- Napreden AI iskalnik za hitro iskanje primerov
- Dostop do celotne evropske in slovenske sodne prakse
- Samodejno označevanje ključnih relevantnih odstavkov
Podobni dokumenti
Ogledaj podobne dokumente za vaš primer.Prijavi se in poglej več podobnih dokumentov
Pristojnosti in postopek IP ob sumu nezakonite obdelave osebnih podatkov
Z nami najdeš vse. Preizkusi zdaj!
Samo zamislim si kaj bi rada da piše v sodbi, to vpišem v iskalnik, in dobim kar sem iskala. Hvala!
Tara K., odvetnica
Pristojnosti in postopek IP ob sumu nezakonite obdelave osebnih podatkov
Datum
12.03.2025
Številka
07121-1/2025/339
Kategorije
Inšpekcijski postopki, Moderne tehnologije, Obdelava osebnih podatkov otrok in mladoletnih, Umetna indeligenca
Pri Informacijskem pooblaščencu (IP) smo prejeli vaše zaprosilo za mnenje glede pristojnosti in postopka pred IP ob sumu nezakonitega zbiranja in razkrivanja osebnih podatkov slovenskih fizičnih oseb, tudi otrok, s strani spletnega orodja tujega podjetja (npr. ChatGPT, Perplexity, Copilot ali podobnega AI orodja). Pojasnjujete, da je spletno orodje mogoče povprašati po rojstnem datumu določenega otroka in da spletno orodje rojstni datum posreduje, ob tem pa navede, da ne more razkriti, kje je ta rojstni datum pridobilo in to celo v primerih, ko ta rojstni datum ni javno objavljen. Zanima vas, kakšen postopek lahko sproži žrtev in kakšne so pristojnosti IP. Zanima vas tudi, ali lahko IP, podobno kot italijanski nadzorni organ, sproži postopek zoper tuje podjetje ali celo začasno prepove njegovo uporabo v Sloveniji v primeru množičnih kršitev.
Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22, ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba), ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A, ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.
IP v postopkih čezmejne obdelave osebnih podatkov ne bo pristojen za obravnavo pritožbenega oziroma inšpekcijskega postopka zoper tuja podjetja, ki ponujajo orodja umetne inteligence, ko (glavni) sedež ponudnika ne bo lociran v Sloveniji. Posameznik lahko vloži prijavo zoper tuje podjetje pri IP, tudi če IP ni pristojen za obravnavo prijave (ni vodilni nadzorni organ). IP v takem primeru sodeluje z vodilnim nadzornim organom. Pomembno je, da posameznik v prijavi pojasni, glede česa podaja prijavo in opiše vse okoliščine ter predloži dokazila.
Obrazložitev
IP uvodoma pojasnjuje, da izven postopka inšpekcijskega nadzora oziroma drugega upravnega postopka nima zakonskih pooblastil za presojo zakonitosti konkretnih obdelav osebnih podatkov in morebitnih kršitev pravic posameznikov, na katere se podatki nanašajo. V nadaljevanju vam zato podajamo zgolj splošna pojasnila in pravna izhodišča v zvezi z vašim zaprosilom.
Zakonitost obdelave
IP uvodoma pojasnjuje, da je treba za vsako obdelavo osebnih podatkov (tudi zbiranje in razkritje) najprej zagotoviti ustrezno pravno podlago. Izbor ustrezne pravne podlage za posamezno obdelavo je obveznost upravljavca (v konkretnem primeru, tujega podjetja, ki nudi orodje umetne inteligence), ki mora pri tem upoštevati konkretne okoliščine in namene obdelave. Obdelava je zakona le, v kolikor je izpolnjen vsaj eden od naslednjih pogojev:
a)posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov;
b)obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe;
c)obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca;
d)obdelava je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe;
e)obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu;
f)obdelava je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok.
Glede vprašanj, ki se pojavljajo v zvezi z varstvom osebnih podatkov pri delovanju orodja ChatGPT, si lahko preberete v poročilu delovne skupine za ChatGPT, ki deluje v okviru Evropskega odbora za varstvo osebnih podatkov.
