Obdelava osebnih podatkov za namen dostave hrane

Datum

04.07.2023

Številka

07121-1/2023/900

Kategorije

Informiranje posameznika, Pravica do izbrisa - pozabe, Pravica do seznanitve z lastnimi osebnimi podatki, Privolitev, Rok hrambe OP, Trgovinska dejavnost

Pri Informacijskem pooblaščencu (IP) smo prejeli vaše zaprosilo za mnenje. Pojasnjujete, da ste ob naročilu dostave hrane restavraciji zaupali le svojo telefonsko številko in priimek, na računu pa je bilo navedeno tudi vaše ime in priimek vaše partnerke. Pri tej restavraciji sicer večkrat naročate hrano, vendar vas čudi, da so zgolj na podlagi vaše telefonske številke in priimka vedeli tudi ostale podatke. Dopuščate pa možnost, da ste jim te podatke kdaj prej zaupali sami in so jih shranili. Zanima vas, ali je to dovoljeno.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22; v nadaljevanju ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A; v nadaljevanju ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

V primeru naročila dostave hrane lahko restavracija na podlagi točke b) prvega odstavka 6. člena Splošne uredbe obdeluje le tiste osebne podatke, ki so nujno in objektivno potrebni za izvedbo konkretne pogodbe, hramba teh podatkov izključno z namenom olajšanja izvedbe morebitnega bodočega naročila pa bi bila lahko dopustna le na podlagi veljavne privolitve po točki a) prvega odstavka 6. člena Splošne uredbe.

Skladno z načelom omejitve hrambe se lahko osebni podatki hranijo le toliko časa, kolikor je potrebno za namene, za katere se osebni podatki obdelujejo.

Posamezniki imajo pravico do obveščenosti, dostopa do osebnih podatkov in pravico do izbrisa, nobena od teh pravic pa ni absolutna.

Obrazložitev

IP uvodoma pojasnjuje, da izven nadzornega postopka konkretnih obdelav osebnih podatkov ne more presojati. To pomeni, da IP v okviru mnenja ne more odločati, ali v opisanem primeru restavracija zakonito hrani in uporablja vaše osebne podatke, temveč vam lahko poda zgolj splošna pojasnila.

Vsak upravljavec (to je v konkretnem primeru restavracija, pri kateri ste naročili dostavo hrane) mora imeti za obdelavo osebnih podatkov, denimo za njihovo pridobivanje, hrambo ali drugačno uporabo, zakonito in ustrezno pravno podlago. Po prvem odstavku 6. člena ZVOP-2 se lahko osebni podatki obdelujejo le takrat in v obsegu, kadar je to v skladu s pravnimi podlagami za obdelavo osebnih podatkov iz prvega odstavka 6. in 9. člena Splošne uredbe (privolitev, izvajanje pogodbe, zakonska obveznost, zakoniti interesi itn.). Več o pravnih podlagah si lahko preberete na: https://upravljavec.si/kako-uporabljate-te-podatke/kratko-o-pravnih-podlagah/.

Skladno s točko a) prvega odstavka 6. člena Splošne uredbe je obdelava dopustna, če je posameznik, na katerega se nanašajo osebni podatki, privolil v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov, skladno s točko b) iste določbe pa, če je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe. Izbira ustrezne pravne podlage za obdelavo osebnih podatkov, upoštevajoč konkretne okoliščine in namen obdelave, je obveznost upravljavca.

Izvajanje pogodbe kot podlaga za obdelavo osebnih podatkov se v praksi pogosto zamenjuje s privolitvijo. Pri oceni, ali je točka b) prvega odstavka 6. člena Splošne uredbe ustrezna pravna podlaga za obdelavo v okviru pogodbene storitve, je treba upoštevati predvsem namen ali cilj storitve. Za uporabo te pravne podlage mora biti obdelava objektivno potrebna (ne zgolj koristna) za namen, ki je sestavni del dobave pogodbene storitve tj. za dosego glavnega predmeta in temeljnega cilja pogodbe. Kot že izpostavljeno, pa mora biti upravljavec zmožen dokazati, da glavnega predmeta konkretne pogodbe s posameznikom, na katerega se nanašajo osebni podatki, dejansko ni mogoče izpolniti brez specifične obdelave osebnih podatkov.

V primeru naročila dostave hrane je običajno objektivno potrebna obdelava osebnega podatka o imenu in priimku naročnika, naslovu za dostavo, v primeru plačila s kreditno kartico pa tudi podatki o tej kartici. Te osebne podatke bi lahko restavracija sicer hranila pod določenimi pogoji tudi po izvršitvi naročila, denimo zaradi dokaza o izvedbi storitve, obrambe pred morebitnimi pravnimi zahtevki v povezavi z naročilom in podobno. S temi okoliščinami IP v konkretnem primeru ni seznanjen, zato se do njih podrobneje ne more opredeliti. Poudarja pa, da se lahko skladno z načelom omejitve hrambe osebni podatki hranijo le toliko časa, kolikor je potrebno za namene, za katere se osebni podatki obdelujejo (točka e) prvega odstavka 5. člena Splošne uredbe). Upravljavec je tisti, ki mora glede na konkreten namen obdelave in okoliščine presoditi, v kakšnem obsegu je primerna hramba določenih osebnih podatkov, če sploh.

