Pošiljanje e-pošte na zasebni e-naslov v kontekstu delovanja zveze društev

Datum

20.10.2023

Številka

07121-1/2023/1322

Kategorije

Društva, Elektronska pošta

Informacijski pooblaščenec (v nadaljevanju IP) je po elektronski pošti prejel vaš dopis, v katerem pojasnjujete, da zveza društev vztraja pri pošiljanju poslovne korespondence na vaš zasebni e-naslov, čeprav ima vaše društvo, v imenu katerega nastopate tudi v funkciji na zvezi, vzpostavljen uradni e-poštni predal in ste že izrazili željo, naj vam na zasebni e-naslov ne pošiljajo korespondence. Poleg tega pa zveza društev vaš e-zasebni naslov pošilja tudi tretjim osebam.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22, ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba), ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A, ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

IP ne more v mnenju ocenjevati, ali ima zveza društev dejansko veljavno pravno podlago za takšen način obdelave vaših osebnih podatkov. Pravno podlago za obdelavo osebnih podatkov mora namreč v prvi vrsti izkazati upravljavec osebnih podatkov, pri čemer so različne možnosti (gl. spodnje točke a-f prvega odstavka 6. člena Splošne uredbe).

Svetujemo vam, da se v prvi vrsti poslužite pravic, ki vam jih daje na voljo Splošna uredba, v primeru neodzivnosti upravljavca ali njegove zavrnitve vaših zahtev, pa se lahko s prijavo v posamičnem primeru obrnete na IP.

Obrazložitev

IP uvodoma poudarja, da konkretnega in dokončnega odgovora o zakonitosti obdelave osebnih podatkov v okviru mnenja v nobenem primeru ne more podati, saj lahko IP posamezne primere obdelave podatkov konkretno presoja zgolj v okviru inšpekcijskega ali drugega upravnega postopka.

Za vsako obdelavo osebnih podatkov je treba imeti ustrezno in zakonito pravno podlago. Te so določene v prvem odstavku 6. člena Splošne uredbe in so sledeče:

-privolitev (točka a)),

-sklenitev ali izvajanje pogodbe (točka b)),

-zakonska obveznost (točka c)),

-zaščita življenjskih interesov posameznika (točka d)),

-izvajanje javne naloge (točka e) v zvezi s četrtim odstavkom 6. člena ZVOP-2),

-zakoniti interesi upravljavca, če ne prevladajo interesi in pravice oz. svoboščine posameznika (točka f)).

Za vsako obdelavo osebnih podatkov mora torej obstajati ustrezna pravna podlaga, ki jo mora že pred obdelavo osebnih podatkov natančno razčistiti upravljavec osebnih podatkov, ki mora biti zmožen tudi dokazati zakonitost obdelave osebnih podatkov.

IP nikakor ne more ocenjevati, ali ima zveza društev dejansko veljavno pravno podlago za takšen način obdelave vaših osebnih podatkov, konkretno vašega zasebnega e-naslova, je pa v konkretnem primeru bistvenega pomena, da ste želeli preprečiti takšno obdelavo osebnih podatkov. To bo namreč pomembno tudi za upravljavca, ko bo skušal dokazati pravno podlago za obdelavo vaših osebnih podatkov.

V skladu s 13. členom Splošne uredbe bi vam moral upravljavec že predhodno sporočiti pravno podlago za obdelavo vaših osebnih podatkov.

Ker o zakonitosti obdelave vaših osebnih podatkov ne moremo soditi v mnenju, vam svetujemo, da v odnosu do upravljavca osebnih podatkov (zveze društev) najprej uveljavljate svoje pravice, ki vam jih daje Splošna uredba.

Kot prvo lahko zahtevate t.i. pravico do informacij o obdelavi osebnih podatkov po 15. členu Splošne uredbe. Prvi odstavek 15. člena Splošne uredbe tako posamezniku daje pravico od upravljavca dobiti potrditev, ali se v zvezi z njim obdelujejo osebni podatki, in kadar je temu tako, dostop do osebnih podatkov in med drugim naslednje informacije: namen obdelave; vrste zadevnih osebnih podatkov; uporabnike ali kategorije uporabnika, ki so jim bili ali jim bodo razkriti osebni podatki, predvideno obdobje hrambe osebnih podatkov; obstoj pravic posameznika; informacije o virih idr. Na podlagi te zahteve bi lahko ugotovili tudi pravno podlago za obdelavo vaših osebnih podatkov. Več o pravici do dostopa do osebnih podatkov ter informacij o obdelavi osebnih podatkov si lahko preberete na: https://tiodlocas.si/zelim-vedeti-kaj-pocnejo-z-mojimi-podatki/.

Nadalje lahko vložite zahtevo za uveljavitev pravice do ugovora v skladu z 21. členom Splošne uredbe. V prvem odstavku tega člena je namreč določeno, da lahko ugovarjate obdelavi osebnih podatkov, če obdelava temelji na točki (e) ali (f) člena 6(1), upravljavec pa mora prenehati obdelovati osebne podatke, razen če dokaže nujne legitimne razloge za obdelavo, ki prevladajo nad interesi, pravicami in svoboščinami posameznika, na katerega se nanašajo osebni podatki, ali za uveljavljanje, izvajanje ali obrambo pravnih zahtevkov. Več o pravici do ugovora si lahko preberete na: https://tiodlocas.si/zelim-ugovarjati-obdelavi-mojih-podatkov/.

V trenutku, ko zahtevate pravico do ugovora, pa lahko hkrati zahtevate tudi omejitev obdelave osebnih podatkov, da se do odločitve o vaši zahtevi glede ugovora "zamrzne" obdelava vaših osebnih podatkov. Več o pravici do omejitve obdelave osebnih podatkov preberite na: https://tiodlocas.si/zelim-zacasno-zamrzniti-svoje-podatke/.

O vsaki od zgoraj opisanih zahtev za uveljavljanje pravic vam mora upravljavec sporočiti svojo pisno odločitev najkasneje v roku enega meseca. V primeru neodzivnosti ali zavrnitve, se lahko obrnete na IP s prijavo, pri čemer si lahko pomagate z obrazcem " Enotna vloga zaradi kršitve varstva osebnih podatkov (Obrazec VOP prijava), dostopnim na https://www.ip-rs.si/obrazci/varstvo-osebnih-podatkov/.

V upanju, da ste dobili odgovor na svoje vprašanje, vas lepo pozdravljamo.

Mojca Prelesnik, univ.dipl.prav., informacijska pooblaščenka

Pripravila

mag. Polona Merc, univ. dipl. prav., svetovalka IP za varstvo osebnih podatkov