Čezmejna obdelava osebnih podatkov
Nadalje vam pojasnjujemo, da orodja umetne inteligence, katerih uporaba je tudi med slovenskimi uporabniki bolj razširjena (nekatere v vašem zaprosilu omenjate tudi sami - ChatGPT, Perplexity, Copilot), posameznikom v EU dajejo na voljo podjetja, ki nimajo registriranega sedeža v Sloveniji. (Glavni) sedež teh ponudnikov je praviloma v drugi državi članici EU (pogosto na Irskem (npr. OpenAI)), ali v tretji državi (državi, ki ni članica EGP). Opredelitev sedeža ponudnika je pomembna zaradi določitve pristojnega nadzornega organa za obdelavo, ki jo izvaja ta upravljavec, v primeru čezmejne obdelave osebnih podatkov.
Če upravljavec izvaja čezmejno obdelavo osebnih podatkov, bo vodilni nadzorni organ organ, ki bo odgovoren za obravnavanje dejavnosti čezmejne obdelave osebnih podatkov, na primer kadar se posameznik, na katerega se nanašajo osebni podatki, pritoži glede obdelave njegovih osebni podatki (člen 56(1) Splošne uredbe). Vodilni nadzorni organ bo usklajeval vse preiskave, ki vključujejo druge zadevne nadzorne organe. Opredelitev vodilnega nadzornega organa je odvisna od določitve kraja glavnega sedeža ali edinega sedeža upravljavca v EU. Prvi odstavek 56. člena Splošne uredba določa: [n]adzorni organ glavnega ali edinega sedeža upravljavca ali obdelovalca je […] pristojen, da deluje kot vodilni nadzorni organ za obdelavo, ki jo izvaja ta upravljavec ali obdelovalec na čezmejni ravni, v skladu s postopkom [sodelovanja] iz člena 60. V členu 4(16) Splošne uredbe je glavni sedež opredeljen kot:
- v zvezi z upravljavcem, ki ima sedeže v več kot eni državi članici, kraj njegove osrednje uprave v Uniji ali, kadar se odločitve o namenih in sredstvih obdelave osebnih podatkov sprejemajo na drugem sedežu upravljavca v Uniji in ima ta sedež pooblastila za izvajanje takih odločitev, sedež, ki sprejema take odločitve;
- v zvezi z obdelovalcem, ki ima sedeže v več kot eni državi članici, kraj njegove osrednje uprave v Uniji ali, če obdelovalec nima osrednje uprave v Uniji, sedež obdelovalca v Uniji, kjer se izvajajo glavne dejavnosti obdelave v okviru dejavnosti sedeža obdelovalca, kolikor za obdelovalca veljajo posebne obveznosti iz te uredbe[.]
V členu 4(22) Splošne uredbe je določeno da: "zadevni nadzorni organ" pomeni nadzorni organ, ki ga obdelava osebnih podatkov zadeva, ker: (a) ima upravljavec ali obdelovalec sedež na ozemlju države članice tega nazornega organa; (b) obdelava znatno vpliva ali bi lahko vplivala na posameznike, na katere se nanašajo osebni podatki, s prebivališčem v državi članici tega nadzornega organa, ali (c) je bila vložena pritožba pri tem nadzornem organu[.]
V vašem zaprosilu omenjate postopek, ki ga je italijanski nadzorni organ (Garante) vodil zoper OpenAI, ki je rezultiral v začasni prepovedi uporabe ChatGPT v Italiji. IP pojasnjuje, da v trenutku uvedbe postopka zoper OpenAI v Italiji, OpenAI še ni imel vzpostavljenega sedeža v EU, zato je bila podana pristojnost italijanskega nadzornega organa, mehanizem "vse na enem mestu" (one-stop-shop) pa še ni bil uporaben. Ko je OpenAI vzpostavil svoj glavni sedež na Irskem, je postal irski nadzorni organ vodilni nadzorni organ za vse trajajoče in prihodnje obdelave v skladu s 56. členom Splošne uredbe.
Iz zgoraj navedenega je mogoče zaključiti, da IP v postopkih čezmejne obdelave osebnih podatkov ne bo pristojen za obravnavo pritožbenega oziroma inšpekcijskega postopka zoper tuja podjetja, ki ponujajo orodja umetne inteligence, ko (glavni) sedež ponudnika v času storitve domnevne kršitve Splošne uredbe ne bo lociran v Sloveniji. Če posameznik ni prepričan, kateri nadzorni organ je za konkretno podjetje pristojen, lahko pritožbo zoper takega upravljavca vseeno vloži pri IP, IP pa bo njegovo pritožbo odstopil ustreznemu nadzornemu organu, ki je za odločanje o pritožbi pristojen. V takih primerih IP deluje kot zadevni nadzorni organ ter sodeluje v postopku pred vodilnim nadzornim organom. Pomembno je, da posameznik v prijavi pojasni, glede česa podaja prijavo in opiše vse okoliščine ter predloži dokazila.
