- Napreden AI iskalnik za hitro iskanje primerov
- Dostop do celotne evropske in slovenske sodne prakse
- Samodejno označevanje ključnih relevantnih odstavkov
Podobni dokumenti
Ogledaj podobne dokumente za vaš primer.Prijavi se in poglej več podobnih dokumentov
Skladnost aplikacije z zakonodajo o varstvu osebnih podatkov
Z nami najdeš vse. Preizkusi zdaj!
Samo zamislim si kaj bi rada da piše v sodbi, to vpišem v iskalnik, in dobim kar sem iskala. Hvala!
Tara K., odvetnica
Skladnost aplikacije z zakonodajo o varstvu osebnih podatkov
Datum
28.04.2025
Številka
07121-1/2025/535
Kategorije
Moderne tehnologije, Obdelava osebnih podatkov otrok in mladoletnih, Policijski postopki, Posredovanje osebnih podatkov, Pravne podlage, Privolitev, Pravica do seznanitve z lastnimi osebnimi podatki
pri Informacijskem pooblaščencu (IP) smo prejeli vaše zaprosilo za mnenje glede razvoja določene aplikacije.
Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena ZVOP-2[1], 58. členom Splošne uredbe[2], ter 2. členom ZInfP[3] posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.
Izvajanje pregleda ali podajanje predhodnega soglasja k obrazcem, storitvam, aplikacijam ali drugim rešitvam upravljavcev z vidika njihove skladnosti z veljavnimi predpisi s področja varstva osebnih podatkov ne sodi v pristojnost IP.
Upravljavec mora pred uvedbo posamezne rešitve presoditi dopustnost in sorazmernost obdelav osebnih podatkov, ki bodo obdelovani v njenem okviru. Preveriti je treba, ali za upravljavca velja zahteva po izvedbi ocene učinka v zvezi z varstvom osebnih podatkov, v vsakem primeru pa je izdelava takšne ocene priporočljiva.
Obrazložitev
IP uvodoma poudarja, da lahko podaja neobvezujoča mnenja in pojasnila, ne sme pa izven konkretnih nadzornih ali drugih upravnih postopkov preverjati primernosti izbrane pravne podlage ali namenov oziroma obsega obdelave osebnih podatkov v konkretnem primeru. Presoja oziroma vnaprejšnja odobritev različnih obrazcev, storitev, aplikacij ali drugih rešitev, ki jih uvajajo posamezni upravljavci, z vidika njihove skladnosti z veljavnimi predpisi, ne sodi v pristojnost IP. IP kot nadzorni organ na področju varstva osebnih podatkov v okviru neobvezujočega mnenja tako ne more presojati skladnosti rešitve, ki ste jo na kratko opisali v vašem zaprosilu za mnenje, s predpisi s področja varstva osebnih podatkov.
Pravne podlage za obdelavo osebnih podatkov
IP uvodoma pojasnjuje, da mora vsaka obdelava osebnih podatkov potekati transparentno in skladno z določbami Splošne uredbe in ZVOP-2. Splošna uredba v prvem odstavku 6. člena določa, da je obdelava osebnih podatkov zakonita le in kolikor je za konkretni namen obdelave izpolnjen eden od naslednjih pogojev:
(a)posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov;
(b)obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe;
(c)obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca;
(d)obdelava je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe;
(e)obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu;
(f)obdelava je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok.
Posredovani splošni pogoji uporabe opisujejo različne pravne podlage za obdelavo osebnih podatkov v okviru aplikacije ter namene njihove obdelave. Upravljavci tovrstnih rešitev podatke uporabnikov lahko obdelujejo tudi na več različnih pravnih podlagah iz 6. člena Splošne uredbe, pri čemer pa mora upravljavec jasno opredeliti, katere osebne podatke obdeluje na kateri pravni podlagi in za kateri namen. To iz posredovanih splošnih pogojev uporabe ni jasno.
