Ustreznost privolitve

Datum

16.04.2024

Številka

07121-1/2024/454

Kategorije

Privolitev

Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaše zaprosilo za mnenje glede ustreznosti privolitve.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22; v nadaljevanju: ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, 51/07 – ZUstS-A; ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

Privolitev posameznika v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov mora biti podana v skladu z določili 7. člena Splošne uredbe, med drugim mora biti dana z jasnim pritrdilnim dejanjem, kar pomeni, da posameznik prostovoljno, specifično, ozaveščeno in nedvoumno izrazi privolitev v obdelavo osebnih podatkov v zvezi z njim.

Privolitev mora biti jasna oziroma razumljiva in jo mora biti mogoče razlikovati od drugih zadev oziroma izjav ter mora biti dana v razumljivi in preprosto dostopni obliki.

Obrazložitev

IP uvodoma poudarja, da lahko podaja neobvezujoča mnenja in pojasnila, ne more pa izven konkretnih nadzornih ali drugih upravnih postopkov preverjati primernosti izbrane pravne podlage, namenov in obsega obdelave osebnih podatkov v konkretnem primeru. IP tako v okviru neobvezujočega mnenja ne more presojati ustreznosti vzorca privolitve za obdelavo osebnih podatkov, ki ste ga priložili vašemu zaprosilu za mnenje.

Glede privolitve kot pravne podlage za obdelavo osebnih podatkov posameznika za namene trženja v konkretnem primeru IP splošno pojasnjuje, da mora biti privolitev posameznika v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov, podana v skladu z določili 7. člena Splošne uredbe. Privolitev posameznika mora biti konkretna, razumljiva izjava ali drugo nedvoumno pritrdilno dejanje in dokazljiva. Privolitev mora biti dana z jasnim pritrdilnim dejanjem, kar pomeni, da posameznik prostovoljno, specifično, ozaveščeno in nedvoumno izrazi privolitev v obdelavo osebnih podatkov v zvezi z njim. Privolitev mora biti jasna oziroma razumljiva in ločena od drugih izjav. Molk, vnaprej označena okenca ali kakršnakoli nedejavnost tako ne pomenijo privolitve. Posameznik mora torej jasno podati privolitev za zbiranje in obdelavo svojih osebnih podatkov za konkreten namen. Upravljavec mora biti zmožen dokazati, da je posameznik privolil v obdelavo svojih osebnih podatkov. Posameznik ima tudi pravico, da svojo privolitev kadarkoli prekliče. IP ob tem poudarja tudi, da mora biti privolitev v primerih, ko obdelava podatkov vključuje več različnih namenov, podana za vsak namen posebej. Upravljavec mora pridobiti več ločenih privolitev za vsako obdelavo posebej (granularnost oziroma razčlenjenost privolitev). Posameznik mora imeti možnost privoliti v obdelavo svojih osebnih podatkov za vsak namen obdelave posebej. Namen mora biti jasno in nedvoumno opredeljen, saj je konkreten, ekspliciten in legitimen namen obdelave predpogoj za pridobitev veljavne privolitve. Prostovoljno je privolitev dana, kadar ima posameznik resnično izbiro in nadzor nad svojimi osebnimi podatki. Posameznik ne sme čutiti prisile ali negativnih posledic, če privolitve ne poda. Prav tako ne sme biti postavljen v situacijo, ko privolitve ne more zavrniti ali preklicati brez morebitnih sankcij oziroma škodnih posledic. Posameznik ima tudi pravico, da svojo privolitev kadarkoli prekliče.