Lepo vas pozdravljamo.
Pripravila
Sandra Kajtazović, univ. dipl. prav.
dr. Jelena Virant Burnik, informacijska pooblaščenka
---
[1]Splošna uredba v 2. točki 4. člena »obdelavo« definira kot »vsako dejanje ali niz dejanj, ki se izvaja v zvezi z osebnimi podatki ali nizi osebnih podatkov z avtomatiziranimi sredstvi ali brez njih, kot je zbiranje, beleženje, urejanje, strukturiranje, shranjevanje, prilagajanje ali spreminjanje, priklic, vpogled, uporaba, razkritje s posredovanjem, razširjanje ali drugačno omogočanje dostopa, prilagajanje ali kombiniranje, omejevanje, izbris ali uničenje.«
[2]Evropski odbor za varstvo podatkov je dne 4. 5. 2020 sprejel smernice št. 05/2020 o privolitvi na podlagi Uredbe 2016/679, v katerih temeljito analizira pojem privolitve. Smernice so dostopne na https://www.edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines_202005_consent_sl_0.pdf.
[3]Evropski odbor za varstvo podatkov je dne 8. 10. 2019 sprejel smernice št. 2/2019 o obdelavi osebnih podatkov na podlagi člena 6(1)(b) Splošne uredbe o varstvu podatkov v okviru zagotavljanja spletnih storitev posameznikom, na katere se nanašajo osebni podatki, ki so dostopne na https://www.edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines-art_6-1-b-adopted_after_public_consultation_sl.pdf.
[4]https://www.edpb.europa.eu/our-work-tools/our-documents/other/report-work-undertaken-chatgpt-taskforce_en
[5]https://openai.com/policies/privacy-policy/
[6]V skladu z opredelitvijo iz člena 4(23) Splošne uredbe je »čezmejna obdelava osebnih podatkov«: (a) bodisi obdelav[a] osebnih podatkov, ki poteka v Uniji v okviru dejavnosti sedežev upravljavca ali obdelovalca v več kot eni državi članici, kadar ima upravljavec ali obdelovalec sedež v več kot eni državi članici, (b) bodisi obdelav[a] osebnih podatkov, ki poteka v Uniji v okviru dejavnosti edinega sedeža upravljavca ali obdelovalca, vendar obdelava znatno vpliva ali bi lahko znatno vplivala na posameznike, na katere se nanašajo osebni podatki, v več kot eni državi članici.
Če ima na primer organizacija ustanovitvi v Franciji in Romuniji in se obdelava osebnih podatkov izvaja v okviru njunih dejavnosti, se torej ta obdelava šteje za čezmejno obdelavo. Organizacija lahko dejavnost obdelave izvaja tudi samo v okviru svoje ustanovitve v Franciji. Če pa dejavnost znatno vpliva ali bi lahko znatno vplivala na posameznike, na katere se nanašajo osebni podatki, v Franciji in Romuniji, se tudi ta obdelava šteje za čezmejno obdelavo. Izraz »znatno« ali »vpliva« v Splošni uredbi o varstvu podatkov ni opredeljen. Namen besedila je bil zagotoviti, da na področje opredelitve »čezmejne obdelave osebnih podatkov« ne spadajo vse dejavnosti obdelave, ki imajo kakršen koli vpliv in se izvajajo v okviru edine ustanovitve. (glej Smernice 8/2022 o opredelitvi vodilnega nadzornega organa upravljavca ali obdelovalca, z dne 28. 3. 2023, odst. 4-7, objavljene na https://www.edpb.europa.eu/system/files/2023-10/edpb_guidelines_202208_identifying_lsa_targeted_update_sl.pdf).
[7]Glej tudi mnenje Evropskega odbora za varstvo podatkov št. 4/2024 o pojmu glavne ustanovitve upravljavca v Uniji v skladu s točko a šestnajstega odstavka 4. člena Splošne uredbe o varstvu podatkov, z dne 13. 2. 2024.