Zakoniti interes kot pravna podlaga za pošiljanje elektronskega sporočila

Datum

28.09.2023

Številka

07121-1/2023/1229

Kategorije

Zakoniti interesi

Pri Informacijskem pooblaščencu (IP) smo prejeli vaše zaprosilo za mnenje. Pojasnjujete, da zastopate stranko, ki se ukvarja s spletno prodajo različnega blaga. Zanima vas, ali je zakoniti interes ustrezna pravna podlaga v sledečem primeru. Vaša stranka potencialnemu kupcu, ki je določeno blago že vstavil v spletno košarico, posreduje elektronsko sporočilo v roku 24 ur, če se potencialni kupec ni odločil za nakup in ni spraznil spletne košarice. Gre za potencialne kupce, ki so se že registrirali na spletni strani in vpisali svoj elektronski naslov. Zakoniti interes vaše stranke je čim bolj olajšati nakupovanje na spletni strani. Potencialni kupec prejme zgolj eno elektronsko sporočilo, v katerem se potencialnega kupca spomni, da je v spletni košarici blago, ni pa prišlo do nakupa tega blaga. S tem se vaša stranka izogne tudi morebitnemu nesporazumu v primeru, če je potencialni kupec štel, da je že opravil nakup.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22; v nadaljevanju ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A; v nadaljevanju ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

Pred obdelavo na podlagi točke (f) prvega odstavka 6. člena Splošne uredbe mora upravljavec izvesti t.i. test zakonitih interesov.

Da obdelava temelji na pravni podlagi zakonitih interesov, morajo biti izpolnjeni trije kumulativni pogoji:

1)zasledovanje zakonitega interesa s strani upravljavca ali tretje osebe;

2)obdelava osebnih podatkov mora biti potrebna za namene zasledovanega zakonitega interesa in

3)interesi ali temeljne pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki, ne smejo prevladati nad zakonitimi interesi, za katere si prizadeva upravljavec ali tretja oseba.

Obrazložitev

IP uvodoma poudarja, da v okviru mnenja ne more presojati konkretnih obdelav osebnih podatkov ter namesto upravljavca preverjati ustreznost pravne podlage v posameznih primerih. Zato vam na vaše vprašanje ne more dokončno odgovoriti, temveč vam v nadaljevanju podaja zgolj splošna pojasnila in pravna izhodišča. Odgovornost za zakonito obdelavo osebnih podatkov pa je na upravljavcu, ki mora biti zakonitost obdelave tudi zmožen dokazati.

Za vsako obdelavo osebnih podatkov mora imeti upravljavec zakonito in ustrezno pravno podlago. Te so določene v prvem odstavku 6. člena Splošne uredbe. Upravljavec je dolžan sam presoditi, ali je za določeno obdelavo podana katera izmed teh pravnih podlag, upoštevajoč konkretno razmerje s posamezniki ter okoliščine in namen posamezne obdelave osebnih podatkov.

Obdelava osebnih podatkov je skladno s točko (f) prvega odstavka 6. člena Splošne uredbe zakonita, če je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika. Obdelava osebnih podatkov za neposredno trženje se skladno z uvodno določbo št. 47 Splošne uredbe lahko šteje za opravljeno v zakonitem interesu.

Pred obdelavo na tej pravni podlagi pa mora upravljavec izvesti t.i. test zakonitih interesov (ang. legitimate interests assessment oziroma krajše LIA); IP tega ne more narediti namesto njega. Da obdelava temelji na pravni podlagi zakonitih interesov, morajo biti izpolnjeni trije kumulativni pogoji:

1)zasledovanje zakonitega interesa s strani upravljavca ali tretje osebe;

2)obdelava osebnih podatkov mora biti potrebna za namene zasledovanega zakonitega interesa in

3)interesi ali temeljne pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki, ne smejo prevladati nad zakonitimi interesi, za katere si prizadeva upravljavec ali tretja oseba.

IP priporoča, da upravljavec presojo zakonitega interesa ustrezno pisno dokumentira. V pomoč pri izvedbi testa je lahko mnenje Delovne skupine iz člena 29 št. 6/2014 o pojmu zakonitih interesov upravljavca podatkov iz člena 7 Direktive 95/46/ES, ki je deloma še vedno uporabno in je dostopno na povezavi https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2014/wp217_sl.pdf. Ker pa je Splošna uredba okrepila položaj posameznikov, na katere se nanašajo osebni podatki, ter ker je Sodišče EU izdalo več sodb, v katerih je obrazložilo pravno podlago zakonitih interesov, Evropski odbor za varstvo podatkov pripravlja nove smernice, ki bodo navedeno mnenje nadgradile in posodobile.

Lepo vas pozdravljamo,

Pripravila

Tina Ivanc, univ. dipl. prav., svetovalka IP za varstvo osebnih podatkov

Mojca Prelesnik, univ. dipl. prav., informacijska pooblaščenka