- Napreden AI iskalnik za hitro iskanje primerov
- Dostop do celotne evropske in slovenske sodne prakse
- Samodejno označevanje ključnih relevantnih odstavkov
Podobni dokumenti
Ogledaj podobne dokumente za vaš primer.Prijavi se in poglej več podobnih dokumentov
Posredovanje podatka o IP naslovu stranki
Z nami najdeš vse. Preizkusi zdaj!
Samo zamislim si kaj bi rada da piše v sodbi, to vpišem v iskalnik, in dobim kar sem iskala. Hvala!
Tara K., odvetnica
Posredovanje podatka o IP naslovu stranki
Datum
05.03.2026
Številka
07121-1/2026/155
Kategorije
Pravne podlage, Svetovni splet, Telekomunikacije in pošta
Pri Informacijskem pooblaščencu (IP) smo prejeli vaše zaprosilo za mnenje glede posredovanja podatka o IP naslovu stranki. Kot ste pojasnili imate uporabniški sistem, ki vašim strankam omogoča prijavo. Kadar se stranka uspešno prijavi, se na kontaktni e-poštni naslov stranke posreduje sporočilo o uspešni prijavi, skupaj z delno zamaskiranim IP naslovom, da lahko stranka preveri, če gre za prijavo z njihove strani. Ena izmed strank je prejela to obvestilo in od vas zahteva, da ji posredujete celoten (nezamaskiran) IP naslov posameznika, ki se je prijavil v sistem.
Zanima vas, če lahko stranki posredujete celoten IP naslov ter s tem razkrijete osebni podatek posameznika, ki se je prijavil v sistem. Prosili bi za okvirno usmeritev, kako postopati v takem primeru oz. če bi s tem, ko bi razkrili IP naslov, kršili zakon.
Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22, 40/25 – ZInfV-1; v nadaljevanju: ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A; v nadaljevanju ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.
Uvodoma moramo izpostaviti, da se IP v okviru nezavezujočih mnenj ne more in ne sme opredeljevati, ali je konkreten postopek pri določenem zavezancu skladen z zakonodajo o varstvu osebnih podatkov; zakonitost in skladnost obdelav osebnih podatkov v okviru konkretnih postopkov obdelav osebnih podatkov pri določenem zavezancu lahko IP preveri le v okviru uradnih nadzornih postopkov in v okviru svojih pristojnosti.
IP se tako v nezavezujočem mnenju ne sme izreči, ali so opisani postopki in uporabljene rešitve skladne z zakonodajo o varstvu osebnih podatkov, temveč vas lahko le opozorimo na zahteve zakonodaje in podamo splošna pojasnila in priporočila.
IP uvodoma poudarja, da je za razlago pravil glede ustreznega ravnanja z osebnimi podatki zelo pomemben kontekst, v katerem poteka zadevna obdelava (t.j. okoliščine obdelave osebnih podatkov). V konkretnem primeru so pomembne okoliščine vsaj: za kakšno storitev gre in posledično za kakšno vrsto prijave gre, za kakšno vrsto stranke in v kakšnem svojstvu zahteva podatke (kot delodajalec, kot organ pregona itd.) ter nameni zahteve po podatkih. Ni razbrati, da bi lahko imeli enoten oz. enak pristop ne glede na konkretne okoliščine, saj so te bistvenega pomena. Vedno se je o posredovanju treba odločati glede na oba vidika: glede na namen in pravno podlago zbiranja in glede na namen in pravno podlago zahteve
Glede na javno dostopne informacije kot podjetje vašim strankam nudite naslednje storitve: registracijo domen, spletno gostovanje, orodja za izdelavo spletnih strani, spletne strežnike, izdelavo spletnih strani in druge storitve spletnega marketinga. Posledično glede na vaše vprašanje, kot je zastavljeno, predvidevamo, da gre za stranko, ki ima svojstvo pravne osebe, in ki uporablja vaš sistem za prijavo v npr. zaledni sistem za upravljanje njihove spletne strani.
Kontekst je lahko bistveno drugačen, če (svoje) podatke zahteva posameznik, npr. v okviru pravice do seznanitve z lastnimi osebnimi podatki po 15. členu Splošne uredbe, kar pa je po naši oceni glede na naravo storitev malo verjetno, saj se običajno s svojim IP naslovom posameznik relativno enostavno seznani sam. V primeru izjemnih situacij, kot so npr. zlorabe uporabniškega računa, je treba presojati morebitno zahtevo posameznika, ki bi zahteval podatke zase, glede na vse okoliščine primera in naravo podatkov. Noben primer zahteve ni za vse bodoče primer enoten ali enak.
