Preverjanje identitete člana kluba zvestobe

Datum

04.03.2025

Številka

07121-1/2025/286

Kategorije

Pravne podlage, Informiranje posameznika

Pri Informacijskem pooblaščencu (IP) smo 18. 2. 2025 prejeli vaše zaprosilo za mnenje glede zahteve po osebnih podatkih za preverjanje vaše identitete v klubu zvestobe oziroma kartice ugodnosti pri določenem trgovcu.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22, ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A, ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

Pri posredovanju osebnih podatkov je vedno potrebna posebna previdnost. Posamezniki morajo biti pozorni, komu in na kakšen način posredujejo svoje osebne podatke, ter se pred tem prepričati, da gre za zaupanja vrednega prejemnika podatkov.

Kadar upravljavec nudi na primer tehnično pomoč, mora z ustreznimi ukrepi, ki morajo biti primerni in sorazmerni glede na vrsto obdelave in druge okoliščine, preveriti identiteto stranke, da se preprečijo morebitne zlorabe in nepooblaščen dostop do osebnih podatkov. Pri tem vsekakor upravljavec ne sme po nepotrebnem zbirati dodatnih osebnih podatkov glede na namen zbiranja. Ni pa mogoče vnaprej za vse primere določiti primernega nabora podatkov (ena od možnosti je npr. dvofaktorsko preverjanje preko posredovanja potrditvenega e-sporočila ali enkratne kode).

Upravljavec je dolžan uporabnika seznaniti z načinom delovanja kluba ugodnosti, z nameni, za katere bodo pridobljeni osebni podatki uporabljeni, ter o ostalih pomembnih vidikih obdelave osebnih podatkov, kot določeno v 13. členu Splošne uredbe.

Za vsako obdelavo osebnih podatkov mora obstajati ustrezna pravna podlaga, določitev katere pa je dolžnost upravljavca. IP v okviru mnenja tako ne more presojati ustreznosti konkretnih ukrepov ali praks določenega upravljavca osebnih podatkov.

Obrazložitev

Uvodoma splošno pojasnjujemo, da je pri posredovanju osebnih podatkov vedno potrebna posebna previdnost. Posamezniki morajo biti pozorni, komu in na kakšen način posredujejo svoje osebne podatke, ter se pred tem prepričati, da gre za zaupanja vrednega prejemnika podatkov. Opozarjamo tudi na dolžnost upravljavca glede preverjanja identitete stranke, in sicer mora upravljavec, kadar na primer nudi tehnično pomoč, z ustreznimi in sorazmernimi ukrepi preveriti identiteto stranke, da se preprečijo morebitne zlorabe in nepooblaščen dostop do osebnih podatkov. Pri tem vsekakor upravljavec ne sme po nepotrebnem zbirati dodatnih osebnih podatkov glede na prvotni namen zbiranja. Ni pa mogoče vnaprej za vse primere določiti primernega nabora podatkov (ena od možnosti je npr. dvofaktorsko preverjanje preko posredovanja potrditvenega e-sporočila ali enkratne kode).

Nadalje pojasnjujemo, da mora vsaka obdelava osebnih podatkov potekati transparentno in skladno z določbami Splošne uredbe. Upravljavec je dolžan uporabnika seznaniti z načinom delovanja kluba ugodnosti, z nameni, za katere bodo pridobljeni osebni podatki uporabljeni, ter o ostalih pomembnih vidikih obdelave osebnih podatkov, ki so določeni v 13. členu Splošne uredbe. Navedene informacije morajo biti čim bolj jasne, pregledne in uporabnikom lahko razumljive ter lahko dostopne.

Osebni podatki se lahko obdelujejo le takrat in v obsegu, kadar je to v skladu s pravnimi podlagami za obdelavo osebnih podatkov iz prvega odstavka 6. in 9. člena Splošne uredbe. Pravna podlaga je lahko:

· privolitev (točka a)),

· sklenitev ali izvajanje pogodbe (točka b)),

· zakonska obveznost (točka c)),

· zaščita življenjskih interesov posameznika (točka d)),

· izvajanje javne naloge (točka e) v zvezi s četrtim odstavkom 6. člena ZVOP-2),

· zakoniti interesi upravljavca, če ne prevladajo interesi in pravice oz. svoboščine posameznika (točka f)).

Določitev ustrezne pravne podlage je naloga upravljavca, ob čemer mora upoštevati načela varstva osebnih podatkov, ki so opredeljena v 5. členu Splošne uredbe. Gre za temeljna načela, ki zahtevajo, da se podatke obdeluje pošteno, pregledno in na zakoniti pravni podlagi, da se podatke obdeluje le za določene, izrecne in zakonite namene, da se zbira le tiste podatke, ki so ustrezni, relevantni in omejeni na namene zbiranja, da so zbrani podatki točni in ažurni in da niso hranjeni dalj časa, kot je potrebno za izpolnitev namena zbiranja.

IP v okviru mnenja ne more presojati ustreznosti konkretnih ukrepov ali praks določenega upravljavca osebnih podatkov, vsak upravljavec je namreč dolžan sam zagotoviti ustrezno pravno podlago ter skladnost z veljavnimi pravnimi predpisi. V kolikor menite, da trgovsko podjetje krši predpise s področja varstva osebnih podatkov, lahko podate prijavo na IP.

Lepo vas pozdravljamo.

dr. Jelena Virant Burnik, informacijska pooblaščenka