Pojasnila o varstvu osebnih podatkov

Datum

21.11.2025

Številka

07121-1/2025/1367

Kategorije

Evidence dejavnosti obdelave, Informiranje posameznika, Privolitev

Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaše zaprosilo za mnenje glede zbiranja in javne objave osebnih podatkov v okviru delovanja neformalne civilne iniciative ter njenega potencialnega kasnejšega preoblikovanja v zavod. 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22, 40/25 – ZInfV-1; v nadaljevanju: ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, 51/07 – ZUstS-A; ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

Privolitev mora biti v primerih, ko obdelava podatkov vključuje več različnih namenov, podana za vsak namen posebej. Posameznik mora tako imeti možnost privoliti v obdelavo svojih osebnih podatkov za vsak namen obdelave posebej. Predhodna informiranost posameznika o obdelavi njegovih podatkov je prav tako ključen element zakonite obdelave osebnih podatkov.

Osebni podatki, ki se obdelujejo, morajo biti ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo.

Privolitev je treba hraniti najmanj toliko časa, dokler se podatki obdelujejo na njeni podlagi, ter še določeno obdobje po prenehanju obdelave, da se lahko dokaže zakonitost obdelave osebnih podatkov.

Obdelava oziroma dostop do osebnih podatkov znotraj upravljavca je načeloma stvar odločitve vodstva ter posledično notranje organizacije upravljavca in ureditve v internih aktih.

Obrazložitev

IP uvodoma poudarja, da lahko podaja neobvezujoča mnenja in pojasnila, ne sme pa izven konkretnih nadzornih ali drugih upravnih postopkov preverjati primernosti izbrane pravne podlage ali namenov oziroma obsega obdelave osebnih podatkov v konkretnem primeru.

IP splošno pojasnjuje, da mora imeti upravljavec (v konkretnem primeru vaša iniciativa) za vsako obdelavo osebnih podatkov zakonito in ustrezno pravno podlago. Prvi odstavek 6. člena ZVOP-2 določa, da se osebni podatki lahko obdelujejo le takrat in v obsegu, kadar je to v skladu s pravnimi podlagami za obdelavo osebnih podatkov iz prvega odstavka 6. in 9. člena Splošne uredbe. Ta v prvem odstavku 6. člena določa različne pravne podlage za zakonito obdelavo osebnih podatkov. Obdelava je tako zakonita le in kolikor je za konkretni namen obdelave in konkretne osebne podatke izpolnjen eden od naslednjih pogojev:

a)posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov;

(b)obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe;

(c)obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca;

(d)obdelava je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe;

(e)obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu;

(f)obdelava je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok.

Za vsako obdelavo osebnih podatkov je torej treba zagotoviti eno od navedenih pravnih podlag. Izbira pravne podlage in odgovornost za ustreznost te izbire je na samem upravljavcu. Glede privolitve kot možne pravne podlage za obdelavo osebnih podatkov podpornikov v konkretnem primeru IP splošno pojasnjuje, da mora biti privolitev posameznika v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov, podana v skladu z določili 7. člena Splošne uredbe. Privolitev posameznika mora biti konkretna, razumljiva izjava ali drugo nedvoumno pritrdilno dejanje in dokazljiva. Privolitev mora biti dana z jasnim pritrdilnim dejanjem, kar pomeni, da posameznik prostovoljno, specifično, ozaveščeno in nedvoumno izrazi privolitev v obdelavo osebnih podatkov v zvezi z njim. Privolitev mora biti jasna oziroma razumljiva in ločena od drugih izjav. Molk, vnaprej označena okenca ali kakršnakoli nedejavnost tako ne pomenijo privolitve. Posameznik mora torej jasno podati privolitev za zbiranje in obdelavo svojih osebnih podatkov za konkreten namen. Upravljavec mora biti zmožen dokazati, da je posameznik privolil v obdelavo svojih osebnih podatkov. Posameznik ima tudi pravico, da svojo privolitev kadarkoli prekliče.

