06110-11-2022-12 odločba po zin omejitev gdpr 58-2fd

06110-11-2022-12 odločba po zin omejitev gdpr 58-2fd
31. 10. 2022 objavil/a Info Hiša
nezakonita obdelava OP
objava fotografij
spletna stran

 

Številka:   06110-11/2022/12

Datum:     14. 6. 2022

 

Informacijski pooblaščenec (v nadaljevanju: IP) po državni nadzornici … izdaja na podlagi 2. in 8. člena Zakona o Informacijskem pooblaščencu (Uradni list RS, št. 113/2005, 51/2007–ZUstS-A; v nadaljevanju: ZInfP), 54. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/2007-UPB1 in 177/20; v nadaljevanju: ZVOP-1), členov 57 in 58 Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov, v nadaljevanju: Splošna uredba) ter 29. in 32. člena Zakona o inšpekcijskem nadzoru (Uradni list RS, št. 43/2007-UPB1, 40/2014; v nadaljevanju: ZIN), v zadevi inšpekcijskega nadzora nad izvajanjem določb ZVOP-1 in Splošne uredbe zoper zavezanca … (v nadaljevanju: zavezanec), po uradni dolžnosti naslednjo

 

ODLOČBO

 

I.         Zavezanec … mora zaradi ugotovljenih nepravilnosti v zvezi z izvajanjem določb Splošne uredbe in ZVOP-1:

 

na spletni strani oziroma spletni povezavi:

in na morebitnih drugih spletnih mestih odstraniti javno objavljene fotografije, na katerih je določljiva posameznica ...

 

II.        Ukrepe iz I. točke izreka te odločbe mora zavezanec izvršiti v roku 10 dni od prejema te odločbe.

 

III.      O odpravi ugotovljenih nepravilnosti mora zavezanec v treh dneh po odpravi nepravilnosti pisno obvestiti državno nadzornico in predložiti dokaze o odpravi nepravilnosti.

 

IV.      V tem postopku posebni stroški niso nastali.

 

 

Obrazložitev:

 

Ugotovitve v postopku inšpekcijskega nadzora in pojasnila zavezanca:

 

IP je bil obveščen, da naj bi zavezanec nezakonito obdeloval osebne podatke posameznice, tj. javno objavil fotografije, na katerih je posameznica določljiva, zato je zoper zavezanca uvedel postopek inšpekcijskega nadzora z namenom preveriti, ali krši predpise o varstvu osebnih podatkov.

 

IP je v okviru postopka opravil ogled spletnih strani na naslednjih povezavah:

 

Pri tem je ugotovil, da se fotografije, na katerih je posameznica … določljiva, nahajajo na vseh navedenih spletnih povezavah.

 

Zaradi potrebe po razjasnitvi zadeve in ugotovitvi dejanskega stanja je IP zavezanca pozval, da pojasni, na kateri pravni podlagi v skladu s prvim odstavkom 6. člena Splošne uredbe je na spletnih straneh oziroma spletnih povezavah:

javno objavil fotografije, na katerih je določljiva posameznica …, kar predstavlja obdelavo njenih osebnih podatkov, zlasti glede na elektronski sporočili, ki ju je posameznica na elektronski naslov zavezanca poslala 26. 5. 2021 in 2. 1. 2022, da predloži pravno podlago za javno objavo osebnih podatkov posameznice v obliki fotografij na navedenih spletnih mestih ali kjerkoli drugje, da pojasni, kje vse in kdaj je zavezanec, poleg naštetih spletnih mest, še javno objavil fotografije, na katerih je omenjena posameznica prepoznavna in določljiva, in da navede morebitna dodatna pojasnila in priloži dokumentacijo, ki bi lahko pripomogla k razjasnitvi zadeve, zlasti glede zakonitosti obdelave (javne objave na spletu) osebnih podatkov omenjene posameznice, ter posreduje morebitne dokaze, ki bodo potrjevali navedbe v odgovoru na poziv.