Kot ste pojasnili, kadar se stranka uspešno prijavi, se na kontaktni e-poštni naslov stranke posreduje sporočilo o uspešni prijavi, skupaj z delno zamaskiranim IP naslovom, da lahko stranka preveri, če gre za prijavo z njihove strani. Ena izmed strank je, kot navajate, prejela to obvestilo in od vas zahteva, da ji posredujete celoten (nezamaskiran) IP naslov posameznika, ki se je prijavil v sistem.
Iz navedenega opisa ni razviden namen pridobitve zadevnega IP naslova, ki morda tudi vam ni bil podrobneje pojasnjen. Opredelitev namena pridobivanja osebnih podatkov je bistven element za presojo upravičenosti in zakonitosti zahteve za posredovanje osebnih podatkov in predstavlja dolžnost tistega, ki zahteva osebne podatke ter odgovornost pošiljatelja, da preveri vse potrebne elemente, da bo posredovanje osebnih podatkov zakonito. Nameni prejemnika podatkov so načeloma bistveni, vsaj na teoretični ravni pa so lahko zelo raznoliki – podatke morda potrebujejo za preverjanje, ali je prišlo do prijave v njihov sistem s strani nepooblaščene osebe (npr. z zlorabo uporabniških pooblastil enega od njihovih uporabnikov), za ugotavljanje, ali je sicer pooblaščena oseba zlorabila svoja uporabniška pooblastila; po drugi strani gre lahko za povsem druge namene, ki bi lahko sodili pod (upravičen ali neupravičen) nadzor nad zaposlenimi, ki nima povezave z varnostnimi nameni. Spet tretji nameni bi lahko bili zgolj statistično-analitične narave, odvisno od statusa, položaja in pooblastil vaše stranke pa bi potencialno lahko šlo tudi za uporabo v različnih postopkih (od disciplinskih, do pravdnih, kazenskih in drugih postopkov). Kot rečeno so nameni obdelave bistvenega pomena in brez jasne opredelitve namene se je težko opredeljevati, ali gre za legitimen in zakonit namen pridobitve osebnih podatkov.
Ob tem je treba opozoriti, da postopek posredovanja osebnih podatkov določa ZVOP-2 in sicer prvi odstavek 41. člena ZVOP-2 določa, da če drug zakon ne določa drugače, zahteva za posredovanje osebnih podatkov vsebuje naslednje podatke:
1.podatke o vlagatelju zahteve (za fizično osebo: osebno ime, naslov stalnega ali začasnega prebivališča; za samostojnega podjetnika posameznika, posameznika, ki samostojno opravlja dejavnost, ter za pravno osebo: naziv oziroma firmo in naslov oziroma sedež in matično številko) ter podpis vlagatelja oziroma pooblaščene osebe;
2.pravno podlago za pridobitev zahtevanih osebnih podatkov;
3.namen obdelave osebnih podatkov oziroma razloge, ki izkazujejo potrebnost in primernost osebnih podatkov za dosego namena pridobitve;
4.predmet in številko ali drugo identifikacijo zadeve, v zvezi s katero so osebni podatki potrebni, ter navedbo organa ali drugega subjekta, ki obravnava zadevo;
5.vrste osebnih podatkov, ki naj se mu posredujejo;
6.obliko in način pridobitve zahtevanih osebnih podatkov.
Glede na navedeno vam priporočamo, da – kolikor zahteva za posredovanje podatkov ne vsebuje vseh navedenih elementov – na stranko naslovite poziv za dopolnitev zahteve. Popolnost zahteve za posredovanje osebnih podatkov je namreč bistvenega pomena za vaše pravilno odločanje, saj ste kot upravljavec podatkov dolžni pred posredovanjem preveriti vse navedene informacije.
Drugi odstavek 41. člena ZVOP-2 dalje določa, da upravljavec vlagatelju zahteve, če drug zakon ne določa drugače, zahtevane osebne podatke posreduje najpozneje v 15 dneh od prejema popolne zahteve ali pa ga v tem roku pisno obvesti o razlogih, zaradi katerih mu zahtevanih osebnih podatkov ne bo posredoval. Upravljavec in vlagatelj zahteve se v roku iz prejšnjega stavka lahko dogovorita za njegovo podaljšanje.
