- Napreden AI iskalnik za hitro iskanje primerov
- Dostop do celotne evropske in slovenske sodne prakse
- Samodejno označevanje ključnih relevantnih odstavkov
Podobni dokumenti
Ogledaj podobne dokumente za vaš primer.Prijavi se in poglej več podobnih dokumentov
Podaja soglasja in obdelava podatkov v okviru članske pogodbe za uporabo fitnesa
Z nami najdeš vse. Preizkusi zdaj!
Samo zamislim si kaj bi rada da piše v sodbi, to vpišem v iskalnik, in dobim kar sem iskala. Hvala!
Tara K., odvetnica
Podaja soglasja in obdelava podatkov v okviru članske pogodbe za uporabo fitnesa
Datum
29.10.2024
Številka
07121-1/2024/1347
Kategorije
Informiranje posameznika, Pravne podlage, Privolitev
Informacijski pooblaščenec (v nadaljevanju: IP) je po e-pošti prejel vaše zaprosilo za mnenje. Opisujete, da ste sklenili člansko pogodbo za uporabo fitnesa in udeležbo na vodeni vadbi. V pogodbi je zapisano, da podajate soglasje, da lahko podjetje vaše osebne podatke (kot so ime in priimek, davčna številka, datum rojstva, naslov stalnega prebivališča in transakcijski račun) obdeluje v svojem sistemu za namen uveljavljanja pravic, izpolnjevanje svojih dolžnosti in za pošiljanje oglaševalskega in promocijskega materiala. Nadalje je navedeno, da je vaše soglasje podano za nedoločen čas. Zasledili ste, da vodeno vadbo fotografirajo ter snemajo in se na posnetkih včasih točno vidi kdo je na sliki ali posnetku.
Sprašujete:
1. Ali je v skladu z zakonodajo, da se poda soglasje za obdelavo podatkov za nedoločen čas (in ne le za čas trajanja pogodbe)?
2. Ali je slikanje ter snemanje na vadbi in objava teh posnetkov na družbenih omrežjih v skladu z zakonodajo, če niste podali posebnega soglasja? Ali je lahko soglasje podano na način, da je zapisano v splošnih pogojih poslovanja, s katerim se mora posameznik strinjati, če želi skleniti pogodbo?
* * *
Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22, ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A, ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.
IP tako z nezavezujočim mnenjem ne more vnaprej odgovoriti na vprašanje, ali je zbiranje navedenih podatkov zakonito. O konkretni obdelavi bi lahko odločal zgolj v konkretnem inšpekcijskem postopku, z mnenjem pa vam podajamo splošna pojasnila in usmeritve.
Upravljavec mora izkazati ustrezno pravno podlago po prvem odstavku 6. člena Splošne uredbe (npr. v vašem primeru izpostavljamo soglasje in izvajanje pogodbe). Na podlagi pogodbe lahko upravljavec obdeluje zgolj tiste podatke, ki so nujno potrebni zaradi izvajanja pogodbe. Za vse druge namene mora zagotoviti drugo ustrezno pravno podlago, npr. vašo privolitev.
Opozarjamo, da morajo biti posameznikom že pred obdelavo osebnih podatkov zagotovljene informacije o obdelavi osebnih podatkov skladno s 13. členom Splošne uredbe (npr. nameni ter pravna podlaga za obdelavo osebnih podatkov, uporabniki osebnih podatkov, obdobje hrambe, itd.).
Obrazložitev
IP uvodoma poudarja, da izven postopka inšpekcijskega nadzora oziroma drugega upravnega postopka konkretnih obdelav osebnih podatkov ne more presojati.
