Obdelava osebnih podatkov kontaktnih oseb podjetij

Datum

30.04.2024

Številka

07121-1/2024/518

Kategorije

Definicija OP, Informiranje posameznika, Neposredno trženje, nagradne igre, Pravne podlage

Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaše zaprosilo za mnenje glede obdelave osebnih podatkov kontaktnih oseb podjetij.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22; v nadaljevanju: ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, 51/07 – ZUstS-A; ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

Pravni objekt varstva osebnih podatkov je lahko le posameznik, torej fizična oseba, ne pa pravna oseba.

Javno objavljeni elektronski naslovi posameznikov, ki so namenjeni komunikaciji s podjetjem, uživajo varstvo osebnih podatkov, saj je prek njih mogoče določiti posameznika.

Upravljavčeva dolžnost zagotovitve informacij o obdelavi v skladu s 13. in 14. členom Splošne uredbe se nanaša na posameznika, na katerega se nanašajo osebni podatki.

Obrazložitev

IP uvodoma poudarja, da lahko podaja neobvezujoča mnenja in pojasnila, ne sme pa izven konkretnih nadzornih ali drugih postopkov preverjati primernosti izbrane pravne podlage ali namenov oziroma obsega obdelave osebnih podatkov v konkretnem primeru.

IP pojasnjuje, da skladno s prvo točko 4. člena Splošne uredbe osebni podatki predstavljajo katero koli informacijo v zvezi z določenim ali določljivim posameznikom; določljiv posameznik je tisti, ki ga je mogoče neposredno ali posredno določiti, zlasti z navedbo identifikatorja, kot je ime, identifikacijska številka, podatki o lokaciji, spletni identifikator, ali z navedbo enega ali več dejavnikov, ki so značilni za fizično, fiziološko, genetsko, duševno, gospodarsko, kulturno ali družbeno identiteto tega posameznika. Osebni podatki so torej vsi podatki, ki posredno ali neposredno kažejo na posameznike. Skladno z navedeno definicijo je pravni objekt varstva osebnih podatkov lahko le posameznik, torej fizična oseba, ne pa pravna oseba. V skladu z navedenimi kriteriji splošni elektronski naslovi podjetij (npr. info@podjetje.si), ne predstavljajo osebnih podatkov in v primeru njihove obdelave ne gre za obdelavo osebnih podatkov, kar pomeni, da za njihovo obdelavo ne veljajo pravila varstva osebnih podatkov.

Od navedenih elektronskih naslovov, ki se uporabljajo kot elektronski naslov podjetja, pa je treba ločiti javno objavljene elektronske naslove posameznikov, ki so namenjeni komunikaciji s podjetjem (npr. zaposlenih, ki so objavljeni na spletni strani podjetja, kot je npr. ime.priimek@podjetje.si ali št.zaposlenega@podjetje.si). Takšni naslovi uživajo varstvo osebnih podatkov, saj je prek njih mogoče določiti posameznika. Takšne javno objavljene elektronske naslove (ali druge kontaktne podatke) posameznikov je dopustno uporabiti tudi za pošiljanje komercialnih ponudb (t. i. neposredno trženje), če je to v skladu s samim namenom javne objave. Obdelava v navedenem primeru namreč lahko poteka na podlagi člena 6(1)(f) Splošne uredbe (t.i. zakoniti interesi), pri čemer se upoštevajo razumna pričakovanja posameznikov, na katere se nanašajo osebni podatki, glede na njihovo razmerje do upravljavca. Iz navedenega sledi, da je zlasti od vsebine komercialnega sporočila in konteksta objave odvisno, ali se javno objavljeni podatek lahko uporabi za namen neposrednega trženja. IP ob tem ponavlja, da presoje, ali to velja v vašem primeru, v okviru neobvezujočega mnenja ne sme niti ne more izvesti.

V kolikor v prejšnjem odstavku omenjena pravna podlaga zakonitih interesov ne bi prišla v poštev, je za obdelavo teh osebnih podatkov treba zagotoviti drugo pravno podlago po 6. členu Splošne uredbe (npr. privolitev posameznikov v obdelavo njihovih osebnih podatkov za te namene). Ob tem IP poudarja, da bi osebna privolitev kot temelj za obdelavo osebnih podatkov prišla v poštev le pod pogojem, da bi bila privolitev specifična, informirana, razumljiva, prostovoljna, dana z nedvoumnim pritrdilnim dejanjem in da bi bila dokazljiva. Več informacij o privolitvi je dostopnih na spletni strani IP:

https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/ključna-področja-uredbe/privolitev

Glede neposrednega trženja IP dodatno opozarja, da ima skladno z 21. členom Splošne uredbe vsak posameznik pravico, da ugovarja obdelavi osebnih podatkov za namene neposrednega trženja, upravljavec pa dolžnost, da v primeru ugovora posameznika preneha z obdelavo osebnih podatkov posameznika za ta namen. Posameznik, na katerega se nanašajo osebni podatki, mora biti na pravico do ugovora izrecno opozorjen najpozneje ob prvem komuniciranju z njim in se mu mora to pravico predstaviti jasno in ločeno od vseh drugih informacij. Konkretno to pomeni, da je treba v vsakem sporočilu, ki je namenjeno neposrednemu trženju, navesti tudi, da ima posameznik, ki je sporočilo prejel, možnost »odjave« od prejemanja sporočil. Posameznika je torej treba opozoriti na pravico po 21. členu Splošne uredbe. Ta v tretjem odstavku določa tudi, da se, kadar posameznik, na katerega se nanašajo osebni podatki, ugovarja obdelavi za namene neposrednega trženja, osebni podatki v te namene ne smejo več obdelovati.

IP vas napotuje na več informacij glede obdelave osebnih podatkov pri komuniciranju s podjetji:

https://upravljavec.si/pogosta-vprasanja/komunikacija-b2c-in-b2b/

IP nadalje splošno pojasnjuje, da se upravljavčeva dolžnost zagotovitve informacij o obdelavi v skladu s 13. in 14. členom Splošne uredbe nanaša na posameznika, na katerega se nanašajo osebni podatki (torej posameznika, katerega osebne podatke upravljavec obdeluje), ne pa na podjetje. Temu posamezniku je treba vse informacije iz omenjenih členov ter sporočila iz členov 15 do 22 in 34 Splošne uredbe, zagotoviti v jedrnati, pregledni, razumljivi in lahko dostopni obliki ter jasnem in preprostem jeziku. Informacije se posredujejo v pisni obliki ali z drugimi sredstvi, vključno, kjer je ustrezno z elektronskimi sredstvi. Posameznik, čigar osebni podatki se obdelujejo, lahko tudi uveljavlja svoje pravice iz omenjenih členov.

Lepo vas pozdravljamo.

Pripravil

Matej Sironič, Svetovalec pooblaščenca za varstvo osebnih podatkov

Mojca Prelesnik, univ. dipl. prav., Informacijska pooblaščenka