Neposredno trženje po SMS in postopki IP

Datum

25.03.2024

Številka

07121-1/2024/342

Kategorije

Inšpekcijski postopki, Neposredno trženje, nagradne igre, Pravica do izbrisa - pozabe, Pravica do seznanitve z lastnimi osebnimi podatki, Pravica do ugovora, Upravni postopki

Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaše zaprosilo za mnenje. Pojasnjujete, da ste v spletni trgovini želeli izvesti nakup, vendar ga niste dokončali. Kljub temu vam je upravljavec poslal SMS sporočilo, da opravite nakup, saj bodo sicer pošle zaloge. Zanima vas, ali je IP pristojen za kršitev povezano z neposrednim trženjem preko SMS. Zanima vas tudi, ali lahko v primeru prijave na podlagi Zakona o zaščiti prijaviteljev ostanete anonimni v razmerju do upravljavca.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22; v nadaljevanju: ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, 51/07 – ZUstS-A; ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

Neposredno trženje preko SMS sporočil je dovoljeno le, če je posameznik vanj privolil. Neposredno trženje ureja Zakon o elektronskih komunikacijah v 226. členu. Nadzor nad izvajanjem določbe opravlja AKOS. IP za to ni pristojen.

V kolikor upravljavec obdeluje vaše osebne podatke nezakonito (npr. nima pravne podlage za hrambo vaše telefonske številke), lahko pri IP vložite pritožbo zaradi nezakonite obdelave vaših osebnih podatkov.

Posameznik ima na podlagi Splošne uredbe o varstvu podatkov več pravic, ki jih lahko uveljavlja – pravico do obveščenosti (glede informacij o pravnih podlagah obdelave telefonske številke), pravico do seznanitve (seznanitev z informacijo o namenih obdelave telefonske številke) ter pravico do ugovora in do izbrisa (če želite, da upravljavec preneha uporabljati vašo telefonsko številko oz. jo izbriše iz baze podatkov). IP nastopa kot pritožbeni organ v postopkih uveljavljanja teh pravic.

IP meni, da Zakon o zaščiti prijaviteljev v danem primeru ne pride v poštev, saj ne gre za prijavo v povezavi s kršitvami zakonodaje v delovnem okolju. IP vodi inšpekcijske in pritožbene postopke. V okviru inšpekcijskih postopkov je identiteta prijavitelja varovana, prijavitelj pa ni stranka postopka. V pritožbenem postopku oz. postopku, kjer posameznik meni, da upravljavec krši zakonodajo pri obdelavi njegovih osebnih podatkov, pritožnik nastopa kot stranka postopka, njegova identiteta pa je razkrita nasprotni stranki.

O b r a z l o ž i t e v:

1. Glede neposrednega trženja preko SMS

Neposredno trženje preko SMS sporočil ureja Zakon o elektronskih komunikacijah v 226. členu (Uradni list RS, št. 130/22 in 18/23 – ZDU-1O), ki v prvem odstavku določa, da je uporaba samodejnih klicnih in komunikacijskih sistemov za opravljanje klicev na naročnikovo telefonsko številko brez človekovega posredovanja (npr. klicni avtomati, SMS, MMS), telefaksov ali elektronske pošte za namene neposrednega trženja dovoljena samo na podlagi naročnikovega ali uporabnikovega predhodnega soglasja (privolitve). Neposredno trženje preko SMS sporočil je torej dovoljeno le, če je posameznik vanj privolil. Več o pravni ureditvi neposrednega trženja lahko preberete na spletni strani: https://tiodlocas.si/neposredno-trzenje-lahko-ga-omejite-preklicete-odlocitev-je-vasa/.

IP dodatno pojasnjuje, da ZEKom-2 v 3. členu definira soglasje kot osebno privolitev uporabnika ali naročnika v skladu s predpisi, ki urejajo varstvo osebnih podatkov. Vprašanje veljavnosti privolitve in možnost njenega naknadnega preklica ureja Splošna uredba v 11. točki 4. člena in 7. členu. Slednji v tretjem odstavku določa, da ima posameznik, na katerega se nanašajo osebni podatki, pravico, da svojo privolitev kadar koli prekliče na enako enostaven način kot je bila privolitev dana. ZEKom-2 glede preklica privolitve (zavrnitve soglasja) dodatno določa, da mora biti za posameznika brezplačen.

Za nadzor nad izvajanjem 226. člena ZEKom-2 je pristojna Agencija za komunikacijska omrežja in storitve Republike Slovenije (AKOS), njihovi kontaktni podatki so dostopni na spletni strani: https://www.akos-rs.si/.