Upravljavec mora za vsako obdelavo osebnih podatkov zagotoviti ustrezno pravno podlago po prvem odstavku 6. člena Splošne uredbe, npr. skladno s točko a) prvega odstavka 6. člena Splošne uredbe je obdelava dopustna, če je posameznik, na katerega se nanašajo osebni podatki, privolil v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov, skladno s točko b) pa, če je potrebna za izvajanje pogodbe (npr. kot navajate, članske pogodbe za uporabo fitnesa), katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe. Kot smo poudarili v mnenju št. 07121-1/2021/684 z dne 9. 4. 2021, je ta pravna podlaga ustrezna le, če je obdelava določenih osebnih podatkov objektivno potrebna za namen, ki je sestavni del pogodbene storitve. To pa ni preprosto ocena, kaj je dovoljeno na podlagi pogodbenih določb oziroma kaj je v njih zapisano. Upravljavec mora biti sposoben dokazati, da ne more izpolniti pogodbe, če ne pride do določene vrste obdelav osebnih podatkov. Pogodba torej ne more umetno razširiti kategorij osebnih podatkov ali vrste postopkov obdelave, ki jih upravljavec potrebuje za izvršitev pogodbe.
Privolitev mora biti vedno prostovoljna, specifična, informirana in nedvoumna. Posameznik ima pravico, da privolitev kadarkoli prekliče, pri čemer pa preklic privolitve ne vpliva na zakonitost obdelave na podlagi privolitve pred njenim preklicem. Več o privolitvi in njenih obveznih sestavinah lahko preberete v citiranih mnenjih in tudi na spletni strani IP: https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/kljucna-podrocja-uredbe/privolitev/.
Gre torej za dve različni pravni podlagi, če je obdelava potrebna zaradi izvajanja pogodbe, potem posebna privolitev za to ni potrebna. Upravljavec mora za tako zbrane podatke določiti tudi primeren rok hrambe in ne sme podatkov hraniti nedoločen čas. V primeru, da gre za posebne, druge namene, ki niso potrebni zaradi izvajanja pogodbe (kot npr. opisujete, pošiljanje promocijskega materiala, snemanje in objava posnetkov vadbe na družbenih medijih), bi moral upravljavec za te namene zagotoviti ločeno pravno podlago, npr. privolitev. Posamezniku mora biti dana možnost, da poda privolitev za vsako obdelavo posebej (t.i. granularnost oz. razčlenjenost privolitev). Privolitev mora biti nedvoumna, zato ne sme biti pridobljena na način soglašanja s pogodbo ali kot soglašanje s splošnimi pogoji poslovanja. Dejstvo, da je privolitev podana za nedoločen čas, samo po sebi ni sporno, saj se lahko privolitev vedno prekliče.
Upravljavec mora pri obdelavi upoštevati tudi t.i. načelo najmanjšega obsega podatkov, skladno s katerim morajo biti osebni podatki ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo. Izbira ustrezne pravne podlage za obdelavo osebnih podatkov, upoštevajoč konkretne okoliščine in namen obdelave, je obveznost upravljavca.
Upravljavec bi vam moral še pred obdelavo vaših podatkov zagotoviti tudi nekatere informacije o obdelavi osebnih podatkov, kot to določa 13. člen Splošne uredbe. Posamezniki morajo biti seznanjeni npr. z naslednjim: nameni ter pravno podlago za obdelavo osebnih podatkov, uporabniki osebnih podatkov, obdobjem hrambe osebnih podatkov, pravicami posameznika, itd. Več informacij glede obveščanja posameznikov je dostopnih na: https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/ključna-področja-uredbe/obveščanje-posameznikov-o-obdelavi-osebnih-podatkov.
Če menite, da so bili vaši osebni podatki nezakonito obdelani, lahko podate prijavo pri IP. Pomagate si lahko z obrazcem »Enotna vloga zaradi kršitve varstva osebnih podatkov (Obrazec VOP prijava)«, ki je objavljen na povezavi: https://www.ip-rs.si/obrazci/varstvo-osebnih-podatkov/.
V upanju, da vam bodo naša napotila v pomoč, vas lepo pozdravljamo.
dr. Jelena Virant Burnik, informacijska pooblaščenka
Pripravila
Barbara Žurej, univ. dipl. prav., svetovalka pooblaščenca za preventivo