 

Poziv je bil zavezancu vročen 12. 1. 2022, vendar nanj ni odgovoril, zato je IP preveril, ali so fotografije posameznice na navedenih spletnih povezavah še objavljene, in ugotovil, da je na dan 19. 4. 2022 fotografija posameznice še vedno javno objavljena na eni izmed naštetih spletnih povezav, in sicer na: …, na ostalih navedenih spletnih povezavah pa fotografij posameznice ni več.

 

IP je zoper zavezanca vodil tudi inšpekcijski postopek št. 0611-339/2021, v katerem je obravnaval obdelavo istih osebnih podatkov iste posameznice na enak način, tj. z objavo istih fotografij na spletnih straneh, in ugotovil, da je posameznica leta 2005 fotografu podala privolitev za obdelavo njenih osebnih podatkov v smislu fotografiranja za akt fotografijo, da pisni dogovor ali drug dokument, iz katerega bi bila razvidna podrobna vsebina privolitve glede obdelave osebnih podatkov posameznice, v postopku ni bil izkazan, da je zavezanec na določenih spletnih povezavah javno objavil umetniške fotografije, na katerih je posameznica nedvoumno določljiva in prepoznavna, da zavezanec v postopku ni izkazal privolitve posameznice ali druge veljavne pravne podlage za objavo fotografij z njeno podobo na javnih spletnih straneh in izdelkih za prodajo javnosti, in da je posameznica na zavezanca dne 26. 5. 2021 naslovila elektronsko sporočilo, iz katerega je razvidno, da se za namen objave fotografij na spletu nikoli ni želela fotografirati, da ne želi, da zavezanec izdelke z njeno podobo trži za prodajo in da ne želi, da jih razstavlja v galerijah, če se na njih vidi njen obraz.

 

Določbe Splošne uredbe o zakonitosti obdelave osebnih podatkov:

 

Splošna uredba v 4. členu opredeljuje osnovne pojme v zvezi z varstvom osebnih podatkov in med drugim določa, da »osebni podatek« pomeni katero koli informacijo v zvezi z določenim ali določljivim posameznikom (v nadaljnjem besedilu: posameznik, na katerega se nanašajo osebni podatki); določljiv posameznik je tisti, ki ga je mogoče neposredno ali posredno določiti, zlasti z navedbo identifikatorja, kot je ime, identifikacijska številka, podatki o lokaciji, spletni identifikator, ali z navedbo enega ali več dejavnikov, ki so značilni za fizično, fiziološko, genetsko, duševno, gospodarsko, kulturno ali družbeno identiteto tega posameznika; »obdelava« pa pomeni vsako dejanje ali niz dejanj, ki se izvaja v zvezi z osebnimi podatki ali nizi osebnih podatkov z avtomatiziranimi sredstvi ali brez njih, kot je zbiranje, beleženje, urejanje, strukturiranje, shranjevanje, prilagajanje ali spreminjanje, priklic, vpogled, uporaba, razkritje s posredovanjem, razširjanje ali drugačno omogočanje dostopa, prilagajanje ali kombiniranje, omejevanje, izbris ali uničenje;

 

Splošna uredba v prvem odstavku 5. člena opredeljuje načela v zvezi z obdelavo osebnih podatkov, in sicer morajo osebni podatki biti:

(a)   obdelani zakonito, pošteno in na pregleden način v zvezi s posameznikom, na katerega se nanašajo osebni podatki („zakonitost, pravičnost in preglednost“);

(b)    zbrani za določene, izrecne in zakonite namene ter se ne smejo nadalje obdelovati na način, ki ni združljiv s temi nameni; nadaljnja obdelava v namene arhiviranja v javnem interesu, v znanstveno- ali zgodovinskoraziskovalne namene ali statistične namene v skladu s členom 89(1) ne velja za nezdružljivo s prvotnimi nameni („omejitev namena“);

(c)    ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo („najmanjši obseg podatkov“);