IP ob tem poudarja tudi, da mora biti privolitev v primerih, ko obdelava podatkov vključuje več različnih namenov (v konkretnem primeru navajate prejemanje obvestil), podana za vsak namen posebej. Upravljavec mora pridobiti več ločenih privolitev za vsako obdelavo posebej (granularnost oziroma razčlenjenost privolitev). Posameznik mora tako imeti možnost privoliti v obdelavo svojih osebnih podatkov za vsak namen obdelave posebej. Vsak namen mora biti jasno in nedvoumno opredeljen, saj je konkreten, ekspliciten in legitimen namen obdelave predpogoj za pridobitev veljavne privolitve. Prostovoljno je privolitev dana, kadar ima posameznik resnično izbiro in nadzor nad svojimi osebnimi podatki. Posameznik ne sme čutiti prisile ali negativnih posledic, če privolitve ne poda. Prav tako ne sme biti postavljen v situacijo, ko privolitve ne more zavrniti ali preklicati brez morebitnih sankcij oziroma škodnih posledic. Posameznik ima tudi pravico, da svojo privolitev kadarkoli prekliče. Privolitev mora biti enako enostavno preklicati kot dati. Preklic mora biti torej mogoče opraviti na enak oziroma podoben način, kot je bila privolitev pridobljena (znotraj iste aplikacije, spletne strani, uporabniškega računa itd.).

Predhodna informiranost posameznika o obdelavi njegovih podatkov je prav tako ključen element zakonite obdelave osebnih podatkov, saj se lahko le na podlagi ustreznih informacij o tem, komu lahko zaupa določene svoje podatke in za kakšen namen, posameznik svobodno odloči, ali bo to storil ali ne. Posebno pozornost je tako treba nameniti ustreznemu informiranju posameznikov o vseh pomembnih vidikih obdelave osebnih podatkov v skladu s prvim odstavkom 12. člena in v skladu s 13. oziroma 14. členom Splošne uredbe ter ustrezni formulaciji in obliki privolitvene izjave, ki mora ustrezati zlasti standardom iz (11) točke 4. člena, 7. člena, (a) točke drugega odstavka 9. člena ter uvodnim recitalom (32), (42) in (43) Splošne uredbe. Vsaka privolitev mora biti specifična, prilagojena konkretni obdelavi osebnih podatkov s strani posameznega upravljavca in je tako ni možno posploševati. V skladu z navedenim IP meni, da bi bilo v konkretnem primeru posameznike pred pridobitvijo ustrezne privolitve vsekakor treba obvestiti tudi o javnosti njihove podpore memorandumu.

IP nadalje pojasnjuje, da Smernice o privolitvi na podlagi Splošne uredbe, ki jih je sprejel Evropski odbor za varstvo podatkov, med drugim določajo, da bi morali upravljavci, kadar zaprosijo za privolitev, zagotoviti, da vselej uporabljajo jasen in preprost jezik. To pomeni, da bi moralo biti sporočilo lahko razumljivo vsakemu povprečnemu posamezniku. Upravljavci ne smejo uporabljati dolgih izjav o varstvu zasebnosti, ki jih je težko razumeti, ali izjav, polnih pravnega žargona. Privolitev mora biti jasna in jo mora biti mogoče razlikovati od drugih zadev ter mora biti dana v razumljivi in preprosto dostopni obliki. Upravljavec mora zagotoviti, da je privolitev dana na podlagi informacij, ki posameznikom, na katere se nanašajo osebni podatki, omogočajo, da zlahka ugotovijo, kdo je upravljavec, in da razumejo, s čim soglašajo. Upravljavec mora jasno opisati namen obdelave podatkov, za katero se zahteva privolitev.

IP ponovno poudarja, da je eden bistvenih elementov nedvoumne privolitve tudi jasno pritrdilno ravnanje posameznika. Njegova privolitev mora biti tako podana z jasnim pritrdilnim ravnanjem, ki mora vedno biti bodisi dano z izjavo (pisno ali ustno, vključno z e-sredstvi) bodisi izkazano z aktivnostjo (npr. označitvijo s kljukico/križcem oziroma drugo oznako pri posameznem namenu obdelave).

