- Napreden AI iskalnik za hitro iskanje primerov
- Dostop do celotne evropske in slovenske sodne prakse
- Samodejno označevanje ključnih relevantnih odstavkov
Podobni dokumenti
Ogledaj podobne dokumente za vaš primer.Prijavi se in poglej več podobnih dokumentov
Posredovanje osebnih podatkov za odjavo od reklamnih sporočil
Z nami najdeš vse. Preizkusi zdaj!
Samo zamislim si kaj bi rada da piše v sodbi, to vpišem v iskalnik, in dobim kar sem iskala. Hvala!
Tara K., odvetnica
Posredovanje osebnih podatkov za odjavo od reklamnih sporočil
Datum
05.03.2024
Številka
07121-1/2024/239
Kategorije
Neposredno trženje, nagradne igre, Pravica do ugovora
Informacijski pooblaščenec (v nadaljevanju: IP) je po e-pošti prejel vaše zaprosilo za mnenje. Navajate, da s strani zavarovalnice, pri kateri imate sklenjeno zavarovanje, prejemate reklamna sporočila po e-pošti. Pisno ste odgovorili, da teh sporočil ne želite prejemati. Odgovorili so vam, da jim morate posredovati davčno številko in letnico rojstva. Njihova zahteva se vam zdi nesprejemljiva, saj bi zaposlenemu dali podatke, ki so sicer navedeni že na vaši polici. Sprašujete, ali je to dovoljeno?
***
Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22, ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A, ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.
Za nadzor nad izvajanjem nezakonitega trženja je pristojna Agencija za komunikacijska omrežja in storitve RS.
Če posameznik na podlagi Splošne uredbe uveljavlja pravico do ugovora, IP meni, da lahko upravljavec v primeru, če dvomi o identiteti osebe, ki je vložila zahtevo, pred odgovorom zahteva dodatne informacije za potrditev njene identitete.
Obrazložitev
IP uvodoma poudarja, da izven postopka inšpekcijskega nadzora oziroma drugega upravnega postopka konkretnih obdelav osebnih podatkov ne more presojati.
Uvodoma vam pojasnjujemo, da področje neželene komunikacije (ang. »spam«) specialno ureja Zakon o elektronskih komunikacijah (Uradni list RS, št. 130/22 in 18/23 – ZDU-1O, v nadaljevanju: ZEKom-2). ZEKom-2 v prvem odstavku 226. člena določa, da je uporaba elektronske pošte za namene neposrednega trženja dovoljena samo na podlagi naročnikovega ali uporabnikovega predhodnega soglasja. V drugem odstavku je določeno, da lahko ne glede na določbe prejšnjega odstavka fizična ali pravna oseba, ki od kupca svojih izdelkov ali storitev pridobi njegov elektronski naslov za elektronsko pošto, ta naslov uporablja za neposredno trženje svojih podobnih izdelkov ali storitev pod pogojem, da kupcu ponuja jasno in izrecno možnost, da brezplačno in enostavno zavrne takšno uporabo svojega elektronskega naslova takrat, ko so ti podatki za stike pridobljeni in ob vsakem sporočilu v primeru, da kupec ni zavrnil takšne uporabe že na začetku. Nadzor nad izvajanjem 226. člena ZEKom-2 je v pristojnosti Agencije za komunikacijska omrežja in storitve RS (v nadaljevanju: AKOS), zato IP v tem delu ni pristojen za ukrepanje.
Posameznik, ki je prepričan, da pošiljatelju ni dal predhodnega soglasja za uporabo e-pošte za namene neposrednega trženja, oz. da pošiljatelj neželenega elektronskega sporočila ne razpolaga (več) s potrebnim soglasjem za uporabo e-pošte za namene izvajanja neposrednega trženja, lahko svojo prijavo pošlje neposredno na AKOS (info.box@akos-rs.si).