V zvezi s pravnimi podlagami za obdelavo osebnih podatkov IP še opozarja, da morajo imeti tudi tretje osebe (npr. policija), ki bi do podatkov (npr. lokacije posameznika) v aplikaciji dostopale ali pa bi jim bili podatki posredovani, za pridobivanje teh podatkov pravno podlago, ki pa iz posredovanih splošnih pogojev ni razvidna. Konkretno glede predvidenega posredovanja podatkov policiji, IP pojasnjuje, da posredovanje [prometnih in] lokacijskih podatkov policiji v primerih varovanja življenja in telesa s strani telekomunikacijskih operaterjev že ureja ZEKom-2[4] v 220. členu, pridobivanje osebnih podatkov s strani policije pa urejata še ZKP[5] in ZNPPol[6]. V skladu s tretjim odstavkom 6. člena ZVOP-2 se v javnem sektorju lahko obdelujejo osebni podatki posameznika, ki je dal privolitev za obdelavo svojih osebnih podatkov za enega ali več določenih namenov, če tako možnost določa zakon, sicer pa na podlagi privolitve, če ne gre za izvrševanje zakonskih pristojnosti, nalog ali oblastnih obveznosti javnega sektorja. IP ni znana zakonska podlaga, ki bi omogočala predvideno pridobivanje lokacijskih podatkov s strani policije ali regijskega centra za obveščanje, kot opisujete v vašem dopisu.
V kolikor upravljavec osebne podatke obdeluje na podlagi privolitve posameznika (točka (a) prvega odstavka 6. člena Splošne uredbe), mora biti ta privolitev prostovoljna, specifična, informirana in podana z nedvoumno izjavo ali jasnim pritrdilnim dejanjem (enajsti odstavek 4. člena Splošne uredbe). Da bi bila privolitev informirana, mora upravljavec posameznika, na katerega se nanašajo osebni podatki, obvestiti o nekaterih elementih, ki so ključni za odločitev[7], in sicer:
(i)o identiteti upravljavca;
(ii)namenu vsakega od dejanj obdelave, za katera se zahteva privolitev;
(iii)kateri podatki (vrsta podatkov) se bodo zbirali in uporabili;
(iv)obstoj pravice do preklica privolitve;
(v)informacije o uporabi podatkov za avtomatizirano sprejemanje odločitev v skladu s členom 22(2)(c), kjer je to ustrezno; in
(vi)mogoča tveganja prenosov podatkov zaradi neobstoja sklepa o ustreznosti in ustreznih zaščitnih ukrepov, kot so opisani v členu 46 Splošne uredbe.
V konkretnem primeru bi to pomenilo, da mora biti posameznik pred podajo privolitve informiran tudi o tem, kateri podatki, komu in pod katerimi pogoji se posredujejo. Podrobnejša pojasnila o veljavnosti privolitve kot podlage za obdelavo osebnih podatkov so na voljo v smernicah Evropskega odbora za varstvo podatkov na: https://www.edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines_202005_consent_sl_0.pdf.
Ker iz vašega dopisa izhaja, da naj bi aplikacijo uporabljali tudi otroci, IP opozarja na določbo 8. člena ZVOP-2, pride v poštev, ko (1) gre za obdelavo podatkov, povezano s storitvami informacijske družbe[8] (npr. spletne platforme, aplikacije ipd.), in se te storitve ponujajo neposredno otrokom ali se lahko verjetno domneva, da jih bodo uporabljali otroci, in (2) obdelava podatkov temelji na privolitvi (in ne drugi pravni podlagi iz prvega odstavka 6. člena Splošne uredbe). Če je otrok mlajši od 15 let, je privolitev veljavna le, če jo da ali odobri eden od staršev otroka, njegov skrbnik ali oseba, ki ji je podeljena starševska skrb. Kadar se storitev informacijske družbe ponuja neodplačno, lahko privolitev odobri tudi rejnik ali predstavnik zavoda, v katerega je nameščen otrok. V primerih, ko pogoji poslovanja izvajalca storitev informacijske družbe predpisujejo višjo starost otroka za uporabo teh storitev, se upošteva starost iz navedenih pogojev poslovanja izvajalca storitev.