Tretji in četrti odstavek 41. člena ZVOP-2 dalje določata, da če upravljavec ne ravna v skladu s prejšnjim odstavkom, se šteje, da je zahteva zavrnjena. Če je zahteva za posredovanje osebnih podatkov delno ali v celoti zavrnjena, lahko vlagatelj zahteve v primeru, ko se zahteva nanaša na posredovanje osebnih podatkov iz uradnih evidenc ali javnih knjig, zahteva, da o njegovi vlogi najprej odloči nadzorni organ. Kadar ta zavrne zahtevo ali kadar na prvi stopnji odloča nadzorni organ sam, lahko vlagatelj zahteva sodno varstvo, o katerem odloča pristojno sodišče v skladu z zakonom, ki ureja upravni spor. V primeru zavrnitve zahteve za posredovanje osebnih podatkov iz zbirk, ki niso uradne evidence ali javne knjige, lahko vlagatelj zahteva sodno varstvo, o katerem odloča sodišče s splošno pristojnostjo v skladu z zakonom, ki ureja nepravdni postopek.
Opozoriti velja še na dolžnost po šestem odstavku 41. člena ZVOP-2, po katerem mora upravljavec za vsako posredovanje osebnih podatkov zagotoviti možnost poznejše ugotovitve, kateri osebni podatki so bili posredovani, komu, kdaj in na kateri pravni podlagi, za kateri namen oziroma iz katerih razlogov oziroma za potrebe katerega postopka, razen če drug zakon za posredovanje posameznih vrst podatkov določa drugače oziroma je to razvidno iz dnevnika obdelave po 22. členu ZVOP-2. Informacije o posredovanju osebnih podatkov upravljavec hrani dve leti, razen če drug zakon za posredovanje posameznih vrst podatkov določa drugačen rok (sedmi odstavek).
V primeru zahteve posameznika za posredovanje osebnih podatkov, ki se nanašajo nanj, na podlagi 15. člena Splošne uredbe, si lahko več o obveznostih upravljavcev preberete na: https://www.ip-rs.si/varstvo-osebnih-podatkov/pravice-posameznika/seznanitev-z-lastnimi-osebnimi-podatki
Če torej povzamemo predlagamo, da v primeru, da nimate vseh potrebnih informacij za odločitev, na stranko naslovite poziv za dopolnitev vloge. Ko prejmete popolno vlogo, je na vas kot upravljavcu, da presodite, ali so izpolnjeni pogoji za zakonito posredovanje osebnih podatkov, brez vseh navedenih informacij pa je vnaprej preuranjeno delati kakršne koli zaključke o zakonitosti ali nezakonitosti posredovanja.
Pri tem vas moramo posebej opozoriti, da glede na prakso Ustavnega sodišča[1] ne samo vsebina komunikacije, temveč tudi prometni podatki, med katere sodi IP naslov kot identifikator vira komunikacije, uživajo varstvo komunikacijske zasebnosti po 37. členu Ustave RS, ki določa stroge pogoje, kdaj jih je dovoljeno posredovati oziroma razkriti. Med bistvene pogoje sodi odredba sodišča; pogoje za pridobivanje prometnih podatkov v kazensko-pravnem kontekstu denimo ureja 149.b člen Zakona o kazenskem postopku (ZKP-1), v drugih kontekstih pa druga področna zakonodaja, kot rečeno pa se je brez vnaprej jasno določenega konteksta nemogoče vnaprej opredeljevati glede dopustnosti posredovanja, gotovo pa je, da za posredovanje podatkov o IP naslovih veljajo strogi ustavni pogoji.
Glede na vaše področje delovanja je moč predvidevati, da ne bo šlo za osamljeno zahtevo za podatke, zato priporočamo, da temeljito preučite pravne podlage za posredovanje podatkov o IP naslovih s strani različnih prosilcev in da temu ustrezno po potrebi prilagodite tudi vaše splošne pogoje nudenja storitev.
Lepo vas pozdravljamo,
dr. Jelena Virant Burnik,
Informacijska pooblaščenka
Pripravil:
mag. Andrej Tomšič,
namestnik informacijske pooblaščenke
---
[1]Glej npr. odločitev v zadevi Up-106/05: https://www.us-rs.si/sl/zadeve-in-odlocitve/odlocitve/up-10605.