Ustreznost rešitve

Datum

26.01.2023

Številka

07121-1/2023/90

Kategorije

Informiranje posameznika, Pogodbena obdelava podatkov, Privolitev

Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaše zaprosilo za mnenje glede ustreznosti vaše nameravane rešitve (združevanje računov posameznega prejemnika) z vidika varstva osebnih podatkov.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22; ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba o varstvu podatkov) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, 51/07 – ZustS-A; ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

IP ne nudi storitve pregleda ali vnaprejšnje odobritve različnih obrazcev, storitev, aplikacij ali drugih rešitev, ki jih uvajajo posamezni upravljavci, z vidika njihove skladnosti z veljavnimi predpisi.

Pred morebitno uvedbo predlagane rešitve je treba vprašanja v zvezi z obdelavo osebnih podatkov v njenem okviru urediti v pogodbi oziroma drugem pisnem aktu, ki ureja razmerje med vašim podjetjem kot obdelovalcem in posameznimi upravljavci osebnih podatkov.

Predhodna informiranost posameznika o obdelavi njegovih osebnih podatkov je ključen element zakonite obdelave osebnih podatkov, saj se lahko le na podlagi ustreznih informacij o tem, komu lahko zaupa določene svoje podatke in za kakšen namen, posameznik svobodno odloči, ali bo to storil ali ne.

Posamezniku je treba v skladu s 13. in 14. členom Splošne uredbe o varstvu podatkov zagotoviti določene informacije o obdelavi osebnih podatkov.

Obrazložitev

IP uvodoma poudarja, da lahko podaja nezavezujoča mnenja in pojasnila, ne sme pa izven konkretnih inšpekcijskih postopkov preverjati primernosti izbrane pravne podlage ali namenov oziroma obsega obdelave osebnih podatkov v konkretnem primeru. IP tako ne nudi storitve pregleda ali vnaprejšnje odobritve različnih obrazcev, storitev, aplikacij ali drugih rešitev, ki jih uvajajo posamezni upravljavci, z vidika njihove skladnosti z veljavnimi predpisi. IP kot nadzorni organ na področju varstva osebnih podatkov v okviru mnenja tako ne more presojati skladnosti konkretne rešitve, ki ste jo opisali v vašem zaprosilu za mnenje, s predpisi s področja varstva osebnih podatkov.

IP pojasnjuje, da mora upravljavec (v konkretnem primeru vaši naročniki) pred uvedbo posamezne rešitve presoditi dopustnost in sorazmernost obdelav osebnih podatkov, ki bodo obdelovani v njenem okviru. Vsaka obdelava osebnih podatkov mora potekati transparentno in skladno z določbami Splošne uredbe o varstvu podatkov. Ta v prvem odstavku 6. člena določa, da je obdelava osebnih podatkov zakonita le in kolikor je za konkretni namen obdelave izpolnjen eden od naslednjih pogojev:

(a)posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov;

(b)obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe;

(c)obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca;

(d)obdelava je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe;

(e)obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu;

(f)obdelava je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok.

Ob tem je treba upoštevati, da se zadnja točka (f) ne more uporabljati za obdelavo s strani javnih organov pri opravljanju njihovih nalog.

Ob tem IP opozarja na načelo najmanjšega obsega podatkov, ki določa, da morajo biti pod pogojem, da obstaja pravna podlaga, osebni podatki, ki se obdelujejo, ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo. Navedeno načelo pomeni, da je potrebno obdelovati samo toliko osebnih podatkov, kolikor je nujno potrebno za dosego zakonitega namena obdelave (v konkretnem primeru pošiljanje računov prejemniku).

Glede na to, da v vašem zaprosilu za mnenje navajate, da ste pogodbeni obdelovalec vaših naročnikov, IP pojasnjuje še, da pogodbeni obdelovalci obdelujejo osebne podatke posameznikov po naročilu določenega upravljavca osebnih podatkov in v skladu z njegovimi zahtevami za določen namen. IP poudarja, da je bistvenega pomena dejstvo, da se bo obdelava osebnih podatkov izvrševala izključno v imenu in za račun upravljavca osebnih podatkov in da kot obdelovalec pri tem črpate pravno podlago za obdelavo osebnih podatkov iz upravičenj upravljavca ter ste v zvezi s samimi dejanji obdelave vezani na navodila upravljavca. Iz tega izhaja, da je treba pred morebitno uvedbo predlagane rešitve vprašanja v zvezi z obdelavo osebnih podatkov v njenem okviru urediti v pogodbi oziroma drugem pisnem aktu, ki ureja razmerje med vašim podjetjem kot obdelovalcem in posameznimi upravljavci osebnih podatkov. Za določitev medsebojnega razmerja so torej bistvene vloge posameznih subjektov pri pridobivanju podatkov, določanju namenov in sredstev obdelave ter tudi izvrševanju pravic posameznikov, katerih podatki se obdelujejo.

