Ustreznost anketnega vprašalnika

Datum

20.02.2024

Številka

07121-1/2024/179

Kategorije

Pravne podlage, Informiranje posameznika, Pogodbena obdelava podatkov

Pri Informacijskem pooblaščencu (IP) smo dne 13. 2. 2024 prejeli vaše zaprosilo za mnenje glede ustreznosti anketnega vprašalnika, ki ste ga pripravili za zunanjega naročnika.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22, ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A, ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

1.1. Če obdelava osebnih podatkov temelji na privolitvi posameznika, mora biti takšen izraz volje posameznika prostovoljen, konkreten, informiran in nedvoumno izkazan. Privolitev je prostovoljna, če ima posameznik resnično izbiro in nadzor nad svojimi osebnimi podatki. Posameznik ne sme čutiti prisile ali negativnih posledic, če privolitve ne poda.

2.2. Ena temeljnih dolžnosti upravljavca je, da obvesti posameznike o nekaterih temeljnih okoliščinah obdelave njihovih osebnih podatkov, na primer o identiteti upravljavca, namenih, za katere se podatki zbirajo, v primeru obdelave podatkov na podlagi privolitve pa tudi o tem, da ima posameznik pravico, da privolitev kadarkoli prekliče. Natančen obseg informacij, ki jih mora upravljavec zagotoviti posamezniku, je opredeljen v 13. oziroma 14. členu Splošne uredbe.

3.3. Kadar obdelavo osebnih podatkov v imenu upravljavca izvaja obdelovalec, mora za to obstajati pisna pogodba ali drug ustrezen akt. Splošna uredba zahteva, da so pogodbe v pisni obliki, 28. člen pa določa tudi minimalni obseg sestavin pogodbe o pogodbeni obdelavi.

Obrazložitev

IP uvodoma pojasnjuje, da izven postopka inšpekcijskega nadzora oziroma drugega upravnega postopka nima zakonskih pooblastil za presojo zakonitosti konkretnih obdelav osebnih podatkov in morebitnih kršitev pravic posameznikov, na katere se podatki nanašajo, zato tudi ne more predhodno odobriti oziroma preveriti zakonitosti posameznih obdelav osebnih podatkov. V nadaljevanju vam zato podajamo zgolj splošna pojasnila in pravna izhodišča v zvezi z vašim dopisom.

Obdelava osebnih podatkov je zakonita le, če temelji na ustrezni pravni podlagi iz 6(1) člena Splošne uredbe:

(a)(a) posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov;

(b)(b) obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe;

(c)(c) obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca;

(d)(d) obdelava je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe;

(e)(e) obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu;

(f)(f) obdelava je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok.

Če obdelava osebnih podatkov temelji na privolitvi posameznika, mora biti takšen izraz volje posameznika prostovoljen, konkreten, informiran in nedvoumno izkazan. Privolitev je prostovoljna, če ima posameznik resnično izbiro in nadzor nad svojimi osebnimi podatki. Posameznik ne sme čutiti prisile ali negativnih posledic, če privolitve ne poda. Posamezniku mora biti tudi omogočeno, da lahko privolitev kadarkoli prekliče na enako enostaven način, kot je bila privolitev podana. Več o veljavnosti privolitve si lahko preberete na: https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/klju%C4%8Dna-podro%C4%8Dja-uredbe/privolitev.

Ena temeljnih dolžnosti upravljavca je, da obvesti posameznike o nekaterih temeljnih okoliščinah obdelave njihovih osebnih podatkov, na primer o identiteti upravljavca, namenih, za katere se podatki zbirajo, v primeru obdelave podatkov na podlagi privolitve pa tudi o tem, da ima posameznik pravico, da privolitev kadarkoli prekliče. Natančen obseg informacij, ki jih mora upravljavec zagotoviti posamezniku, je opredeljen v 13. oziroma 14. členu Splošne uredbe. Te informacije upravljavci pogosto vključijo v t. i. politiko zasebnosti (Privacy Policy), ki mora biti posameznikom enostavno dostopna.

Ne glede na pravno podlago, na kateri temelji obdelava osebnih podatkov, je dolžnost upravljavca, da ravna v skladu z načelom najmanjšega obsega podatkov, ki zahteva, da upravljavec obdeluje le takšen obseg osebnih podatkov, kot jih dejansko potrebuje za namen, za katerega so zbrani. Poleg tega lahko upravljavec podatke hrani le toliko časa, dokler jih dejansko potrebuje za namen, za katerega so bili zbrani. Praviloma se osebni podatki ne smejo nadalje obdelovati za druge namene, razen če je nadaljnja obdelava združljiva z namenom, za katerega so bili podatki zbrani ali pa tudi za nadaljnjo obdelavo obstaja ustrezna pravna podlaga.

V zaprosilu za mnenje navajate, da anketo pripravljate za zunanjega naročnika, ki mu boste osebne podatke, zbrane v okviru izvedene ankete, tudi posredovali. IP zato izpostavlja, da se vloge in posledično tudi odgovornosti različnih akterjev (podjetij, društev, pa tudi fizičnih oseb), ki obdelujejo osebne podatke, razlikujejo. Upravljavec določa namene in sredstva obdelave podatkov, zato je v skladu z načelom odgovornosti tudi odgovoren za njeno skladnost s pravili s področja varstva osebnih podatkov, ki jo je tudi sposoben dokazati. Obdelovalec je po drugi strani tista fizična ali pravna oseba, ki dejansko obdeluje osebne podatke v imenu upravljavca. Kadar obdelavo osebnih podatkov v imenu upravljavca izvaja obdelovalec, mora za to obstajati pisna pogodba ali drug ustrezen akt. Splošna uredba zahteva, da so pogodbe v pisni obliki, 28. člen pa določa tudi minimalni obseg sestavin pogodbe o pogodbeni obdelavi. Več o urejanju razmerja med upravljavcem in obdelovalcem si lahko preberete na: https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/klju%C4%8Dna-podro%C4%8Dja-uredbe/pogodbena-obdelava.

V upanju, da ste dobili odgovor na vaša vprašanja, vas lepo pozdravljamo.

Pripravila

dr. Pika Šarf, Svetovalka IP za mednarodne odnose

Mojca Prelesnik, univ. dipl. prav., informacijska pooblaščenka