Obdelava osebnih podatkov za namene zagotavljanja klipinga

Datum

29.01.2024

Številka

07120-1/2024/26

Kategorije

Informiranje posameznika, Obdelava OP javnih uslužbencev in funkcionarjev, Pogodbena obdelava podatkov, Pravne podlage

Informacijski pooblaščenec (v nadaljevanju IP) je po elektronski pošti prejel vaš dopis, v katerem pojasnjujete, da med drugim kot urad Vlade opravljate nalogo spremljanja medijev in priprave zbirke prispevkov, objavljenih v domačih in tujih medijih, tako imenovani kliping. V ta namen z javnim naročilom izberete izvajalca, ki naročniku dnevno na e-poštne naslove zaposlenih pošilja omenjene informacije oziroma kliping. Zanima vas pojasnilo IP glede vprašanja pogodbene obdelave, obveščanja posameznikov po 14. členu ZVOP-2 ter, najpomembneje, glede pravne podlage za obdelavo osebnih podatkov. V zvezi s slednjim konkretno sprašujete, ali je lahko ustrezna pravna podlaga 93. člen ZVOP-2.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22, ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba), ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A, ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

IP meni, da bi šlo v opisanem primeru najverjetneje za pogodbeno obdelavo z vsemi posledicami (predvsem sklenitvijo pogodbe z obvezno vsebino), ki jih predvideva 28. člen Splošne uredbe. Nadalje se z vami strinjamo, da bo pomembno ustrezno obveščanje posameznikov o obdelavi njihovih osebnih podatkov po 14. členu Splošne uredbe, in sicer morate opredeliti ustrezen čas takšnega obveščanja. Kar se tiče načina obveščanja, pa ga mora upravljavec ob upoštevanju napotkov iz Splošne uredbe opredeliti sam.

Kar se tiče same pravne podlage, 93. člen ZVOP-2 lahko pride v poštev, če gre v opisanem primeru za obdelavo službenih e-naslovov v zvezi z nameni izvajanja javnih nalog, kot jih navaja obravnavani člen. Na to pravno podlago se torej lahko sklicujete, v kolikor ste sposobni (pisno) izkazati, da so podane vse predpostavke iz 93. člena ZVOP-2.

Obrazložitev

IP uvodoma poudarja, da konkretnega in dokončnega odgovora o zakonitosti obdelave osebnih podatkov v okviru mnenja v nobenem primeru ne more podati, saj lahko IP posamezne primere obdelave podatkov konkretno presoja zgolj v okviru inšpekcijskega ali drugega upravnega postopka.

Kot smo vam natančneje pojasnili po telefonu, neobvezujoče mnenje IP ni namenjeno presoji zakonitosti posamezne konkretne obdelave, prav tako pa IP nikoli ne potrjuje nameravanih obdelav osebnih podatkov v smislu njihove zakonitosti (z izjemo specifičnega postopka predhodnega posvetovanja, kot ga opredeljuje 36. člen Splošne uredbe).

Potrdimo lahko, da v kolikor bi obdelavo osebnih podatkov v imenu naročnika opravljal pogodbeni izvajalec storitve zagotavljanja klipinga, je treba skleniti pogodbo o obdelavi osebnih podatkov z vsemi obveznimi sestavinami iz 28. člena Splošne uredbe. Pri ugotavljanju okoliščine, kdo je v opisanem primeru upravljavec osebnih podatkov, se morate nasloniti na samo opredelitev pojma osebnega podatka iz 7. točke 4. člena Splošne uredbe. Slednja določa, da pomeni pojem »upravljavec« fizično ali pravno osebo, javni organ, agencijo ali drugo telo, ki samo ali skupaj z drugimi določa namene in sredstva obdelave; kadar namene in sredstva obdelave določa pravo Unije ali pravo države članice, se lahko upravljavec ali posebna merila za njegovo imenovanje določijo s pravom Unije ali pravom države članice. Pomemben je tudi pojem »obdelovalca«, ki v skladu z 8. točko istega člena pomeni fizično ali pravno osebo, javni organ, agencijo ali drugo telo, ki obdeluje osebne podatke v imenu upravljavca.

V zvezi z 93. členom ZVOP-2 pa navajamo, da mora biti v vašem primeru, če se želite sklicevati na to pravno podlago, izpolnjeni vsi pogoji iz navedenega člena oziroma njegovega prvega in drugega odstavka. Predvsem je pomembno, da ste kontaktne podatke posameznikov zbrali:

-iz javno dostopnih virov;

-v okviru izvrševanja svojih javnih nalog; ali

-na način, da so vam jih posamezniki prostovoljno razkrili ali dali privolitev.

