Obdelava osebnih podatkov na izjavi kupca o verodostojnosti bankovca

Datum

23.01.2024

Številka

07121-1/2024/69

Kategorije

Informiranje posameznika, Pravica do seznanitve z lastnimi osebnimi podatki

Informacijski pooblaščenec (v nadaljevanju IP) je po elektronski pošti prejel vaš dopis, v katerem pojasnjujete, da vam je trgovec v podpis predložil izjavo kupca o verodostojnosti bankovca ob plačilu z bankovcem za 500 eur. Za mnenje ste že prosili Tržni inšpektorat RS, Informacijskega pooblaščenca pa prosite za mnenje, ali je takšno zbiranje osebnih podatkov, ki zajema tudi davčno številko, sorazmerno.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22, ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba), ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A, ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

Vsaka obdelava osebnih podatkov mora temeljiti na ustrezni pravni podlagi, upravljavec pa mora posamezniku še pred obdelavo osebnih podatkov zagotoviti pregledne in razumljive informacije o takšni obdelavi, med drugim tudi o namenih in pravni podlagi za zbiranje podatkov. Če vam upravljavec takšnih informacij ni podal, lahko na podlagi 15. člena Splošne uredbe zahtevate določene informacije o obdelavi vaših osebnih podatkov. Če po prejemu takšnih informacij posumite, da je bila obdelava vaših osebnih podatkov nezakonita, lahko pri IP vložite prijavo zaradi domnevne kršitve varstva osebnih podatkov. Žal pa IP v mnenju ne more podati ocene o (ne)zakonitosti, temu je namreč namenjen postopek nadzora nad zakonitostjo obdelave.

Obrazložitev

IP uvodoma poudarja, da konkretnega in dokončnega odgovora o zakonitosti obdelave osebnih podatkov v okviru mnenja v nobenem primeru ne more podati, saj lahko IP posamezne primere obdelave podatkov konkretno presoja zgolj v okviru inšpekcijskega ali drugega upravnega postopka.

Za vsako obdelavo osebnih podatkov mora imeti upravljavec osebnih podatkov ustrezno in zakonito pravno podlago. Te so določene v prvem odstavku 6. člena Splošne uredbe in so sledeče:

-privolitev (točka a)),

-sklenitev ali izvajanje pogodbe (točka b)),

-zakonska obveznost (točka c)),

-zaščita življenjskih interesov posameznika (točka d)),

-izvajanje javne naloge (točka e) v zvezi s četrtim odstavkom 6. člena ZVOP-2),

-zakoniti interesi upravljavca, če ne prevladajo interesi in pravice oz. svoboščine posameznika (točka f)).

Upravljavec osebnih podatkov mora že pred nameravano obdelavo osebnih podatkov razčistiti, ali ima za takšno obdelavo osebnih podatkov ustrezno pravno podlago in mora biti tudi zmožen dokazati zakonitost obdelave osebnih podatkov.

IP v mnenju ne more ugotavljati, ali je v konkretnem primeru obstajala pravna podlaga za obdelavo vaših osebnih podatkov ali ne. Navedemo pa lahko, da Splošna uredba o varstvu podatkov določa, da bi vam moral upravljavec že pred obdelavo pojasniti namene in ustrezno pravno podlago za obdelavo osebnih podatkov. To obveznost mu nalaga 13. člen Splošne uredbe, ki določa nabor informacij, ki jih mora upravljavec osebnih podatkov zagotoviti posamezniku, kadar se osebni podatki pridobijo od posameznika, na katerega se nanašajo osebni podatki, med drugim identiteto in kontaktne podatke upravljavca; namene in pravno podlago za obdelavo; uporabnike ali kategorije uporabnikov osebnih podatkov ter nadalje tudi obdobje hrambe osebnih podatkov; obstoj pravic posameznika; obstoj pravice do preklica privolitve; pravico do vložitve pritožbe pri nadzornem organu.

Iz informacij po 13. členu Splošne uredbe bi torej lahko (če bi vam te informacije upravljavec posredoval) razbrali, ali obstaja pravna podlaga za obdelavo vaših osebnih podatkov (med drugim tudi davčne številke) na zahtevani način. Če pravne podlage ni, je obdelava osebnih podatkov nezakonita in upravljavec od vas ne bi smel zahtevati posredovanja ter kasneje ne sme uporabiti osebnih podatkov na način, ki bi bil v nasprotju z zakonom.

Če pa vam upravljavec ni sporočil informacij po 13. členu Splošne uredbe proaktivno, lahko po 15. členu Splošne uredbe zahtevate, da vam upravljavec posreduje določene informacije o obdelavi osebnih podatkov. Prvi odstavek 15. člena Splošne uredbe namreč določa, da ima posameznik, na katerega se nanašajo osebni podatki, pravico od upravljavca dobiti potrditev, ali se v zvezi z njim obdelujejo osebni podatki, in kadar je temu tako, dostop do osebnih podatkov in informacije: namen obdelave; vrste zadevnih osebnih podatkov; uporabnike ali kategorije uporabnika, ki so jim bili ali jim bodo razkriti osebni podatki, predvideno obdobje hrambe osebnih podatkov; obstoj pravic posameznika; informacije o virih idr.

Več informacij o pravici do seznanitve z lastnimi osebnimi podatki in glede njenega uveljavljanja je dostopnih tudi na naši spletni strani: https://tiodlocas.si/zelim-vedeti-kaj-pocnejo-z-mojimi-podatki/ oz. v naših že objavljenih mnenjih (npr. mnenje IP št. 07121-1/2022/628 z dne 8. 6. 2022).

Če po tovrstnem poizvedovanju ugotovite ali posumite, da je bila obdelava vaših osebnih podatkov nezakonita, lahko pri IP vložite prijavo zaradi domnevne kršitve varstva osebnih podatkov.

Obrazci za vložitev zahteve za dostop do osebnih podatkov in informacij o obdelavi vaših osebnih podatkov (po 15. členu Splošne uredbe) ter za prijavo kršitve varstva osebnih podatkov so na voljo na spletni strani IP: https://www.ip-rs.si/obrazci/varstvo-osebnih-podatkov/.

V upanju, da ste dobili odgovor na svoje vprašanje, vas lepo pozdravljamo.

Mojca Prelesnik, univ.dipl.prav., informacijska pooblaščenka

Pripravila

mag. Polona Merc, univ. dipl. prav., svetovalka IP za varstvo osebnih podatkov