Glede roka hrambe IP najprej opozarja na načelo omejitve shranjevanja iz točke (e) prvega odstavka 5. člena Splošne uredbe, v skladu s katerim so osebni podatki hranjeni v obliki, ki dopušča identifikacijo posameznikov, na katere se nanašajo osebni podatki, le toliko časa, kolikor je potrebno za namene, za katere se osebni podatki obdelujejo. IP pojasnjuje, da je privolitev treba hraniti najmanj toliko časa, dokler se podatki obdelujejo na njeni podlagi, ter še določeno obdobje po prenehanju obdelave, da se lahko dokaže zakonitost obdelave osebnih podatkov. IP priporoča, naj se dokaz o pridobljeni privolitvi ne hrani dlje, kot je to nujno potrebno za izpolnjevanje pravne obveznosti ali za uveljavljanje, izvajanje ali obrambo pravnih zahtevkov. Ocena roka je v rokah konkretnega upravljavca, ki seveda najbolje pozna specifike posameznih obdelav osebnih podatkov, ki jih izvaja, in pravne posledice, ki lahko izhajajo iz njih.

Več informacij o privolitvi lahko najdete lahko najdete tudi na spletni strani IP:

https://www.ip-rs.si/?id=102

Glede morebitnega prenosa osebnih podatkov na novoustanovljeni zavod IP pojasnjuje, da je bistveno, ali bo zaradi te spremembe prišlo do kakršnihkoli sprememb pri obdelavi osebnih podatkov in ali gre za novega upravljavca podatkov. V tem primeru bi bilo treba pridobiti nove privolitve posameznikov. V vsakem primeru pa bi bilo treba prilagoditi obvestilo po 13. členu Splošne uredbe in o tem obvestiti posameznike. V 13. členu so namreč določene informacije, ki se zagotovijo, kadar se osebni podatki pridobijo od posameznika, na katerega se nanašajo osebni podatki. Te informacije se lahko zagotovijo tudi v obliki politike oziroma obvestila o zasebnosti, med drugim pa vsebujejo tudi informacijo o obstoju pravice, da se od upravljavca zahtevajo dostop do osebnih podatkov in popravek ali izbris osebnih podatkov ali omejitev obdelave v zvezi s posameznikom, na katerega se nanašajo osebni podatki, ali obstoj pravice do ugovora obdelavi in pravice do prenosljivosti podatkov. Kako bo posamezni upravljavec uredil obravnavanje takšnih zahtevkov posameznikov, je stvar njegove notranje organizacije, vsekakor pa IP priporoča, da določite (priporočljivo v internem aktu), kdo in na kakšen način bo obravnaval tovrstne zahteve posameznikov in pazite na spoštovanje rokov za odgovor.

IP nadalje pojasnjuje, da je evidenca dejavnosti obdelave primarno namenjena internemu pregledu in nadzoru nad postopki obdelav osebnih podatkov, ki jih izvaja posamezni upravljavec oziroma obdelovalec. Glede na navedbe v vašem zaprosilu za mnenje sicer po mnenju IP vsekakor obstaja možnost, da v skladu s petim odstavkom 30. člena Splošne uredbe niste zavezani voditi te evidence (konkretna presoja je seveda na vas), ob tem pa IP dodaja, da vam vestno evidentiranje dejavnosti obdelav lahko bistveno pomaga tudi pri obravnavi zahtev posameznikov. Če boste namreč imeli popisane svoje zbirke osebnih podatkov v skladu z zahtevami prvega odstavka 30. člena Splošne uredbe, vam bo to zelo pomagalo pri hitri in ustrezni obravnavi zahtev posameznikov.

