Usklajenost spletne strani s Splošno uredbo

Datum

31.07.2024

Številka

07121-1/2024/889

Kategorije

Moderne tehnologije, Privolitev, Razno, Svetovni splet

Informacijski pooblaščenec (v nadaljevanju: IP) je po e-pošti prejel vaše zaprosilo za mnenje glede spletne strani, na kateri naj bi bil blog, povezave do posnetkov na YouTube, interaktivne vaje in vsebine iz učbenika. Pojasnjujete, da bo blog omogočal komentiranje, kasneje bo vpeljana tudi možnost shranjevanja napredka pri interaktivnih vajah. Spletne strani zaenkrat ne boste uporabili za gospodarske namene, kasneje boste morda vpeljali kakšno funkcionalnost za kritje stroškov (kar pa ne bo predstavljalo profitne dejavnosti).

Zanima vas, ali morate za opisane funkcionalnosti pripraviti politiko zasebnosti in piškotkov in ali potrebujete še kak drug pravni dokument. Prav tako nas prosite za kakršnekoli druge nasvete in osnutke.

* * *

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22, ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A, ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

Iz vašega zaprosila ni povsem jasno, kdo bi naj bil upravljavec osebnih podatkov (npr. fakulteta ali kakšna tretja oseba). Predlagamo vam, da najprej opredelite kdo je upravljavec, saj ta nosi odgovornost za zakonito obdelavo osebnih podatkov. Prav tako je od opredelitve upravljavca lahko odvisno iskanje ustreznih pravnih podlag za obdelavo osebnih podatkov.

Glede na to, da je torej upravljavec sam odgovoren za zakonitost obdelave, vam lahko IP poda zgolj splošna pojasnila, npr. v zvezi s pravnimi podlagami za obdelavo osebnih podatkov ter o obveščanju posameznikov in napotitev na ostale vire, ki so vam lahko v pomoč (npr. v zvezi s piškotki in oblikovanju izjave o zasebnosti).

Obrazložitev

Uvodoma poudarjamo, da IP izven postopka inšpekcijskega nadzora oziroma drugega upravnega postopka konkretnih obdelav osebnih podatkov ne more presojati. Z nezavezujočim mnenjem vam tako podajamo splošna pojasnila in napotila v zvezi z varstvom osebnih podatkov. Za morebitna ostala vprašanja, npr. s področja varstva avtorskih pravic, vam predlagamo, da se obrnete na pristojne organe.

Iz vašega zaprosila ni povsem jasno, kdo bi naj bil upravljavec osebnih podatkov (npr. fakulteta, inštitut, itd.). Splošna uredba upravljavca opredeljuje kot fizično ali pravno osebo, javni organ, agencijo ali drugo telo, ki samo ali skupaj z drugimi določa namene in sredstva obdelave. Predlagamo vam, da opredelite kdo je upravljavec, saj ta nosi odgovornost za zakonito obdelavo osebnih podatkov. Prav tako je od opredelitve upravljavca lahko odvisno iskanje ustreznih pravnih podlag za obdelavo osebnih podatkov.

Poudarjamo, da mora upravljavec vselej zagotoviti pravno podlago za obdelavo osebnih podatkov skladno s prvim odstavkom 6. člena Splošne uredbe:

(a)posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov;

(b)obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe;

(c)obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca;

(d)obdelava je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe;

(e)obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu;

(f)obdelava je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok.

Ob tem opozarjamo, da se točka (f) ne uporablja za obdelavo s strani javnih organov pri opravljanju njihovih nalog.

Ob tem je treba upoštevati tudi načela Splošne uredbe, npr. načelo najmanjšega obsega podatkov, skladno s katerim morajo biti osebni podatki ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo. Z drugimi besedami, upravljavec naj zbira in nadalje obdeluje zgolj tiste osebne podatke, ki so za dosego konkretnega cilja nujno potrebni.