Ob tem IP posebej opozarja na načelo najmanjšega obsega podatkov, ki določa, da morajo biti pod pogojem, da obstaja pravna podlaga, osebni podatki, ki se obdelujejo, ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo. Navedeno načelo pomeni, da je potrebno obdelovati samo toliko osebnih podatkov, kolikor je nujno potrebno za dosego zakonitega namena obdelave.
Ocena učinka v zvezi z varstvom podatkov
IP na splošno vsem subjektom, ki razmišljajo o uvedbi podobnih rešitev, kot jo navajate v vašem dopisu, priporoča, da v skladu s 35. členom Splošne uredbe izvedejo oceno učinka v zvezi z varstvom osebnih podatkov. Gre za vnaprejšnjo presojo, ali oziroma pod kakšnimi pogoji bi bila predlagana rešitev zakonita, sorazmerna, transparentna, varna itd. Zelo pomembno je izhajati iz težav, ki naj bi jih reševali z uvedbo rešitve, pri čemer je treba realno oceniti, ali se bo na tak način dejansko doseglo zasledovane cilje in ali teh ciljev ni mogoče doseči na drug način (npr. z uporabo drugih sredstev za dosego cilja), ki bi manj posegal v pravice posameznika. Ključne informacije o oceni učinka so na voljo tudi na spletni strani IP: https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/ključna-področja-uredbe/ocena-učinka-v-zvezi-z-varstvom-podatkov/. IP nadalje pojasnjuje, da je v skladu s prvim odstavkom 35. člena Splošne uredbe temeljni kriterij za vprašanje, kdaj je ocena učinkov obvezna, zlasti ocena, ali bo obdelava povzročila veliko tveganje za pravice in svoboščine posameznikov. Dodatni kriteriji so opredeljeni v tretjem odstavku istega člena. Ob tem je treba preveriti tudi, ali gre morda za obliko obdelave iz Seznama dejanj obdelav osebnih podatkov, za katere velja zahteva po izvedbi ocene učinka v zvezi z varstvom osebnih podatkov po četrtem odstavku 35. člena Splošne uredbe in ko je torej predhodna izvedba ocene učinka v zvezi z varstvom osebnih podatkov obvezna. IP je pripravil tak seznam in ga objavil na spletni strani: https://www.ip-rs.si/fileadmin/user_upload/Pdf/Ocene_ucinkov/Seznam_dejanj_obdelav_osebnih_podatkov__za_katere_velja_zahteva_po_izvedbi_ocene_ucinka_v_zvezi_z_varstvom_osebnih_podatkov.pdf
IP pojasnjuje, da se navedeni kriteriji lahko uporabljajo prepleteno in ne predstavljajo izključnega seznama. IP na podlagi navedb v vašem dopisu meni, da bi v konkretnem primeru lahko šlo za rešitev, ki ima pomembne posledice na varstvo osebnih podatkov (npr. predvideno pridobivanje podatkov s strani organov pregona), zato je glede na določbe Splošne uredbe potrebno, da se pred implementacijo rešitve opravi ustrezna ocena učinka na varstvo osebnih podatkov. IP močno odsvetuje implementacijo podobnih rešitev brez ustrezno izvedenih predhodnih ocen učinkov na varstvo osebnih podatkov. Več informacij o sami izdelavi ocene učinka je na voljo v smernicah, ki jih je pripravil IP in so dostopne na spletni strani IP: https://www.ip-rs.si/fileadmin/user_upload/Pdf/Ocene_ucinkov/Smernice_o_ocenah_ucinka__DPIA__julij2018.pdf
IP poudarja, da mora upravljavec pri uvedbi tovrstnih rešitev zagotoviti skladnost s Splošno uredbo, ter tako poleg ustrezne pravne podlage upoštevati tudi načela Splošne uredbe, predvsem že zgoraj omenjeno t.i. načelo najmanjšega obsega podatkov. Upravljavec mora nadalje tudi presoditi, ali je uporaba rešitve v dane namene primerna in sorazmerna ter opraviti predhodno presojo, ali je mogoče uporabiti alternativno možnost, ki manj posega v zasebnost posameznikov.
