GDPR in ZVOP-2: Soglasje za obdelavo osebnih podatkov
Soglasje za obdelavo osebnih podatkov je urejeno v GDPR, Uredbi (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov), nekaj določb glede soglasja za obdelavo osebnih podatkov pa vsebuje tudi Zakon o varstvu osebnih podatkov (Uradni list RS, št. 163/22 – ZVOP-2).
Ker je obdelava osebnih podatkov dopusta izključno na pravni podlagi, ki jo določa GDPR in ker se v praksi soglasje posameznika k obdelavi osebnih podatkov oziroma privolitev za obdelavo osebnih podatkov pogosto uporablja, in se še vedno pojavljajo napake glede veljavnosti soglasja, smo se odločili, da napišemo kratek prispevek na to temo.
O pravni podlagi za obdelavo osebnih podatkov smo že pisali prispevkih, ki so objavljeni tukaj.
Prispevek z naslovom »GDPR in ZVOP-2: Kaj moramo storiti?«, lepo pojasni obveznosti upravljavca in obdelovalca osebnih podatkov, predlagamo, da si ga preberete, saj so v njem opisani osnovni pojmi, ki vam bodo pomagali pri varovanju osebnih podatkov.
Za morebitno pomoč pri vzpostavitvi skladnosti poslovanja z ZVOP-2 in GDPR, nas kontaktirajte.
Kdaj se lahko obdelujejo osebni podatki?
Obdelava osebnih podatkov je mogoča samo skladno s 6. členom GDPR, ki določa, da je obdelava osebnih podatkov zakonita zgolj, če je izpolnjen vsaj eden od spodnjih pogojev:
- privolitev v obdelavo osebnih podatkov za enega ali več določenih namenov (soglasje za obdelavo osebnih podatkov),
- da je obdelava potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe (pogodbena obdelava),
- da je obdelava potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca (obdelava na podlagi zakona),
- da je obdelava potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe,
- da je obdelava potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti,
- da je obdelava potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba (obdelava na podlagi zakonitega interesa).
Upravljavec in obdelovalec lahko osebne podatke obdelujeta zgolj in izključno na zgoraj navedenih pravnih podlagah. Če ni izpolnjen eden od zgoraj naštetih pogojev je obdelava osebnih podatkov nezakonita.
Poleg navedenega, pa morata imeti upravljavec in obdelovalec, ki v imenu upravljavca obdeluje osebne podatke, sklenjeno pogodbo o obdelavi osebnih podatkov, da je obdelava osebnih podatkov s strani obdelovalca, zakonita.
Kdaj je soglasje veljavno?
Soglasje za obdelavo osebnih podatkov je potrebno pridobiti pred pričetkom obdelave osebnih podatkov. Soglasje za obdelavo osebnih podatkov je potrebno pridobiti, ko upravljavec osebnih podatkov nima druge pravne podlage za obdelavo osebnih podatkov.
GDPR v 11. točki prvega odstavka 4. člena soglasje za obdelavo osebnih podatkov oziroma privolitev opredeljuje kot vsako prostovoljno, izrecno, informirano in nedvoumno izjavo volje posameznika, na katerega se nanašajo osebni podatki, s katero z izjavo ali jasnim pritrdilnim dejanjem izrazi soglasje z obdelavo osebnih podatkov, ki se nanašajo nanj.
Soglasje za obdelavo osebnih podatkov je veljavno, če:
- je dano prostovoljno,
- je specifično,
- je informativno in
- je nedvoumno.
Soglasje za obdelavo osebnih podatkov mora biti dano prostovoljno, kar pomeni, da ne sme biti dano pod prisilo ali s čimer koli pogojevano. Nadalje GDPR in ZVOP-2 določata, da državni organ obdeluje osebne podatke na podlagi privolitve oziroma soglasja za obdelavo osebnih podatkov za enega ali več določenih namenov, samo in izključno, če tako možnost določa zakon, sicer pa na podlagi privolitve oziroma soglasja lahko državni organ obdeluje osebne podatke, če ne gre za izvrševanje zakonskih pristojnosti, nalog ali oblastnih obveznosti javnega sektorja.
Zakonodajalec je javnemu sektorju omejil obdelavo osebnih podatkov na podlagi privolitve, zaradi očitnega nesorazmerja med upravljavcem osebnih podatkov in posameznikom.
Soglasje za obdelavo osebnih podatkov mora biti dano za specifičen namen oziroma za enega ali več specifičnih namenov. Soglasje mora biti pridobljeno na način, da so informacije glede namena obdelave ločene od ostalih informacij v samem soglasju, tako da ima posameznik nadzor na obdelavo osebnih podatkov.
Posameznik mora biti v jasnem in razumnem jeziku informiran glede vsebine privolitve oziroma soglasja, glede namena obdelave ter glede pravic, predvsem glede pravice umika soglasja oziroma privolitve, ko je posameznik glede vsega tega informiran, lahko rečemo, da je soglasje oziroma privolitev informativne narave.
Soglasje oziroma privolitev je informativna, če:
- vsebuje identiteto upravljavca,
- vsebuje konkretne opredelitve namena obdelave, za katero je zahtevana privolitev oziroma soglasje,
- vsebuje navedbo vrst osebnih podatkov, ki bodo zbrani in obdelovani,
- vsebuje podatek o obstoju pravice do umika privolitve,
- vsebuje obvestilo posamezniku, da ima pravico, da zanj ne velja odločitev, ki temelji zgolj na avtomatizirani obdelavi, vključno z oblikovanjem profilov,
- vsebuje obvestilo posamezniku o morebitnih tveganjih pri prenosu osebnih podatkov v tretjo državo ali mednarodno organizacijo.