V vašem primeru bi lahko pravno podlago npr. predstavljala privolitev posameznikov (npr. uporabnikov spletne strani). Pojasnjujemo, da mora biti privolitev vedno prostovoljna, specifična, informirana ter nedvoumna in da se lahko kadarkoli prekliče. Upravljavec mora natančno opredeliti, kakšen je namen podane privolitve in na kakšen način bodo prejeti podatki obdelani. Glede na zahtevo, da mora biti privolitev informirana, mora vsebovati torej naslednje:

-podatek o identiteti upravljavca,

-konkretno opredeljen namen za vsako posamezno obdelavo, za katero je zahtevana posamezna privolitev,

-navedbo vrst osebnih podatkov, ki bodo zbrani in obdelovani,

-obstoj pravice do umika privolitve,

-obvestilo posamezniku, da ima pravico, da zanj ne velja odločitev, ki temelji zgolj na avtomatizirani obdelavi, vključno z oblikovanjem profilov,

-obvestilo posamezniku o morebitnih tveganjih pri prenosu osebnih podatkov v tretjo državo ali mednarodno organizacijo.

Poudarjamo, da je treba namene obdelave osebnih podatkov na privolitvi izrecno opredeliti in posamezniku podati možnost, da na obrazcu poda privolitev glede vsakega posameznega namena posebej. Poseben obrazec za podajo soglasja ni predpisan. Oblika pridobivanja privolitve je v celoti v rokah upravljavca, ki naj poišče način, ki najbolj ustreza konkretni situaciji. Iz dokaznega vidika priporočamo pisno obliko (v papirni ali npr. elektronski obliki), pri čemer je treba tudi zagotoviti, da je umik privolitve mogoč v tako enostavni obliki, kot je bila dana privolitev in da ga je možno kadarkoli izvesti. Več o privolitvi lahko preberete na: https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/ključna-področja-uredbe/privolitev.

Dodajamo tudi, da je treba pravno podlago zagotoviti tudi za morebitno obdelavo osebnih podatkov profesorjev oz. drugih predavateljev (npr. snemanje predavanj). Več o tem lahko preberete npr. v naslednjih mnenjih št. 07121-1/2020/1143 z dne 22. 7. 2021, št. 07120-1/2023/437 z dne 27. 9. 2023 in št. 07120-1/2020/274 z dne 5. 4. 2020.

Posameznike morate, še preden pridobite njihove osebne podatke, tudi ustrezno informirati o obdelavi njihovih osebnih podatkov, skladno s 13. členom Splošne uredbe, podati jim morate npr. informacije o namenih ter pravni podlagi za obdelavo osebnih podatkov, uporabnikih osebnih podatkov, obdobju hrambe, itd.). Več o tem lahko preberete na: https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/ključna-področja-uredbe/obveščanje-posameznikov-o-obdelavi-osebnih-podatkov.

Glede oblikovanja izjave o varovanju osebnih podatkov na spletni strani (izjava o zasebnosti) si lahko pomagate s Smernicami Informacijskega pooblaščenca za oblikovanje izjave o varstvu osebnih podatkov na spletnih straneh, ki so dostopne na: https://www.ip-rs.si/fileadmin/user_upload/Pdf/smernice/Smernice_za_oblikovanje_izjave_o_varstvu_osebnih_podatkov.pdf, preberete lahko tudi npr. mnenje št. 07121-1/2023/406 z dne 27. 3. 2023.

V zvezi s piškotki vas napotujemo na Smernice o uporabi piškotkov in podobnih sledilnih tehnologij, ki so dostopne na: https://www.ip-rs.si/publikacije/priročniki-in-smernice/smernice-po-splošni-uredbi-o-varstvu-podatkov-gdpr/smernice-o-uporabi-piškotkov-in-podobnih-sledilnih-tehnologij. Nekaj informacij glede piškotkov je dosegljivih tudi na spletni strani IP: https://www.ip-rs.si/varstvo-osebnih-podatkov/informacijske-tehnologije-in-osebni-podatki/piskotki-odgovori-na-pogosta-vprasanja/.

Kot primer obveščanja posameznikov o obdelavi osebnih podatkov si lahko ogledate tudi Obvestilo zunanjim osebam glede obdelave osebnih podatkov - https://www.ip-rs.si/o-pooblascencu/informacije-javnega-znacaja/informacije-o-obdelavi-osebnih-podatkov/, prav tako politiko zasebnosti na spletni strani IP - https://www.ip-rs.si/o-pooblascencu/informacije-javnega-znacaja/o-spletni-strani/ (pri tem je treba upoštevati, da spletna stran IP ne uporablja piškotkov).

V upanju, da vam bodo naša napotila v pomoč, vas lepo pozdravljamo.

dr. Jelena Virant Burnik, informacijska pooblaščenka

Pripravila

Barbara Žurej, univ. dipl. prav., svetovalka pooblaščenca za preventivo