Evropski odbor za varstvo podatkov je v Priporočilih 2/2021 o pravni podlagi za hrambo podatkov o kreditnih karticah samo zaradi olajšanja nadaljnjih spletnih transakcij (https://edpb.europa.eu/our-work-tools/our-documents/recommendations/recommendations-022021-legal-basis-storage-credit-card_sl) že zavzel stališče, da hramba podatkov o kreditnih karticah po plačilu blaga ali storitev kot taka ni potrebna za izvajanje pogodbe, saj je koristna samo zaradi olajšanja morebitne naslednje transakcije in prodaje. Tak namen ne more šteti kot nujno potreben za izvedbo pogodbe za zagotovitev blaga ali storitve, ki ju je posameznik, na katerega se nanašajo osebni podatki, že plačal. Zato je mogoče sklepati, da je edina ustrezna pravna podlaga za zakonitost tovrstne obdelave privolitev, ki mora biti prostovoljna, konkretna, informirana in nedvoumna, posameznik pa jo ima pravico kadarkoli preklicati. Več o pogojih za veljavno privolitev kot pravni podlagi za obdelavo osebnih podatkov si lahko preberete na: https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/ključna-področja-uredbe/privolitev.

Po mnenju IP lahko tudi v primeru, ki ga opisujete, restavracija na podlagi točke b) prvega odstavka 6. člena Splošne uredbe obdeluje le tiste osebne podatke, ki so nujno potrebni za izvedbo konkretne pogodbe, torej posameznega naročila, hramba teh podatkov izključno z namenom olajšanja izvedbe morebitnega bodočega naročila dostave hrane pa bi bila lahko dopustna le na podlagi vaše veljavne privolitve po točki a) prvega odstavka 6. člena Splošne uredbe.

IP nadalje izpostavlja, da pomemben in pogosto zapostavljen vidik predstavlja tudi obveščanje posameznikov o obdelavi osebnih podatkov. Upravljavec je namreč dolžan posameznike seznaniti z določenimi informacijami o obdelavi, kot to določata 13. in 14. člen Splošne uredbe (npr. kakšen je namen in pravna podlaga za obdelavo osebnih podatkov, komu se osebne podatke posreduje, koliko časa se bodo osebni podatki hranili). Navedene informacije morajo biti čim bolj jasne, pregledne in posameznikom razumljive ter lahko dostopne. Več o tej obveznosti upravljavcev si lahko preberete na: https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/ključna-področja-uredbe/obveščanje-posameznikov-o-obdelavi-osebnih-podatkov.

IP nadalje pojasnjuje, da imate na podlagi 15. člena Splošne uredbe pravico od upravljavca vaših osebnih podatkov (v konkretnem primeru od restavracije), zahtevati dostop do osebnih podatkov ter določene informacije v zvezi z obdelavo in vašimi pravicami. Med drugim imate pravico zahtevati informacije o tem:

-zakaj upravljavec obdeluje vaše osebne podatke (nameni obdelave),

-katere podatke obdeluje (vrste zadevnih osebnih podatkov),

-komu jih posreduje (uporabnike ali kategorije uporabnikov),

-koliko časa bo podatke hranil (obdobje hrambe osebnih podatkov)

-kakšne pravice imate v zvezi z obdelavo (morebiten ugovor, popravek, izbris, itd.).

Posameznik ima na podlagi 17. člena Splošne uredbe tudi možnost uveljavljanja pravice do izbrisa osebnih podatkov, a ta pravica ni absolutna. Če bi želeli, da restavracija izbriše vaše osebne podatke, in menite, da je za tak zahtevek podan razlog iz prvega odstavka 17. člena Splošne uredbe, lahko na konkretno restavracijo naslovite tudi zahtevo za izbris osebnih podatkov.

Več o pravici dostopa do osebnih podatkov si lahko preberete na: https://tiodlocas.si/zelim-vedeti-kaj-pocnejo-z-mojimi-podatki/, več o pravici do izbrisa osebnih podatkov pa na: https://tiodlocas.si/zelim-izbrisati-svoje-podatke/

Koristne informacije v zvezi z obdelavo osebnih podatkov so na voljo tudi v Vodniku po varstvu osebnih podatkov za posameznike, ki ga je izdal IP in je dostopen na: https://www.ip-rs.si/publikacije/priročniki-in-smernice/smernice-po-splošni-uredbi-o-varstvu-podatkov-gdpr/vodnik-po-varstvu-osebnih-podatkov-za-posameznike.

Lepo vas pozdravljamo,

Pripravila

Tina Ivanc, univ. dipl. prav., svetovalka IP za varstvo osebnih podatkov

Mojca Prelesnik, univ. dipl. prav., informacijska pooblaščenka