Z vidika varstva osebnih podatkov vam pojasnjujemo, da ima vsak posameznik pravico do ugovora skladno s Splošno uredbo, ki je opredeljena v 21. členu Splošne uredbe. Drugi odstavek 21. člena Splošne uredbe tako določa, da ima posameznik, na katerega se nanašajo osebni podatki, kadar se osebni podatki obdelujejo za namene neposrednega trženja, pravico, da kadar koli ugovarja obdelavi osebnih podatkov v zvezi z njim za namene takega trženja, vključno z oblikovanjem profilov, kolikor je povezano s takim neposrednim trženjem.
Upravljavec se mora na podano zahtevo odzvati brez nepotrebnega odlašanja in mora v vsakem primeru posredovati informacije oziroma zavrnilni odgovor v enem mesecu po prejemu zahteve. Ta rok se lahko po potrebi podaljša za največ dva dodatna meseca ob upoštevanju kompleksnosti in števila zahtev (tretji odstavek 12. člena Splošne uredbe). Če vam upravljavec v zakonskem roku ne odgovori, ali vam poda zavrnilni odgovor, lahko pri IP vložite pritožbo (obrazec »Enotna vloga zaradi kršitve varstva osebnih podatkov (Obrazec VOP prijava«)).
Več informacij o pravici do ugovora je dostopnih tudi na naši spletni strani: https://tiodlocas.si/zelim-ugovarjati-obdelavi-mojih-podatkov/.
Glede posredovanja svojih osebnih podatkov vam pojasnjujemo, da zavarovalnice v skladu z Zakonom o zavarovalništvu (Uradni list RS, št. 93/15, 9/19, 102/20, 48/23 in 78/23 – ZZVZZ-T, v nadaljevanju ZZavar-1) vodijo posamezne zbirke osebnih podatkov, ki so navedene v drugem odstavku 268. člena ZZavar-1. Ena izmed teh zbirk je tudi zbirka podatkov o zavarovalcih in zavarovancih, v kateri se v skladu s četrtim odstavkom 268. člena ZZavar-1 ob upoštevanju namena obdelave podatkov lahko od stranke med drugim zbirata tudi osebna podatka o datumu in kraju rojstva ter davčni številki. IP meni, da lahko upravljavec v primeru, če dvomi o identiteti osebe, ki je vložila zahtevo (na primer, zahteva je vložena z uporabo drugega e-poštnega naslova, kot ga običajno uporablja posameznik), pred odgovorom zahteva dodatne informacije za potrditev identitete posameznika, na katerega se nanašajo osebni podatki (in jih lahko preveri v svojih zbirkah podatkov). Upravljavec je namreč odgovoren za zakonito obdelavo osebnih podatkov in mora skladno s Splošno uredbo zagotoviti tudi točnost podatkov, ki jih vodi, zato se mora v dvomu prepričati o istovetnosti osebe, ki uveljavlja pravice po Splošni uredbi. Katere podatke bo upravljavec v konkretnem primeru zahteval od posameznika, da preveri njegovo identiteto, mora presoditi sam glede na konkretne okoliščine, z upoštevanjem načel Splošne uredbe in konkretnih tveganj za obdelavo osebnih podatkov, ki lahko pri tem nastanejo.
Z ustreznimi ukrepi mora tudi zagotoviti, da osebne podatke obdelujejo zaposleni, ki so za to pooblaščeni (npr. izvajajo zahtevke strank po Splošni uredbi) in da se s podatki ne seznanijo neupravičene tretje osebe. O zakonitosti obdelave v konkretnem primeru bi se IP lahko dokončno izrekel zgolj v konkretnem inšpekcijskem postopku.
V upanju, da ste prejeli odgovor na svoje vprašanje, vas lepo pozdravljamo.
Mojca Prelesnik, univ. dipl. prav., informacijska pooblaščenka
Pripravila
Barbara Žurej, univ. dipl. prav., svetovalka pooblaščenca za preventivo