Obdelava osebnih podatkov za sklenitev naročniškega razmerja pri ponudniku internetnih storitev

Datum

23.11.2023

Številka

07121-1/2023/1463

Kategorije

Pravne podlage, Telekomunikacije in pošta

Informacijski pooblaščenec (v nadaljevanju IP) je po elektronski pošti prejel vaše vprašanje, kateri zakon ureja področje obdelave osebnih podatkov s strani ponudnika internetnih storitev v povezavi s sklepanjem naročniške pogodbe?

***

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22, ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A, ZInfP) posredujemo naše nezavezujoče mnenje v zvezi z vašim vprašanjem.

1.Zakon, ki ponudniku internetnih storitev dopušča obdelavo osebnih podatkov naročnikov predstavlja 215. člen ZEKom-2. Ta zakon v prvem odstavku določa katere osebne podatke lahko izvajalci storitve obdelujejo ter v drugem odstavku namene za katere se ti osebni podatki lahko obdelujejo.

2.Ponudnik internetnih storitev, kadar izvaja storitve, kot jih opredeljuje 1. člen ZEKom-2 (npr. zagotavljanje elektronskih komunikacijskih omrežij in izvajanje elektronskih komunikacijskih storitev) osebne podatke naročnikov obdeluje le v skladu z 215. členom ZEKom-2, ki določa končen nabor podatkov in namenov obdelave.

3.Če bi ponudnik internetnih storitev obdeloval osebne podatke v okviru storitev, ki ne spadajo v domet 1. člena ZEKom-2, bi za takšno obdelavo osebnih podatkov moral zagotoviti eno izmed (drugih) pravnih podlag iz 6. člena Splošne uredbe.

4.Dolžnost vsakega upravljavca osebnih podatkov je, da posameznike (še pred samo obdelavo) ustrezno informira o obdelavi njihovih osebnih podatkov (npr. namenih in pravnih podlagah za obdelavo) ter posameznikom zagotavlja izvrševanje pravic, ki so jim zagotovljene v skladu s Splošno uredbo (npr. pravica do seznanitve z lastnimi osebnimi podatki).

Obrazložitev

IP uvodoma poudarja, da konkretnega in dokončnega odgovora o zakonitosti obdelave osebnih podatkov v okviru mnenja v nobenem primeru ne more podati, saj lahko IP posamezne primere obdelave podatkov konkretno presoja zgolj v okviru inšpekcijskega ali drugega upravnega postopka.

V zvezi z vašim vprašanjem pojasnjujemo, da zakonska podlaga v smislu točke (b) prvega odstavka 6. člena Splošne uredbe (v tem primeru je nabor podatkov za ta namen določil zakonodajalec), ki ponudniku internetnih storitev dopušča obdelavo osebnih podatkov naročnikov predstavlja 215. člen Zakona o elektronskih komunikacijah (Uradni list RS, št. 130/22 in 18/23 – ZDU-1O; v nadaljevanju: ZEKom-2), ki v razmerju do Splošne uredbe za tovrstne obdelave predstavlja specialnejši zakon.

ZEKom-2 v prvem odstavku 215. členu namreč določa, da izvajalci storitev lahko o svojih naročnikih zbirajo (le) naslednje podatke:

1.osebno ime oziroma firmo naročnika in njeno organizacijsko obliko,

2.naslov naročnika, vključno z delom stavbe,

3.naročniško številko in druge elemente oštevilčenja, ki se uporabljajo za vzpostavitev zveze do naročnika,

4.na željo naročnika akademski, znanstveni ali strokovni naziv, naslov njegove spletne strani in druge vrste njegovih osebnih stikov (npr. IM-naslov) ali njegov e-naslov,

5.davčno številko za fizično osebo ter davčno in matično številko za pravno osebo,

6.na podlagi plačila naročnika še dodatne podatke, če to želi naročnik in se s tem ne poseže v pravice tretjih oseb.

Navedene podatke lahko izvajalec storitve obdeluje (le) za sledeče namene (drugi odstavek 215. člena ZEKom-2):

1.sklepanje, izvajanje, spremljanje in prekinitev naročniške pogodbe,

2.zaračunavanje storitev,

3.pripravo in izdajanje imenikov po tem zakonu,

4.zagotavljanje informacij o lokaciji kličočega pri klicih na številke za komunikacijo v sili,

5.na podlagi soglasja naročnika tudi za druge zakonite namene.

Če je komunikacija s ponudnikom internetnih storitev torej povezana z enim izmed zgornjih naštetih namenov (npr. v zvezi s sklenitvijo naročniškega razmerja) in gre za storitev, ki spada v domet 1. člena ZEKom-2 (npr. zagotavljanje elektronskih komunikacijskih omrežij in izvajanje elektronskih komunikacijskih storitev) ima tak izvajalec storitve zakonsko pravno podlago, da za ta izrecno opredeljen namen obdeluje izrecno naštete naročnikove osebne podatke, kot so ime, priimek, naslov in davčna številka (ne pa tudi druge podatke, razen na podlagi plačila naročnika, če to želi naročnik in se s tem ne poseže v pravice tretjih oseb).