Predhodna informiranost posameznika o obdelavi njegovih podatkov je prav tako ključen element zakonite obdelave osebnih podatkov, saj se lahko le na podlagi ustreznih informacij o tem, komu lahko zaupa določene svoje podatke in za kakšen namen, posameznik svobodno odloči, ali bo to storil ali ne. Posebno pozornost je tako treba nameniti ustreznemu informiranju posameznikov o vseh pomembnih vidikih obdelave osebnih podatkov v skladu s prvim odstavkom 12. člena in v skladu s 13. oziroma 14. členom Splošne uredbe o varstvu podatkov ter ustrezni formulaciji in obliki privolitvene izjave, ki mora ustrezati zlasti standardom iz (11) točke 4. člena, 7. člena, (a) točke drugega odstavka 9. člena ter uvodnim recitalom (32), (42) in (43) Splošne uredbe o varstvu podatkov. Vsaka privolitev mora biti specifična, prilagojena konkretni obdelavi osebnih podatkov s strani posameznega upravljavca in je tako ni možno posploševati.

IP nadalje pojasnjuje, da Smernice o privolitvi na podlagi Splošne uredbe, ki jih je sprejel Evropski odbor za varstvo podatkov, med drugim določajo, da bi morali upravljavci, kadar zaprosijo za privolitev, zagotoviti, da vselej uporabljajo jasen in preprost jezik. To pomeni, da bi moralo biti sporočilo lahko razumljivo vsakemu povprečnemu posamezniku. Upravljavci ne smejo uporabljati dolgih izjav o varstvu zasebnosti, ki jih je težko razumeti, ali izjav, polnih pravnega žargona. Privolitev mora biti jasna in jo mora biti mogoče razlikovati od drugih zadev ter mora biti dana v razumljivi in preprosto dostopni obliki. Ta zahteva pravzaprav pomeni, da informacije, pomembne za sprejetje informiranih odločitev o tem, ali privoliti ali ne, ne smejo biti skrite v splošnih pogojih. Upravljavec mora zagotoviti, da je privolitev dana na podlagi informacij, ki posameznikom, na katere se nanašajo osebni podatki, omogočajo, da zlahka ugotovijo, kdo je upravljavec, in da razumejo, s čim soglašajo. Upravljavec mora jasno opisati namen obdelave podatkov, za katero se zahteva privolitev.

IP dodaja še, da je eden bistvenih elementov nedvoumne privolitve tudi jasno pritrdilno ravnanje posameznika. Njegova privolitev mora biti tako podana z jasnim pritrdilnim ravnanjem, ki mora vedno biti bodisi dano z izjavo (pisno ali ustno, vključno z e-sredstvi) bodisi izkazano z aktivnostjo (npr. označitvijo s kljukico/križcem oziroma drugo oznako pri posameznem namenu obdelave, kot navajate v vašem zaprosilu za mnenje).

Več informacij o privolitvi lahko najdete lahko najdete tudi na spletni strani IP:

https://www.ip-rs.si/?id=102

IP ob tem opozarja, da je v vsakem primeru treba zagotoviti, da so posamezniki primerno obveščeni o obdelavi njihovih osebnih podatkov v skladu z določbami 13. člena Splošne uredbe o varstvu podatkov, zato vam IP svetuje, da informacije o obdelavi ustrezno vključite v obrazec oziroma privolitev. IP je za pomoč upravljavcem pri seznanjanju svojih uporabnikov/strank glede obdelave osebnih podatkov pripravil tudi vzorec obvestila, ki je dostopen na spletni strani IP:

Vzorec obvestila posameznikom glede obdelave osebnih podatkov (člen 13 Splošne uredbe);

Upravljavec mora tako za vsako ločeno zahtevo za privolitev zagotoviti specifične informacije o podatkih, ki se obdelujejo za vsak namen, da bi se posamezniki, na katere se nanašajo osebni podatki, zavedali vpliva različnih odločitev, med katerimi lahko izbirajo.

IP sklepno ponavlja, da v okviru neobvezujočega mnenja ne more dokončno presojati konkretnega obrazca posameznega upravljavca. Presoja glede zakonitosti obdelave oziroma obstoja pravne podlage za posamezno obdelavo in odgovornost zanjo je vedno na upravljavcu osebnih podatkov (v konkretnem primeru na vaši družbi).

Lepo vas pozdravljamo.

Pripravil

Matej Sironič, Svetovalec pooblaščenca za varstvo osebnih podatkov

Mojca Prelesnik, univ. dipl. prav., Informacijska pooblaščenka