Obveščanje posameznikov
IP posebej opozarja, da pomemben in pogosto zapostavljen vidik predstavlja tudi obveščanje posameznikov o obdelavi osebnih podatkov. Pred uvedbo konkretne rešitve je upravljavec v skladu z zahtevami 13. in 14. člena Splošne uredbe dolžan uporabnike seznaniti z rešitvijo, namenom in načinom njene uvedbe, njenim delovanjem ter drugimi informacijami o obdelavi osebnih podatkov, do katere bo prišlo pri njeni uporabi. Navedene informacije morajo biti čim bolj jasne, pregledne in posameznikom razumljive ter lahko dostopne. IP je za pomoč upravljavcem pri obveščanju posameznikov glede obdelave osebnih podatkov pripravil posebno rubriko, ki je dostopna na spletni strani IP: https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/ključna-področja-uredbe/obveščanje-posameznikov-o-obdelavi-osebnih-podatkov. Na tej podstrani lahko najdete tudi vzorca obvestila posameznikom po 13. oziroma 14. členu Splošne uredbe.
Varnost obdelave
Ob tem mora upravljavec poskrbeti tudi za ustrezno varnost uporabe rešitve in zavarovanje samih zbirk osebnih podatkov, ki bi nastale na podlagi njene uporabe. Gre za organizacijske in tehnične ukrepe, ki jih določa Splošna uredba v 24., 25. in 32. členu. Dodatne informacije v zvezi z zavarovanjem osebnih podatkov so na voljo v smernicah IP, ki so dostopne na spletni strani IP: https://www.ip-rs.si/fileadmin/user_upload/Pdf/smernice/Smernice_o_zavarovanju_OP.pdf
Omejitve pravic posameznikov
Splošna uredba omejitve pravic posameznikov po 12.-22. in 34. členu v skladu s 23. členom dopušča z zakonodajnim ukrepom pod pogojem, da tak zakonodajni ukrep vsebuje posebne določbe vsaj, kjer je ustrezno, glede namenov obdelave ali vrst obdelave; vrst osebnih podatkov; obsega omejitev; zaščitnih ukrepov za preprečitev zlorab ali nezakonitega dostopa ali prenosa; natančnejše ureditve upravljavca ali vrst upravljavcev; obdobij hrambe in veljavnih zaščitnih ukrepov, pri čemer se upoštevajo narava, obseg in nameni obdelave ali vrste obdelave; tveganj za pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki, ter pravice posameznikov, na katere se nanašajo osebni podatki, da so obveščeni o omejitvi, razen če bi to posegalo v namen omejitve. Pravice dostopa s splošnimi pogoji uporabe aplikacije ne morete omejiti.
IP sklepno ponavlja, da v okviru neobvezujočega mnenja ne more presojati ustreznosti posameznih rešitev oziroma ravnanja posameznih zavezancev, ampak to lahko presoja le v okviru konkretnega nadzornega oziroma drugega upravnega postopka, ko so znane vse konkretne okoliščine posameznega primera. Presoja glede zakonitosti obdelave oziroma obstoja pravne podlage za posamezno obdelavo je primarno vedno na upravljavcu osebnih podatkov. Upravljavec je torej v vsakem posameznem primeru odgovoren za zakonitost ter sorazmernost obdelav osebnih podatkov, ki jih izvaja.
Lepo vas pozdravljamo.
Pripravila
Sandra Kajtazović, univ. dipl. prav.
dr. Jelena Virant Burnik, informacijska pooblaščenka
[8]»storitev informacijske družbe« pomeni storitev, kakor je opredeljena v točki (b) člena 1(1) Direktiva (EU) 2015/1535 Evropskega parlamenta in Sveta z dne 9. septembra 2015 o določitvi postopka za zbiranje informacij na področju tehničnih predpisov in pravil za storitve informacijske družbe (UL L 241, 17.9.2015, str. 1).
Financira Evropska unija. Izražena stališča in mnenja so izključno mnenja avtorja in ne odražajo nujno stališč in mnenj Evropske unije ali Evropske komisije. Niti Evropska unija niti organ, ki dodeljuje sredstva, zanje ne odgovarjata.