(d)    točni in, kadar je to potrebno, posodobljeni; sprejeti je treba vse razumne ukrepe za zagotovitev, da se netočni osebni podatki brez odlašanja izbrišejo ali popravijo ob upoštevanju namenov, za katere se obdelujejo („točnost“);

(e)    hranjeni v obliki, ki dopušča identifikacijo posameznikov, na katere se nanašajo osebni podatki, le toliko časa, kolikor je potrebno za namene, za katere se osebni podatki obdelujejo; osebni podatki se lahko shranjujejo za daljše obdobje, če bodo obdelani zgolj za namene arhiviranja v javnem interesu, za znanstveno- ali zgodovinskoraziskovalne namene ali statistične namene v skladu s členom 89(1), pri čemer je treba izvajati ustrezne tehnične in organizacijske ukrepe iz te uredbe, da se zaščitijo pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki („omejitev shranjevanja“);

(f)     obdelujejo se na način, ki zagotavlja ustrezno varnost osebnih podatkov, vključno z zaščito pred nedovoljeno ali nezakonito obdelavo ter pred nenamerno izgubo, uničenjem ali poškodbo z ustreznimi tehničnimi ali organizacijskimi ukrepi („celovitost in zaupnost“).

 

Drugi odstavek 5. člena Splošne uredbe določa odgovornost upravljavca, da zagotovi upoštevanje načel iz prvega odstavka istega člena in je to tudi zmožen dokazati.

 

Na podlagi določbe prvega odstavka 6. člena Splošne uredbe je obdelava osebnih podatkov zakonita le in kolikor je izpolnjen vsaj eden od naslednjih pogojev:

(a)   posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov;

(b)    obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe;

(c)    obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca;

(d)    obdelava je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe;

(e)    obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu;

(f)     obdelava je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok.

 

Splošna uredba v 7. členu opredeljuje pogoje za privolitev:

1.     Kadar obdelava temelji na privolitvi, mora biti upravljavec zmožen dokazati, da je posameznik, na katerega se nanašajo osebni podatki, privolil v obdelavo svojih osebnih podatkov.

2.      Če je privolitev posameznika, na katerega se nanašajo osebni podatki, dana v pisni izjavi, ki se nanaša tudi na druge zadeve, se zahteva za privolitev predloži na način, ki se jasno razlikuje od drugih zadev, v razumljivi in lahko dostopni obliki ter v jasnem in preprostem jeziku. Deli take izjave, ki predstavljajo kršitev te uredbe, niso zavezujoči.

3.     Posameznik, na katerega se nanašajo osebni podatki, ima pravico, da svojo privolitev kadar koli prekliče. Preklic privolitve ne vpliva na zakonitost obdelave na podlagi privolitve pred njenim preklicem. O tem se pred privolitvijo obvesti posameznik, na katerega se nanašajo osebni podatki. Privolitev je enako enostavno preklicati kot dati.

Pri ugotavljanju, ali je bila privolitev dana prostovoljno, se med drugim zlasti upošteva, ali je izvajanje pogodbe, vključno z zagotavljanjem storitve, pogojeno s privolitvijo v obdelavo osebnih podatkov, ki ni potrebna za izvedbo zadevne pogodbe.

 

Obrazložitev odredbe iz I. točke izreka te odločbe:

 

Upoštevajoč ugotovitve v zadevi št. 0611-339/2021 je IP tudi v tem postopku ugotovil, da je posameznica leta 2005 fotografu podala privolitev za obdelavo njenih osebnih podatkov v smislu fotografiranja za akt fotografijo, da pisni dogovor ali drug dokument, iz katerega bi bila razvidna podrobna vsebina privolitve glede obdelave osebnih podatkov posameznice, v postopku ni bil izkazan, da je zavezanec na predhodno navedenih spletnih povezavah javno objavil umetniške fotografije, na katerih je posameznica nedvoumno določljiva in prepoznavna, da zavezanec v postopku ni izkazal privolitve posameznice ali druge veljavne pravne podlage za objavo fotografij z njeno podobo na javnih spletnih straneh in izdelkih za prodajo javnosti, in da je posameznica na zavezanca dne 26. 5. 2021 in 2. 1. 2022 naslovila elektronski sporočili, iz katerih je razvidno, da se za namen objave fotografij na spletu nikoli ni želela fotografirati, da ne želi, da zavezanec izdelke z njeno podobo trži za prodajo in da ne želi, da se fotografije pojavljajo/objavljajo kjer koli na spletu, v galerijah, knjižnih publikacijah ali kjer koli drugje v javnosti.