Soglasje mora biti dano nedvoumno, pisno, z elektronskimi sredstvi ali s samim ravnanjem posameznika, dano je lahko tudi ustno, vendar mora biti samo soglasje zavedeno.
Dokazno breme, da soglasje obstaja, je vedno na upravljavcu, ki mora biti sposoben, v primeru inšpekcijskega nadzora, dokazati, da ima veljavno soglasje za obdelavo osebnih podatkov.
Nedoumno dano soglasje je tisto, pri katerih ima posameznik možnost, da se izreče, ali želi, da se njegovi osebni podatki obdelujejo ali ne. Kar pomeni, da soglasje, ki je vnaprej izpolnjeno (kljukica je že označena, da se posameznik strinja z obdelavo osebnih podatkov), je neveljavna.
Kdaj je potrebno izrecno soglasje?
Ko je tveganje pri obdelavi osebnih podatkov višje, je potrebno od posameznika pridobiti eksplicitno oziroma izrecno privolitev.
Izrecno privolitev je potrebno pridobiti vedno:
- ko obdelujete posebne vrste podatkov (9. člen GDPR – rasno ali etnično poreklo, politično mnenje, versko ali filozofsko prepričanje, članstvo v sindikatu, genetski podatki, biometrični podatki za namene edinstvene identifikacije, podatki v zvezi z zdravjem ali podatkov v zvezi s posameznikovim spolnim življenjem ali spolno usmerjenostjo),
- pri prenosu osebnih podatkov v tretje države ali mednarodne organizacije, pri čemer niso sprejeti ustrezni zaščitni ukrepi (49. člen GDPR),
- ko odločanje temelji izključno na avtomatizirani obdelavi, vključno s profiliranjem (22. člen GDPR – pri avtomatizirani obdelavi osebnih podatkov gre predvsem za oblikovanje profilov za namen avtomatske odločitve o pravici posameznika, do katere ne pride s presojo in odločitvijo človeka oziroma upravljavca, ampak avtomatično na podlagi računalniškega programa. Takšna odločitev pa ima lahko negativne posledice za posameznika, kot so avtomatska zavrnitev spletne prošnje za posojilo ali prakse zaposlovanja prek spleta brez človekovega posredovanja).
GDPR v 4. točki prvega odstavka 4. člena oblikovanje profilov definira kot vsako obliko avtomatizirane obdelave osebnih podatkov, ki vključuje uporabo osebnih podatkov za ocenjevanje nekaterih osebnih vidikov v zvezi s posameznikom, zlasti za analizo ali predvidevanje uspešnosti pri delu, ekonomskega položaja, zdravja, osebnega okusa, interesov, zanesljivosti, vedenja, lokacije ali gibanja tega posameznika.
Izrecna privolitev posameznika pomeni predvsem, da mora biti dano soglasje v pisni obliki. Izrecna privolitev ni nujno v obliki podpisane (papirne) izjave, lahko je tudi, npr. izpolnjen spletni obrazec, sporočilo, poslano prek elektronske pošte, naložen skeniran dokument s podpisom ali dokument, podpisan z elektronskim podpisom. Smernice Evropskega odbora za varstvo podatkov (EDPB) svetujejo uporabo potrditve v dveh korakih ali dvostopenjskega preverjanja privolitve.
Veljavno soglasje otroka
Soglasje oziroma privolitev otroka za obdelavo osebnih podatkov je urejeno v 8. členu GDPR in v 8. členu ZVOP-2.
GDPR določa, da je v zvezi s storitvami informacijske družbe, ki se ponujajo neposredno otroku, obdelava osebnih podatkov otroka zakonita, kadar ima otrok vsaj 16 let. Kadar je otrok mlajši od 16 let, je takšna obdelava zakonita le, če in v kolikor takšno privolitev da ali odobri nosilec starševske odgovornosti za otroka.
GDPR nadalje določa, da lahko država članica za zakonito pridobitev soglasja oziroma privolitve za obdelavo osebnih podatkov otroka, določi tudi nižjo starost, ki pa ne sme biti nižja od 13 let.
ZVOP-2 v 8. členu določa, da je privolitev otroka za uporabo storitev informacijske družbe, ki se ponujajo neposredno otrokom oziroma za katere se lahko verjetno domneva, da jih bodo uporabljali otroci, veljavna, če je otrok star 15 let ali več.
Če je otrok mlajši od 15 let, je privolitev veljavna le, če jo da ali odobri eden od:
- staršev otroka,
- njegov skrbnik ali oseba, ki ji je podeljena starševska skrb.
Kadar se storitev informacijske družbe ponuja neodplačno, lahko privolitev odobri tudi:
- rejnik ali
- predstavnik zavoda, v katerega je nameščen otrok.
V primerih, ko pogoji poslovanja izvajalca storitev informacijske družbe predpisujejo višjo starost otroka za uporabo teh storitev, se upošteva starost iz navedenih pogojev poslovanja izvajalca storitev.
ZVOP-2 je mejo za veljavno privolitev otroka določil pri starosti 15 let, kar je nižje od določb, ki jih zahteva GPDR. Zakonodajalec je s tem ZVOP-2 uskladil z ostalimi zakoni, ki dajejo mladoletniku v Republiki Sloveniji določeno mejo avtonomije pri odločanju (Zakon o pacientovih pravicah, Družinski zakonik …).
Informacijski pooblaščenec je na svoji spletni strani objavil priporočila za upravljavce, kako naj preverijo starost otrok in soglasje staršev.
- v prvem koraku prosi uporabnika, da navede, ali je pod ali nad zakonsko določeno mejo,
- platforma ga opozori, da potrebuje soglasje starša in ga prosi za posredovanje elektronskega naslova enega od staršev,
- platforma kontaktira starša na posredovani elektronski naslov in prosi za pridobitev soglasja.