdelava osebnih podatkov mora tako temeljiti na eni izmed navedenih pravnih podlag ter biti skladna s temeljnimi načeli varstva osebnih podatkov, še posebej načela najmanjšega obsega podatkov, ki določa, da morajo biti pod pogojem, da obstaja pravna podlaga, osebni podatki, ki se obdelujejo, ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo. Navedeno načelo pomeni, da je potrebno obdelovati samo toliko osebnih podatkov posameznikov, kolikor je nujno potrebno za izpolnitev namena v konkretnem primeru. V konkretnem primeru bi moral torej upravljavec (trgovec) izkazati, zakaj je za dosego namena obdelave (včlanitev v klub zvestobe) potrebna tudi obdelava vsakega posameznega podatka (vključno z EMŠO), ki ga želi zbrati za ta namen.

IP na podlagi navedenega pojasnjuje, da je vsak upravljavec odgovoren za izbiro posamezne rešitve in zakonitost ter sorazmernost obdelav osebnih podatkov, ki se izvajajo v njenem okviru njenega delovanja. Upravljavec v okviru opisanih pogojev torej sam odloča o obsegu obdelave osebnih podatkov v njenem okviru ter načinom dostopa do njih. V skladu s tem mora vsak upravljavec posebej torej presoditi, ali je za dosego želenega cilja oziroma namena obdelave nujno potrebna obdelava vseh navedenih podatkov, ki se predvidevajo v okviru konkretne kartice zvestobe.

IP sklepno ponavlja, da v okviru mnenja ne more presojati ustreznosti posameznih obrazcev, drugih rešitev oziroma ravnanja posameznih zavezancev, ampak to lahko presoja le v okviru konkretnega nadzornega oziroma drugega upravnega postopka, ko so znane vse konkretne okoliščine posameznega primera. Presoja glede zakonitosti obdelave oziroma obstoja pravne podlage za posamezno obdelavo je torej primarno vedno na upravljavcu osebnih podatkov.

Lepo vas pozdravljamo.

Pripravil

Matej Sironič, Svetovalec pooblaščenca za varstvo osebnih podatkov

Mojca Prelesnik, univ. dipl. prav., Informacijska pooblaščenka