Glede obveznosti imenovanja pooblačene osebe za varstvo podatkov (DPO) IP splošno pojasnjuje, da je presoja, v kolikšni meri je posamezen subjekt glede na dejavnost in obseg osebnih podatkov, ki jih obdeluje, zavezan k njenemu imenovanju, v celoti na strani samega subjekta, saj IP izven nadzornega ali drugega upravnega postopka tega ne more presojati. Splošna uredba v prvem odstavku 37. člena določa primere, kdaj morata upravljavec in obdelovalec imenovati pooblaščeno osebo za varstvo podatkov. Točka a) to obveznost določa za primere, kadar obdelavo opravlja javni organ ali telo (z izjemo sodišč, kadar delujejo kot sodni organ), torej se primarno nanaša na subjekte javnega sektorja. Točki b) in c) pa določata, da je treba imenovati pooblaščeno osebo tudi, kadar temeljne dejavnosti upravljavca ali obdelovalca zajemajo dejanja obdelave, pri katerih je treba zaradi njihove narave, obsega in/ali namenov posameznike, na katere se nanašajo osebni podatki, redno in sistematično obsežno spremljati ali kadar temeljne dejavnosti upravljavca ali obdelovalca zajemajo obsežno obdelavo posebnih vrst podatkov in osebnih podatkov v zvezi s kazenskimi obsodbami in prekrški. Med posebne vrste podatkov spadajo osebni podatki, ki razkrivajo rasno ali etnično poreklo, politično mnenje, versko ali filozofsko prepričanje ali članstvo v sindikatu, genetski podatki, biometrični podatki, podatki v zvezi z zdravjem in podatki v zvezi s posameznikovim spolnim življenjem ali spolno usmerjenostjo.

IP svetuje, da dejanja obdelave osebnih podatkov skrbno in previdno preučite v smislu navedenih kriterijev ter na tej podlagi presodite, ali morate imenovati pooblaščeno osebo za varstvo podatkov. Ob tem IP dodaja, da tudi tisti upravljavci (in obdelovalci), ki niso zavezani k imenovanju pooblaščene osebe za varstvo podatkov, takšno osebo vseeno lahko imenujejo, če želijo.

IP v zvezi z dostopom do osebnih podatkov pojasnjuje, da je obdelava oziroma dostop do osebnih podatkov znotraj upravljavca načeloma stvar odločitve vodstva ter posledično notranje organizacije upravljavca in ureditve v internih aktih. Upravljavec osebnih podatkov mora pri obdelavi osebnih podatkov upoštevati temeljna načela iz 5. člena Splošne uredbe. V skladu z načelom najmanjšega obsega podatkov iz točke (e) tega člena mora biti obdelava osebnih podatkov (npr. dostopanje zaposlenih do osebnih podatkov) omejena na to, kar je potrebno za namene, za katere se ti podatki obdelujejo. To pomeni, da je pri določanju pravic dostopa treba vzeti v obzir naloge, naravo dela in delovne obveznosti posameznika. Za posamezno vrsto osebnih podatkov je tako treba pretehtati, kdo znotraj upravljavca se mora seznaniti s temi podatki glede na namene, za katere se obdelujejo. Naloga upravljavca oziroma njegovega vodstva je torej, da opravi presojo, kdo utemeljeno potrebuje dostop do določenih osebnih podatkov in na podlagi te ocene ustrezno določi dostopne pravice.

IP pojasnjuje še, da na njegovi spletni strani lahko najdete številna pojasnila in tudi vzorce nekaterih dokumentov oziroma obrazce, ni pa pripravil vzorcev, ki jih navajate v vašem zaprosilu za mnenje, saj je le-te treba vselej prilagoditi konkretni obdelavi osebnih podatkov.

IP sklepno pojasnjuje še, da Splošna uredba v 83. členu določa tudi splošne pogoje za naložitev upravnih glob. Navaja tudi zgornjo mejo in merila za določanje s tem povezanih upravnih glob. Pristojni nadzorni organ mora tako v vsakem posameznem primeru pri določitvi višine globe upoštevati vse zadevne okoliščin v določeni situaciji, zlasti pa naravo, težo in trajanje kršitve, njene posledice in sprejete ukrepe za zagotavljanje skladnosti z obveznostmi iz Splošne uredbe ter za preprečitev ali ublažitev posledic kršitve. Nadalje ZVOP-2 v III. delu (kazenske določbe) določa sankcije za kršitve, ki jih predpisuje Splošna uredba. Te se izrekajo pravnim osebam, samostojnim podjetnikom posameznikom in posameznikom, ki samostojno opravljajo dejavnost kot globe za prekrške, v višini in razponih, kot jih določa Splošna uredba. ZVOP-2 predpisuje tudi sankcije za kršitve Splošne uredbe, ki so jih storile odgovorne osebe ali posamezniki.

Lepo vas pozdravljamo.

Pripravil:

Matej Sironič,

Svetovalec pooblaščenca I

dr. Jelena Virant Burnik,

Informacijska pooblaščenka