IP opozarja: Podjetja ne nasedajte izsiljevanju pri varstvu osebnih podatkov

Varstvo osebnih podatkov očitno nekateri izkoriščajo za izsiljevanje podjetij. Informacijski pooblaščenec (IP) je namreč zaznal primere zlorabe pravic posameznikov s področja varstva osebnih podatkov. Podjetjem in organizacijam zato priporočamo, da nikakor ne podlegajo kakršnemukoli izsiljevanju,« so sporočili z urada informacijskega pooblaščenca, ki ga vodi Mojca Prelesnik, kjer svetujejo, da se še bolje seznanite s ključnimi deli zakonodaje o varstvu osebnih podatkov.

Najboljši način, da se izsiljevanju pod pretvezo uveljavljanja pravic do varstva podatkov izognete, je, da pravila dobro poznate. Pri IP so opisali tudi tri primere, kjer se v praksi dogajajo zlorabe, in povedali, kaj morate vedeti, da se tem poskusom izognete.

Neposredno trženje in kako se izogniti težavam?

»Posameznik se pri podjetju, ki se ukvarja z neposrednim trženjem ali prodajo blaga oziroma storitev, prijavi na prejemanje novic, reklamnih obvestil ali naroči izdelek, ponudbo, storitev. Kmalu po prijavi in naročilu pa od upravljavca zahteva, da mu pojasni, od kod je pridobil njegove osebne podatke. Če podjetje ne more izkazati, kako je pridobilo njegove osebne podatke, in ne zna dati ustreznih pojasniti, posameznik zahteva odškodnino in/ali zagrozi s prijavo IP.«

Kako se izogniti takim situacijam?

Na IP pravijo, da si naročilo novic ali blaga v podjetju organizirajte tako, da imate dokaz o naročilu in lahko preverite identiteto posameznika (z neposrednim kontaktom, pošiljanjem potrditvenega elektronskega sporočila, zabeležko telefonskega klica …). V nasprotnem primeru namreč nimate nobenega dokazila o tem, kdo vam je posredoval osebne podatke posameznika, ki jih imate v svoji bazi naročnikov ali prejemnikov komercialnih obvestil.

Zato ponavljamo opozorilo: dokazno breme, da je privolitev, da nekomu lahko pošiljate obvestila, zares dana, je na upravljavcu osebnih podatkov (v tem primeru na podjetjih). Torej ne glede na to, s kakšnimi sredstvi ste privolitev uporabnika pridobili (ali po e-pošti, ustno, po telefonu …), morate biti sposobni dokazati, da ste jo res dobili.

Ob tem pa dodajamo še nekaj glavnih pravil o privolitvi, ki morda komu še delajo težave. Privolitev mora biti dana jasno, prostovoljno, specifično, ozaveščeno in nedvoumno. Lahko je pisna, posredovana z elektronskimi sredstvi, velja tudi ustna izjava. Privolitev mora biti dana prosto, mora biti informirana, prostovoljna (uporabniku uporabe storitve ne smete pogojevati s tem, da privoli v obdelavo osebnih podatkov) in granulirana (več namenov, več privolitev). Če ima neka storitev več namenov obdelave, se lahko posameznik načeloma sam odloči, kateri nameni obdelave so mu sprejemljivi. Ne smete ga »prisiliti«, da sprejme kup obdelave osebnih podatkov, sploh če ta obdelava ni potrebna ali pa vanjo ni privolil.

Pravne podlage in napake, ki se pri tem še vedno pojavljajo

Omenjena privolitev je ena izmed šestih podlag, ki so pogoj, da lahko zbirate in obdelujete osebne podatke. Pa najprej ponovimo vseh šest:

  • posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo osebnih podatkov za enega ali več določenih namenov;
  • obdelava je potrebna za izvajanje pogodbe (denimo posojilne pogodbe);
  • obdelava je potrebna za izpolnitev zakonske obveznosti;
  • obdelava je potrebna za zaščito življenjskih interesov posameznika;
  • obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu;
  • obdelava je potrebna zaradi zakonitih interesov.

»Pomembno je, da podjetja poskrbijo za ustrezen pregled nad pravnimi podlagami za posamezne obdelave osebnih podatkov (tudi prek ažurnega vodenja evidenc dejavnosti obdelave), točnost in ažurnost podatkov ter v primeru poslovanja prek pooblaščencev fizičnih oseb zahtevajo predložitev ustreznih pooblastil,« svetujejo pri IP.

Ob tem dodajajo, da se v nasprotnem primeru lahko zgodi, da posameznik (denimo kot pooblaščenec nekoga), ki ni pogodbena stranka upravljavca, uporabi svoj elektronski naslov denimo za potrebe registracije v določeno storitev upravljavca za tretjo osebo, ki je pogodbena stranka. »Naknadno potem tak ‘pooblaščenec’ upravljavcu prepove obdelavo svojih osebnih podatkov za namene neposrednega trženja, pri tem pa zamolči dejstvo, da se določen njegov osebni podatek obdeluje v povezavi s pogodbeno stranko (denimo v vlogi pooblaščenca stranke). Ko tak posameznik kasneje kot pooblaščenec prejeme na svoj elektronski naslov sporočilo upravljavca, ki sicer nima trženjske narave, pa zahteva odškodnino in grozi s prijavo IP.«

Videonadzor: pozor, katere posnetke izročate

Primer: posameznik obišče poslovni prostor, v katerem se izvaja videonadzor. Čez nekaj dni od upravljavca zahteva, da mu izroči kopijo posnetka za določen dan, na katerem naj bi bil posnet. Ko upravljavec posamezniku izroči posnetke, na katerih so (tudi) tretje osebe, ta zahteva odškodnino in/ali grozi s prijavo IP.

Kaj morate urediti, da se vam to ne zgodi? Pri IP svetujejo, da se upravljavec pred izročitvijo kopije posnetka v zadostni meri prepriča, da je:

  • posamezniku res izročil le tisti del posnetka, na katerem je konkretni posameznik, ki zahteva svoje podatke, (podobo drugih posameznikov na posnetku pa je prekril oziroma zameglil), in
  • pred izročitvijo preveril identiteto posameznika, ki mu izroča posnetek, v nasprotnem primeru se lahko zgodi, da posnetek izroči neupravičeni tretji osebi.

Vir: Upravljavec.si in Finance.si