Na upravljavca se lahko v danem primeru obrnete z zahtevo za uveljavljanje pravice za seznanitev z lastnimi osebnimi podatki po 15. členu Splošne uredbe. Ta posamezniku omogoča, da dostopa do osebnih podatkov, ki jih o njem obdeluje upravljavec, in da od upravljavca pridobi določene informacije glede obdelave. Med drugim lahko pridobi informacijo o namenih obdelave podatkov – v konkretnem primer telefonske številke. Več o pravici si lahko preberete na strani: https://tiodlocas.si/zelim-vedeti-kaj-pocnejo-z-mojimi-podatki/ in o tem, kako jo uveljavljati: https://tiodlocas.si/kako-uveljavim-svoje-pravice/. Poleg tega je upravljavec dolžan posameznike obvestiti o obdelavi osebnih podatkov po 13. členu Splošne uredbe. Med drugim mora posameznikom zagotoviti informacije o pravni podlagi za obdelavo podatkov. Po navadi so te informacije dostopne na spletni strani v okviru Izjave o zasebnosti, sicer pa lahko posameznik te informacije od upravljavca tudi zahteva, da jih zagotovi. Več o pravici do obveščenosti: https://tiodlocas.si/moram-biti-obvescen/. Nenazadnje lahko posameznik, ki želi da upravljavec preneha uporabljati njegove osebne podatke ali izbriše osebne podatke iz baze podatkov, pod določenimi pogoji pri upravljavcu uveljavlja tudi pravico do ugovora iz 21. člena Splošne uredbe (https://tiodlocas.si/zelim-ugovarjati-obdelavi-mojih-podatkov/) ali pravico do izbrisa osebnih podatkov pod pogoji iz 17. člena Splošne uredbe (https://tiodlocas.si/zelim-izbrisati-svoje-podatke/). Pri uveljavljanju vseh navedenih pravic si lahko posameznik pomaga z obrazci, ki so dostopni na: https://www.ip-rs.si/obrazci/varstvo-osebnih-podatkov/. Če upravljavec tako zahtevo posameznika delno ali v celoti zavrne ali nanjo ne odgovori v enomesečnem roku, lahko prizadeti posameznik na IP naslovi pritožbo (pri tem lahko posameznik uporabi obrazce, ki so dostopni na: https://www.ip-rs.si/obrazci/varstvo-osebnih-podatkov/).

2. Glede ZZPri in postopkov, ki jih vodi IP

V skladu s 1. členom Zakona o zaščiti prijaviteljev (Uradni list RS, št. 16/23; v nadaljevanju: ZZPri) ta določa ukrepe in postopke za prijavo kršitev predpisov, za katere so posamezniki izvedeli v delovnem okolju, in njihovo obravnavo ter zaščito posameznikov, ki prijavijo ali javno razkrijejo informacije o kršitvi. Glede na vaše navedbe je IP mnenja, da ZZPri v vašem primeru ne bi prišel v poštev, saj ne gre za prijavo kršitev, za katere ste izvedeli v svojem delovnem okolju, temveč gre za prijavo zoper spletno trgovino, v okviru katere ste želeli opraviti nakup.

V zvezi s postopki, ki jih vodi IP, pojasnjujemo, da na podlagi prejete vloge (prijave ali pritožbe) IP vodi dva tipa postopkov – inšpekcijski in pritožbeni oz. postopek, ki se vodi na zahtevo prijavitelja s posebnim položajem. Prijava ima naravo pobude za uvedbo inšpekcijskega postopka po Zakonu o inšpekcijskem nadzoru (Uradni list RS, št. 43/07; v nadaljevanju: ZIN). Gre za postopek, ki ga IP uvede po uradni dolžnosti in preverja, ali določen zavezanec (sistemsko) krši predpise s področja varstva osebnih podatkov. Prijavitelj v takem postopku ni stranka inšpekcijskega postopka in v njem tudi ne more sodelovati kot stranski udeleženec. V inšpekcijskem postopku IP v skladu z določbami ZIN ne razkrije podatkov prijavitelja (gre za varovanje tajnosti vira prijave).

V kolikor konkretna vloga po vsebini ne predstavlja pobude za uvedbo inšpekcijskega postopka, temveč je iz navedb v njej mogoče sklepati, da posameznik meni, da obdelava njegovih osebnih podatkov s strani upravljavca krši predpise s področja varstva osebnih podatkov, lahko IP odloča le v okviru postopka z zahtevo posameznika za nadzor zakonitosti obdelave njegovih osebnih podatkov v skladu s 30. členu ZVOP‑2 (v nadaljevanju: pritožba). Namreč postopka nadzora ne bi bilo mogoče voditi brez razkritja identitete posameznika. V takem primeru IP vlogo obravnava kot pritožbo, postopek se vodi v skladu z Zakonom o splošnem upravnem postopku (Uradni list RS, št. 24/06 – uradno prečiščeno besedilo, 105/06 – ZUS-1, 126/07, 65/08, 8/10, 82/13, 175/20 – ZIUOPDVE in 3/22 – ZDeb; v nadaljevanju: ZUP) in pritožnik nastopa kot stranka postopka. V tem postopku je pritožnikova identiteta in njegova vloga razkrita nasprotni strani. Takšna pritožba oz. vloga mora biti v skladu s 66. členom ZUP razumljiva in mora obsegati vse, kar je treba, da se lahko obravnava. Predvsem mora obsegati: navedbo organa, kateremu se pošilja, zadevo, katere se tiče, zahtevek oziroma predlog, navedbo o tem, kdo je morebitni zastopnik ali pooblaščenec, osebno ime, firmo oziroma osebno ime vlagatelja, prebivališče (naslov) oziroma sedež vložnika oziroma njegovega zastopnika ali pooblaščenca. Vloga mora biti lastnoročno podpisana ali podpisana z varnim elektronskim podpisom s kvalificiranim potrdilom. Iz vloge mora izhajati, kdo je upravljavec ali obdelovalec, zoper katerega se vlaga pritožba, in navedena mora biti kršitev pri obdelavi ali varnosti osebnih podatkov posameznika, ki predstavlja kršitev predpisov s področja varstva osebnih podatkov.

Tako prijavo kot pritožbo lahko posameznik vloži s pomočjo enotnega obrazca, ki je dostopen na: https://www.ip-rs.si/fileadmin/user_upload/doc/obrazci/ZVOP/Enotni%20obrazec.docx.

Lepo vas pozdravljamo,

Pripravila:

Neja Domnik, Državna nadzornica za varstvo osebnih podatkov

Mojca Prelesnik, univ. dipl. prav., Informacijska pooblaščenka