- Napreden AI iskalnik za hitro iskanje primerov
- Dostop do celotne evropske in slovenske sodne prakse
- Samodejno označevanje ključnih relevantnih odstavkov
Podobni dokumenti
Ogledaj podobne dokumente za vaš primer.Prijavi se in poglej več podobnih dokumentov
Kršitve varstva osebnih podatkov s strani serviserja
Z nami najdeš vse. Preizkusi zdaj!
Samo zamislim si kaj bi rada da piše v sodbi, to vpišem v iskalnik, in dobim kar sem iskala. Hvala!
Tara K., odvetnica
Kršitve varstva osebnih podatkov s strani serviserja
Datum
23.07.2024
Številka
07121-1/2024/844
Kategorije
Pravica do izbrisa - pozabe, Pravne podlage, Privolitev
Informacijski pooblaščenec (v nadaljevanju: IP) je po e-pošti prejel vaše vprašanje. Navajate, da ste svojemu servisu za namene obveščanja zaupali svojo telefonsko številko in e-naslov. Preko Googlove spletne strani ste servis ocenili s slabo oceno, ki ste jo obrazložili in objavili fotografije. S strani servisa so vas kontaktirali in vas pozvali, da izbrišete ocene in slike, sicer bodo proti vam podali kazensko ovadbo. Menite, da so zlorabili vaše osebne podatke, ki jih hranijo v bazi za interese podjetja. Želeli ste, da vaše osebne podatke izbrišejo, vendar tega niso želeli napraviti. Prosite nas za našo strokovno pomoč, saj menite, da so uporabili vaše podatke v nasprotju s prvotnim namenom zbiranja.
* * *
Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22, ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A, ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.
Serviser kot upravljavec mora imeti za obdelavo osebnih podatkov ustrezno pravno podlago po 6. členu Splošne uredbe (npr. vašo privolitev), pri čemer mora upoštevati tudi načelo omejitve namena, kar pomeni, da so lahko osebni podatki zbrani za določene, izrecne in zakonite namene in se nadalje ne smejo obdelovati na način, ki ni združljiv s temi nameni.
Če ste za namen obveščanja podali privolitev, jo lahko kadarkoli prekličete; če pa bi želeli izbrisati svoje osebne podatke iz baze pri upravljavcu, lahko uveljavljate pravico do izbrisa po Splošni uredbi.
Obrazložitev
Uvodoma poudarjamo, da IP izven postopka inšpekcijskega nadzora oziroma drugega upravnega postopka konkretnih obdelav osebnih podatkov ne more presojati.
Glede vaših navedb, da je vaš serviser uporabil vaše osebne podatke v drug namen vam lahko IP v okviru nezavezujočega mnenja zgolj pojasni, da mora imeti vsak upravljavec za obdelavo osebnih podatkov ustrezno pravno podlago iz 6. člena Splošne uredbe, npr. skladno s točko a) prvega odstavka 6. člena Splošne uredbe je obdelava dopustna, če je posameznik, na katerega se nanašajo osebni podatki, privolil v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov, skladno s točko b) pa, če je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe. Ob tem opozarjamo, da se lahko zaradi sklenitve pogodbe obdelujejo zgolj tisti osebni podatki, ki so za izvajanje te pogodbe nujno potrebni. Upravljavec mora namreč spoštovati tudi t.i. načelo najmanjšega obsega podatkov, skladno s katerim morajo biti osebni podatki ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo. Izbira ustrezne pravne podlage za obdelavo osebnih podatkov, upoštevajoč konkretne okoliščine in namen obdelave, je obveznost upravljavca.