Če bi ponudnik internetnih storitev želel obdelovati osebne podatke v okviru storitev, ki ne spadajo v domet 1. člena ZEKom-2 (npr. prodaja telefona na obroke), bi moral za takšno obdelavo osebnih podatkov zagotoviti eno izmed (drugih) pravnih podlag iz 6. člena Splošne uredbe (npr. pogodbo, veljavno privolitev itd.).

Vsekakor mora upravljavec (v tem kontekstu izvajalec storitve – ponudnik internetnih storitev) ob vsakršni obdelavi upoštevati vsa temeljna načela glede obdelave osebnih podatkov, med drugim tudi načelo najmanjšega obsega podatkov (točka (c) prvega odstavka 5. člena Splošne uredbe) v zvezi s katerim lahko obdeluje zgolj tiste osebne podatke, ki so ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo.

Dodatno pa v zvezi s tem še poudarjamo, da Splošna uredba v 13. in 14. členu določa dolžnost upravljavca, da posameznikom (pred samo obdelavo) zagotovi informacije glede obdelave njihovih osebnih podatkov. Informacije se morajo posamezniku zagotoviti na način, določen v 12. členu Splošne uredbe in sicer tako, da so podane na lahko dostopen način in predstavljene v jasnem in razumljivem jeziku, ki je prilagojen glede na tipičnega uporabnika njihovih storitev.

Upravljavec osebnih podatkov mora namreč posameznikom ob pridobitvi njihovih osebnih podatkov podati informacije o obdelavi osebnih podatkov, kot npr. identiteta in kontaktni podatki upravljavca, namen in pravna podlaga za obdelavo osebnih podatkov, uporabniki osebnih podatkov, podatki o morebitnem prenosu osebnih podatkov, obdobje hrambe, itd. Več informacij o obveščanju posameznikov o obdelavi osebnih podatkov je dostopnih na spletni strani IP: https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/ključna-področja-uredbe/obveščanje-posameznikov-o-obdelavi-osebnih-podatkov.

V primeru, da upravljavec vaše podatke že obdeluje, pa dodatno pojasnjujemo, da ima vsak posameznik tudi pravico do seznanitve z lastnimi osebnimi podatki skladno s 15. členom Splošne uredbe. Prvi odstavek 15. člena Splošne uredbe določa, da ima posameznik, na katerega se osebni podatki nanašajo, pravico od upravljavca dobiti potrditev, ali se v zvezi z njim obdelujejo osebni podatki, in kadar je temu tako, dostop do osebnih podatkov in informacije, kot so nameni obdelave, pravna podlaga za obdelavo, predvideno obdobje hrambe, uporabniki osebnih podatkov, itd. Več informacij o pravici do seznanitve z lastnimi osebnimi podatki in glede njenega uveljavljanja je dostopnih tudi na naši spletni strani: https://tiodlocas.si/zelim-vedeti-kaj-pocnejo-z-mojimi-podatki/ oz. v številnih naših že objavljenih mnenjih (npr. mnenje IP št. 07121-1/2022/628 z dne 8. 6. 2022).

Zahteva za seznanitev z lastnimi osebnimi se najprej vloži pri upravljavcu, za katerega posameznik meni, da obdeluje njegove osebne podatke. Rok za odločitev upravljavca je en mesec od prejema zahteve. Zoper molk upravljavca ali zoper njegov zavrnilni odgovor je mogoča pritožba, za reševanje katere je pristojen IP. Pritožbo zaradi zavrnitve je treba vložiti v 15 dneh od prejema odgovora.

Če boste vseeno kljub prejetim odgovorom s strani upravljavca mnenja, da obdelava vaših osebnih podatkov kot naročnika ni bila v skladu z veljavnimi predpisi (npr. 215. členom ZEKom-2) poudarjamo, da nadzor nad 215. členom ZEKom-2 izvaja Agencija za komunikacijska omrežja in storitve (AKOS). Prijavo lahko na AKOS vložite preko elektronskega naslova info.box@akos-rs.si, spletnega obrazca oz. obrazca, ki ga pošljete na naslov Agencija za komunikacijska omrežja in storitve Republike Slovenije, Stegne 7, 1000 Ljubljana.

V upanju, da ste dobili odgovor na svoje vprašanje, vas lepo pozdravljamo.

Pripravil

Grega Rudolf, asistent svetovalca pri IP

Mojca Prelesnik, univ.dipl.prav., informacijska pooblaščenka