Potrditev identitete ob ugovoru neposrednemu trženju

Datum

06.11.2023

Številka

07121-1/2023/1380

Kategorije

EMŠO in davčna, Informiranje posameznika, Neposredno trženje, nagradne igre, Pravica do izbrisa - pozabe, Pravica do ugovora, Privolitev

Pri Informacijskem pooblaščencu (IP) smo prejeli vaše zaprosilo za mnenje. Zanima vas, ali lahko zavarovalnica od vas zahteva številko zdravstvene kartice ali davčno številko za to, da vas izbrišejo iz seznama oseb, ki jim lahko neposredno tržijo svoje produkte.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22; v nadaljevanju ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A; v nadaljevanju ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

Po 21. členu Splošne uredbe ima posameznik, kadar se osebni podatki obdelujejo za namene neposrednega trženja, pravico, da kadar koli ugovarja obdelavi osebnih podatkov v zvezi z njim za namene takega trženja. Posameznika mora upravljavec na to pravico izrecno opozoriti najpozneje ob prvem komuniciranju z njim in mu to pravico predstaviti jasno in ločeno od vseh drugih informacij.

Skladno s tretjim odstavkom 7. člena Splošne uredbe mora upravljavec zagotoviti, da lahko posameznik, na katerega se nanašajo osebni podatki, privolitev prekliče tako enostavno, kot jo je dal, in kadar koli.

Upravljavec lahko v določenih primerih zahteva dodatne informacije, ki so ob uveljavljanju pravic po Splošni uredbi potrebne za potrditev identitete posameznika, pri tem pa mora spoštovati načelo najmanjšega obsega podatkov.

Obrazložitev

Kadar se osebni podatki obdelujejo za namene neposrednega trženja, ima posameznik, na katerega se nanašajo osebni podatki, pravico, da kadar koli ugovarja obdelavi osebnih podatkov v zvezi z njim za namene takega trženja, vključno z oblikovanjem profilov, kolikor je povezano s takim neposrednim trženjem (drugi odstavek 21. člena Splošne uredbe). Kadar posameznik, na katerega se nanašajo osebni podatki, ugovarja obdelavi za namene neposrednega trženja, se osebni podatki ne obdelujejo več v te namene (tretji odstavek 21. člena Splošne uredbe). Posameznika, na katerega se nanašajo osebni podatki, mora upravljavec na to pravico izrecno opozoriti najpozneje ob prvem komuniciranju z njim in se mu to pravico predstavi jasno in ločeno od vseh drugih informacij (četrti odstavek 21. člena Splošne uredbe). Več o obdelavi za namene neposrednega trženja si lahko preberete na spletni strani IP: https://www.ip-rs.si/varstvo-osebnih-podatkov/pravice-posameznika/neposredno-tr%C5%BEenje.

Kadar so razlogi za ugovor utemeljeni oziroma kadar posameznik prekliče svojo privolitev, je posameznik upravičen do izbrisa osebnih podatkov na podlagi prvega odstavka 17. člena Splošne uredbe, če ni drugega namena, ki bi utemeljeval njihovo nadaljnjo obdelavo. IP ob tem opozarja na tretji odstavek 7. člena Splošne uredbe, skladno s katerim mora upravljavec zagotoviti, da lahko posameznik, na katerega se nanašajo osebni podatki, privolitev prekliče tako enostavno, kot jo je dal, in kadar koli. Splošna uredba sicer ne določa, da je treba privolitev vedno dati in preklicati z enakim dejanjem. Vendar pa če upravljavec za privolitev ni zahteval določenih osebnih podatkov, jih načeloma tudi za preklic privolitve ne bi smel zahtevati, dokončna presoja o tem pa je odvisna od okoliščin konkretnega primera. Več o preklicu privolitve si lahko preberete v smernicah Evropskega odbora o varstvu podatkov št. 5/2020, ki so dostopne na: https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-052020-consent-under-regulation-2016679_sl.

Skladno z drugim odstavkom 12. člena Splošne uredbe lahko upravljavec zavrne ukrepanje v zvezi s pravicami posameznikov, če dokaže, da ne more identificirati posameznika, na katerega se nanašajo osebni podatki. Upravljavec (v konkretnem primeru zavarovalnica) mora biti namreč sposoben ugotoviti, kateri osebni podatki se nanašajo na določenega posameznika (identifikacija) in potrditi identiteto te osebe (avtentikacija). V določenih primerih lahko upravljavec torej zahteva dodatne informacije, ki so potrebne za potrditev identitete posameznika, na katerega se nanašajo osebni podatki. Vendar pa mora ob tem spoštovati načelo najmanjšega obsega podatkov po točki c) prvega odstavka 5. člena Splošne uredbe in zagotoviti, da ne zbira podatkov, ki za ta namen niso nujno potrebni ter ustrezni. Evropski odbor za varstvo podatkov je to vprašanje že podrobneje obravnaval v smernicah št. 1/2022, ki so dostopne na: https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-012022-data-subject-rights-right-access_sl.

Ali je zahteva za posredovanje številke zdravstvene kartice oziroma davčne številke v konkretnem primeru sorazmerna glede na vrsto osebnih podatkov, IP v mnenju ne more presojati. Na upravljavcu je namreč odgovornost, da dokaže, da brez zahtevanih osebnih podatkov ne more potrditi vaše identitete. Če pa vam upravljavec zavrne uresničitev pravice do ugovora, imate možnost pri IP vložiti prijavo. Več o tem si lahko preberete na spletni strani IP: https://www.ip-rs.si/varstvo-osebnih-podatkov/pravice-posameznika/vlo%C5%BEitev-prijave in https://tiodlocas.si/kako-uveljavim-svoje-pravice/.

Lepo vas pozdravljamo,

Pripravila

Tina Ivanc, univ. dipl. prav., svetovalka IP za varstvo osebnih podatkov

Mojca Prelesnik, univ. dipl. prav., informacijska pooblaščenka