Ravnanje s podatki, pridobljenimi iz javno dostopnih virov

Datum

27.08.2024

Številka

07121-1/2024/1107

Kategorije

Elektronska pošta

Informacijski pooblaščenec (v nadaljevanju IP) je po elektronski pošti prejel vaš dopis, v katerem glede prvega odstavka 93. člena ZVOP-2 sprašujete, ali je treba za vsak dogodek, na katerega vabite posameznike, katerih e-naslovi so javno objavljeni, vzpostaviti novo zbirko osebnih podatkov, ki se po npr. mesecu dni po izvedbi dogodka izbriše, ali pa imate lahko bolj stalno zbirko javno objavljenih e-naslovov, ki jo uporabljate izključno za namene vabljenja na brezplačne dogodke ter redno ažurirate. Ker gre za vabljenje učiteljev, bi zbirko javno objavljenih e-naslovov ažurirali ob pričetku vsakega šolskega leta, ustrezno pa bi upoštevali tudi pravico do ugovora. Zanima vas tudi, ali mora biti zbirka teh e-naslovov dejansko fizično ločena zbirka, ali pa je dovolj, da so tako zbrani podatki v istem sistemu kot podatki vaših naročnikov na e-novice, le da so jasno označeni kot podatki, ki so bili javno objavljeni ter se lahko tovrstno zbirko filtrira na način, da se vsi takšni javno objavljeni podatki izločijo v nekaj korakih in po potrebi izbrišejo.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22, ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba), ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A, ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

Kadar uporabljate javno objavljene kontaktne podatke za namene vabljenja na dogodke, ki jih organizirate, vam zbirke teh podatkov ni treba uničiti po vsakem izvedenem dogodku, na katerega ste vabili. Zbirko lahko uporabljate za več dogodkov, vendar morate pri tem poskrbeti za vse potrebne ukrepe, da zagotovite ažurnost zbirke. Kako pogosto ažurirate podatke, da ohranjate njihovo točnost, je odvisno od posameznega primera in vseh njegovih okoliščin.

Tehnični način vodenja zbirke je stvar vaše presoje. Takšna zbirka podatkov mora biti ločena do te mere, da posameznik, ki je pooblaščen zgolj za dostop do podatkov iz te zbirke ne more dostopati do drugih osebnih podatkov. Takšna ločitev je lahko narejena z uporabo tehničnih rešitev, kot je možnost filtriranja, sortiranja in izločanja, vendar na način, da se nepooblaščene osebe pri tem ne morejo niti seznaniti z ostalimi podatki (torej jih sploh ne vidijo pred izločanjem).

Obrazložitev

IP uvodoma poudarja, da konkretnega in dokončnega odgovora o zakonitosti obdelave osebnih podatkov v okviru mnenja v nobenem primeru ne more podati, saj lahko IP posamezne primere obdelave podatkov konkretno presoja zgolj v okviru inšpekcijskega ali drugega upravnega postopka.

Prvi odstavek 93. člena ZVOP-2 določa, da lahko oseba iz javnega ali zasebnega sektorja uporablja kontaktne podatke posameznikov, ki jih je zbrala iz javno dostopnih virov ali v okviru izvrševanja svojih javnih nalog ali so ji jih posamezniki, na katere se nanašajo, prostovoljno razkrili ali dali privolitev, za namene organiziranja uradnih srečanj, izobraževanj, usposabljanj in dogodkov, določanja sestav ali delovanje komisij, svetov, delegacij in drugih podobnih dejavnosti javnega sektorja, dajanja izjav za javnost, razen izvajanja neposrednega trženja. Zbirke osebnih podatkov, ki nastanejo na tej podlagi, morajo biti ločene od drugih zbirk osebnih podatkov, ki nastanejo pri izvrševanju zakonitih pristojnosti, nalog ali obveznosti.

IP meni, da iz zgornje določbe ne izhaja obveznost, da morate zbirko javno objavljenih kontaktov uničiti po vsakem izvedenem dogodku, na katerega ste vabili. Zagotoviti pa morate, da zbirko redno ažurirate, da v njej ne hranite predolgo podatkov, ki niso več javno objavljeni (na primer ker je učitelj zamenjal zaposlitev, se upokojil ali ker je šola kot delodajalec presodila, da učiteljevega e-naslova ne bo več javno objavljala).

Tehnični način vodenja take ločene zbirke je stvar presoje posameznega upravljavca. Vsekakor je bistveno, da pri obdelavi (tudi sam vpogled je obdelava), ne pride do nenadzorovane širitve namenov (t.i. function creep) in da se oseba, ki je pooblaščena zgolj za dostopanje to te zbirke, pri tem ne seznani z drugimi podatki iz primarne zbirke (npr. zbirke osebnih podatkov strank). V ta namen zbirke ni treba imeti nujno "fizično" ločene od svojega siceršnjega sistema upravljanja podatkov strank, vendar pa morajo biti vsi podatki v tej novi zbirki ne glede na način pridobitve npr. kontaktni e-naslovi, pridobljeni iz javno dostopnih virov ali iz zbirke podatkov o strankah, jasno označeni in tudi hranjeni kot taki in sicer na način, da se lahko vsakič ugotovi, da gre za ločeno zbirko (na primer z uporabo filtrov) in da se pred izločitvijo pooblaščena oseba niti ne seznani z ostalimi osebnimi podatki v primarni zbirki. Zasledovati je treba namen določbe zadnjega stavka prvega odstavka 93. člena ZVOP-2, ki je v tem, da se kontaktne podatke, ki so bili javno objavljeni, lahko uporablja le za namene, ki jih dovoljuje 93. člen ZVOP-2, druge podatke, ki so bili zbrani pri izvrševanju zakonitih pristojnosti, nalog ali obveznosti, pa lahko uporabljate za namene, za katere so bili zbrani. Ločenost zbirke (pri tem lahko nastane »podzbirka« ali se uporablja druge tehnične rešitve, ki omogočajo ustrezno filtriranje, sortiranje in izločanje) je torej potrebna za to, da se uveljavi načelo omejitve namena iz točke b) prvega odstavka 5. člena Splošne uredbe ter načelo zakonitosti obdelave iz točke a) prvega odstavka 5. člena Splošne uredbe.

Za konec poudarjamo še izbrana temeljna načela, ki naj bodo vaše vodilo v zvezi z obdelavo osebnih podatkov, ki jo opisujete. Osebni podatki morajo biti po določbi prvega odstavka 5. člena Splošne uredbe:

(a)obdelani zakonito, pošteno in na pregleden način v zvezi s posameznikom, na katerega se nanašajo osebni podatki („zakonitost, poštenost in preglednost“);

(b)zbrani za določene, izrecne in zakonite namene ter se ne smejo nadalje obdelovati na način, ki ni združljiv s temi nameni (…) („omejitev namena“);

(c)ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo („najmanjši obseg podatkov“);

(d)točni in, kadar je to potrebno, posodobljeni; sprejeti je treba vse razumne ukrepe za zagotovitev, da se netočni osebni podatki brez odlašanja izbrišejo ali popravijo ob upoštevanju namenov, za katere se obdelujejo („točnost“).

V upanju, da ste dobili odgovor na svoje vprašanje, vas lepo pozdravljamo.

dr. Jelena Virant Burnik, informacijska pooblaščenka

Pripravila

mag. Polona Merc, univ. dipl. prav., vodja mednarodnega sodelovanja in nadzora