IP sicer meni, da zbirka, ki jo navajate (Lotus Notes oziroma Krpan), ni »javno dostopni vir«, saj po praksi IP na področju dostopa do informacij javnega značaja seznam e-naslovov javnih uslužbencev ni informacija javnega značaja in ne more biti (razen če za to obstaja druga pravna podlaga) razkrita javnosti. Prav tako iz vašega vprašanja izhaja, da ne gre za prostovoljno razkrivanje oziroma obdelavo na podlagi privolitve. Da bi bilo sklicevanje na to pravno podlago dopustno in zakonito, morate torej kot upravljavec osebnih podatkov znati utemeljiti, da ste kontaktne podatke posameznikov zbrali »v okviru izvrševanja svojih javnih nalog.« IP meni, da bi bilo najbolj primerno, če bi naloge, kot jih izvaja vaš urad v povezavi s Sklepom o nalogah Urada Vlade Republike Slovenije za komuniciranje, opredeljeval sam zakon. Slednje bi odpravilo kakršen koli dvom o tem, da gre za izvajanje nalog, za katere bi lahko v skladu s 93. členom ZVOP-2 uporabili kontaktne podatke posameznikov. Vendar je po mnenju IP treba »izvrševanje javnih nalog« interpretirati v luči vaših nalog, kot izhajajo iz Sklepa o nalogah vašega urada, ter v povezavi z nameni za obdelavo osebnih podatkov, kot izhajajo iz 93. člena ZVOP-2.

Nadalje morate zagotoviti izvrševanje načela omejitve namena (kot to izhaja iz točke (b) prvega odstavka 5. člena Splošne uredbe) na namen, kot ga opredeljuje že prvi odstavek omenjenega 93. člena ZVOP-2, in sicer kontaktne podatke lahko uporabljate »za namene organiziranja uradnih srečanj, izobraževanj, usposabljanj in dogodkov, (…) in drugih podobnih dejavnosti javnega sektorja, dajanja izjav za javnost, razen izvajanja neposrednega trženja.« Izvajanje klipinga za javni sektor bi se po mnenju IP lahko štelo za »druge podobne dejavnosti javnega sektorja«, saj zagotavljajo ustrezno obveščenost javnih uslužbencev in funkcionarjev o informacijah in novicah z njihovega delovnega področja, pri čemer morajo seveda biti izpolnjene tudi druge predpostavke iz obravnavanega člena.

Upoštevati morate tudi, da morajo biti zbirke osebnih podatkov, ki nastanejo na tej podlagi, ločene od drugih zbirk osebnih podatkov, ki nastanejo pri izvrševanju zakonitih pristojnosti, nalog ali obveznosti.

Vaše vprašanje se nanaša tudi na ustrezno informiranje posameznikov o obdelavi njihovih osebnih podatkov, kar je tudi obveznost iz 14. člena Splošne uredbe, ko osebni podatki niso bili pridobljeni od posameznika, na katerega se ti nanašajo. Ustrezen način izvajanja obveznosti iz te določbe mora upravljavec izbrati sam, pri tem pa ga mora voditi obveznost iz prvega odstavka 12. člena Splošne uredbe, ki določa, da mora upravljavec sprejeti ustrezne ukrepe, da bo informacije zagotovil »v jedrnati, pregledni, razumljivi in lahko dostopni obliki ter jasnem in preprostem jeziku.« Kot smo že omenili, lahko rešitev iščete z napotilom posameznikov na informacije za posameznike na spletni strani, pri tem pa morate zagotoviti, da so informacije (poleg drugih zgoraj omenjenih standardov) v lahko dostopni obliki, ter

-»najpozneje ob prvem komuniciranju s tem posameznikom,« če se bodo osebni podatki uporabili za komuniciranje s posameznikom (točka (b) tretjega odstavka 14. člena Splošne uredbe) oziroma

-»najpozneje ob prvem razkritju osebnih podatkov,« če je predvideno razkritje drugemu uporabniku (točka (c) tretjega odstavka 14. člena Splošne uredbe) – slednje bi najverjetneje prišlo v poštev, ko osebne podatke upravljavec posreduje pogodbenemu obdelovalcu.

Pri tem vam svetujemo, da natančno preučite celoten 14. člen Splošne uredbe, v kolikor vsebuje za vas relevantne določbe.

V zvezi s povezavo med 14. členom Splošne uredbe o informiranju posameznika ter vprašanjem pravne podlage, IP poudarja, da morate ustrezno razčistiti, ali imate ustrezno pravno podlago iz dveh razlogov: (1) da je nameravana obdelava osebnih podatkov sploh zakonita in (2) da lahko posameznike v skladu s točko (c) prvega odstavka 14. člena Splošne uredbe o takšni pravni podlagi tudi obvestite. Navedeno pomeni, da morate kot upravljavec tudi pisno dokumentirati, kakšna je ta pravna podlaga, na katero se sklicujete. Svetujemo vam, da interno zapišete celoten proces ugotavljanja obstoja pravne podlage, kar bi vam lahko služilo za izpolnjevanje tako imenovanega načela odgovornosti upravljavca iz 24. člena Splošne uredbe, ki določa, da upravljavec izvede ustrezne tehnične in organizacijske ukrepe, da »zagotovi in je zmožen dokazati, da obdelava poteka v skladu s to uredbo.«

V upanju, da ste dobili odgovor na svoje vprašanje, vas lepo pozdravljamo.

Mojca Prelesnik, univ.dipl.prav., informacijska pooblaščenka

Pripravila

mag. Polona Merc, univ. dipl. prav., svetovalka IP za varstvo osebnih podatkov