Pri obdelavi mora upoštevati tudi načelo omejitve namena, skladno s katerim morajo biti osebni podatki zbrani za določene, izrecne in zakonite namene ter se ne smejo nadalje obdelovati na način, ki ni združljiv s temi nameni. Upravljavec mora pri oceni, ali je obdelava osebnih podatkov dopustna za drug namen, kot za tistega, za katerega so bili osebni podatki zbrani, upoštevati določene dejavnike, ki so določeni v četrtem odstavku 6. člena Splošne uredbe (pod pogojem da obdelava ne temelji na privolitvi posameznika, ali na pravu Unije ali pravu države članice, ki predstavlja potreben in sorazmeren ukrep v demokratični družbi za uresničevanje ciljev iz člena 23(1)), in sicer kakršno koli povezavo med nameni, za katere so bili osebni podatki zbrani, in nameni načrtovane nadaljnje obdelave; okoliščine, v katerih so bili osebni podatki zbrani, zlasti kar zadeva razmerje med posamezniki, na katere se nanašajo osebni podatki, in upravljavcem; naravo osebnih podatkov; morebitne posledice načrtovane nadaljnje obdelave za posameznike, na katere se nanašajo osebni podatki in obstoj ustreznih zaščitnih ukrepov, ki lahko vključujejo šifriranje ali psevdonimizacijo.
Če je bila pravna podlaga za obdelavo osebnih podatkov privolitev po točki (a) prvega odstavka 6. člena Splošne uredbe, upravljavec skladno s Splošno uredbo ne bi smel vaših podatkov uporabiti za drug namen kot za tistega, za katerega so bili zbrani. V primeru, da so bili osebni podatki npr. zbrani zaradi izvajanja pogodbe, pa mora upravljavec dokazati združljivost navedene obdelave (torej uporabe kontaktnih podatkov v zvezi s podano oceno servisa na spletu) s prvotnim namenom zbiranja (npr. zaradi obveščanja o opravi konkretnega servisa). IP z nezavezujočim mnenjem navedenega ne more presojati, saj lahko o konkretnih obdelavah presoja zgolj v okviru inšpekcijskega postopka.
V zvezi s privolitvijo prav tako pojasnjujemo, da ima posameznik skladno s tretjim odstavkom 7. člena Splošne uredbe pravico, da dano privolitev (npr. uporaba kontaktnih podatkov za namen obveščanja) kadarkoli prekliče. Preklic privolitve ne vpliva na zakonitost obdelave na podlagi privolitve pred njenim preklicem.
Če menite, da so bili vaši osebni podatki nezakonito obdelani, lahko podate prijavo pri IP. Pomagate si lahko z obrazcem »Enotna vloga zaradi kršitve varstva osebnih podatkov (Obrazec VOP prijava)«, ki je objavljen na povezavi: https://www.ip-rs.si/obrazci/varstvo-osebnih-podatkov/.
V zvezi z izbrisom vaših podatkov (iz baze pri upravljavcu) pa pojasnjujemo, da lahko po Splošni uredbi uveljavite pravico do izbrisa svojih osebnih podatkov. Če želi posameznik doseči izbris svojih osebnih podatkov iz baze pri upravljavcu - ker meni, da so podani razlogi iz prvega odstavka 17. člena Splošne uredbe (npr. podatki niso več potrebni za namen za katerega so bili zbrani; podatki se obdelujejo na podlagi privolitve, posameznik pa svojo privolitev prekliče; podatki se obdelujejo nezakonito itd.) lahko pri upravljavcu vloži zahtevo za izbris osebnih podatkov.
[1]Pravice po Splošni uredbi uveljavlja neposredno pri upravljavcu posameznik sam, pri čemer si lahko pomagate z obrazci, ki so dostopni na: https://www.ip-rs.si/obrazci/varstvo-osebnih-podatkov/. Če bo upravljavec zahtevo posameznika po 17. členu Splošne uredbe delno ali v celoti zavrnil ali nanjo ne bo odgovoril v enomesečnem roku, lahko na IP naslovite pritožbo.
V upanju, da vam bodo naša napotila v pomoč, vas lepo pozdravljamo.
dr. Jelena Virant Burnik, informacijska pooblaščenka
Pripravila
Barbara Žurej, univ. dipl. prav., svetovalka pooblaščenca za preventivo
---
[1]Več informacij o zahtevi za izbris je dostopnih na: https://tiodlocas.si/zelim-izbrisati-svoje-podatke/.