Ob tem bi moralo biti v primeru uvedbe konkretne rešitve poskrbljeno tudi za ustrezno zavarovanje zbirk osebnih podatkov, ki bi nastale na podlagi uporabe rešitve. Gre za organizacijske in tehnične ukrepe, ki jih določa Splošna uredba o varstvu podatkov v 24., 25. in 32. členu. Dodatne informacije v zvezi z zavarovanjem osebnih podatkov so na voljo v smernicah IP, ki so dostopne na spletni strani IP: https://www.ip-rs.si/fileadmin/user_upload/Pdf/smernice/Smernice_o_zavarovanju_OP.pdf

Usmeritve in napotila omenjenih smernic so zelo koristne tako pri razvoju in nastavitvah kot tudi pri uporabi posameznih rešitev, ki so povezane z obdelavo osebnih podatkov.

V vašem zaprosilu za mnenje je navedeno tudi, da se bo v primeru, da se kateri od prejemnikov računa ne bi strinjal s spremenjenim načinom pošiljanja računov, to mnenje upoštevalo. IP ob tem pojasnjuje, da je privolitev posameznika v skladu s točko a) prvega odstavka 6. člena Splošne uredbe o varstvu osebnih podatkov ena od možnih pravnih podlag za zakonito obdelavo osebnih podatkov. Pri tem je treba upoštevati podrobnejša določila glede pogojev, po katerih se šteje, da je privolitev veljavna, ki so določeni v 7. členu Splošne uredbe o varstvu podatkov. Privolitev posameznika mora biti konkretna, razumljiva izjava ali drugo nedvoumno pritrdilno dejanje in dokazljiva. Posameznik mora torej jasno podati privolitev za zbiranje in obdelavo svojih osebnih podatkov za konkreten namen. IP poudarja, da mora biti privolitev v primerih, ko obdelava podatkov vključuje več različnih namenov, podana za vsak namen posebej. Upravljavec mora pridobiti več ločenih privolitev za vsako obdelavo posebej (granularnost oziroma razčlenjenost privolitev). Namen mora biti jasno in nedvoumno opredeljen, saj je konkreten, ekspliciten in legitimen namen obdelave predpogoj za pridobitev veljavne privolitve. Upravljavec mora biti zmožen dokazati, da je posameznik privolil v obdelavo svojih osebnih podatkov. Posameznik ima tudi pravico, da svojo privolitev kadarkoli prekliče.

Predhodna informiranost posameznika o obdelavi njegovih osebnih podatkov je ključen element zakonite obdelave osebnih podatkov, saj se lahko le na podlagi ustreznih informacij o tem, komu lahko zaupa določene svoje podatke in za kakšen namen, posameznik svobodno odloči, ali bo to storil ali ne. IP tako pojasnjuje, da mora biti končna presoja v posameznikovih rokah, saj je prostovoljnost eden bistvenih elementov veljavne privolitve.

Več informacij o privolitvi lahko najdete lahko najdete tudi na spletni strani IP: https://www.ip-rs.si/?id=102

IP posebej opozarja, da pomemben in pogosto zapostavljen vidik predstavlja tudi obveščanje posameznikov o obdelavi osebnih podatkov. IP poudarja, da je upravljavec dolžan posameznika (v konkretnem primeru prejemnika računa) seznaniti z rešitvijo, načinom njenega delovanja, nameni, za katere bodo pridobljeni podatki uporabljeni, ter o ostalih pomembnih vidikih obdelave osebnih podatkov, ki so določeni v 13. in 14. členu Splošne uredbe o varstvu podatkov. Navedene informacije morajo biti čim bolj jasne, pregledne in posameznikom razumljive ter lahko dostopne.

IP pozdravlja navedbe v vašem zaprosilu za mnenje, ki se nanašajo na predhodne korake (ocena učinka, obveščanje posameznikov, …), ki jih nameravate izvesti pred uvedbo konkretne rešitve in poziva k temeljiti in natančni izvedbi teh korakov. V tem primeru se boste po njihovi izvedbi skupaj z upravljavci na podlagi vseh ugotovljenih dejstev lažje in bolj kvalitetno lahko odločili o ustreznosti uvedbi konkretne rešitve z vidika varstva osebnih podatkov.

IP sklepno ponavlja, da v okviru mnenja ne more presojati ustreznosti posameznih rešitev oziroma ravnanja posameznih zavezancev, ampak to lahko presoja le v okviru konkretnega inšpekcijskega oziroma drugega upravnega postopka, ko so znane vse konkretne okoliščine posameznega primera.

Lepo vas pozdravljamo.

Pripravil

Matej Sironič, Svetovalec pooblaščenca za varstvo osebnih podatkov

Mojca Prelesnik, univ. dipl. prav., Informacijska pooblaščenka