 

Na podlagi predhodno navedenih ugotovitev je IP zaključil, da zavezanec v konkretnem primeru javne objave umetniških fotografij in izdelkov s fotografijami, na katerih je nedvoumno določljiva posameznica, za tovrstno obdelavo osebnih podatkov nima ustrezne pravne podlage, saj je posameznica očitno privolila v fotografiranje in umetniško obdelavo fotografij, četudi je morebiti na začetku dala privolitev tudi za javno objavo, trženje za prodajo in razstavljanje v galerijah, pa je to privolitev dne 26. 5. 2021 z elektronskim sporočilom zavezancu nedvomno preklicala, zato javna objava fotografij in drugih izdelkov s podobo posameznice, na katerih je prepoznavna oziroma določljiva, na spletu, trženje teh izdelkov za prodajo,  razstavljanje v galerijah ali kakršno koli drugo javno objavljanje po tem datumu predstavljajo nezakonito obdelavo osebnih podatkov posameznice, saj zavezanec za takšno obdelavo nima več nobene od pravnih podlag iz prvega odstavka 6. člena Splošne uredbe.

 

IP je z dopisom z dne 19. 4. 2022, ki mu je bil vročen 9. 5. 2022, zavezanca seznanil s svojimi ugotovitvami in zaključki ter ga pozval, da se do njih opredeli. Zavezanec je v odgovoru z dne 2. 6. 2022 navedel, da po pregledu citirane spletne strani … sporoča, da po umaknitvi fotografij posameznice na … z dnem 18. 8. 2021 ni več na spletu nobene fotografije posameznice na omenjeni strani. Tudi, ko je pregledal svoj celotni profil na …,  je ugotovil, da tam ni več nobene njene fotografije.

 

IP je dne 9. 6. 2022 s strani posameznice pridobil informacijo, da je fotografija, ki je še vedno dostopna na povezavi …, njena oziroma je na njej ona.

 

Glede na obrazloženo je bilo zavezancu na podlagi 3. točke prvega odstavka 54. člena ZVOP-1 in členov 57 in 58 Splošne uredbe potrebno odrediti prepoved obdelave osebnih podatkov, in sicer na način in v roku, kot je določen v I. in II. točki izreka te odločbe.

 

Odredba za odpravo ugotovljenih nepravilnosti temelji na ugotovitvah v postopku inšpekcijskega nadzora.

 

Na podlagi 5. odstavka 29. člena ZIN mora zavezanec o odpravljenih nepravilnostih v roku treh dni po izvršitvi ukrepov iz te odločbe obvestiti državno nadzornico za varstvo osebnih podatkov, kot je določeno v III. točki izreka te odločbe.

 

Na podlagi 118. člena ZUP se v odločbi odloči o stroških postopka; ker v tem postopku niso nastali posebni stroški, je tako odločeno v IV. točki izreka te odločbe.

 

Ta odločba je izdana po uradni dolžnosti in je na podlagi 22. člena Zakona o upravnih taksah (Uradni list RS, št. 106/10 – uradno prečiščeno besedilo, 14/15 – ZUUJFO, 84/15 – ZZelP-J, 32/16, 30/18 – ZKZaš in 189/20 – ZFRO) takse prosta.

 

 

Pouk o pravnem sredstvu:

Ta odločba je v upravnem postopku dokončna. Zoper njo po določbi 55. člena ZVOP-1 ni dovoljena pritožba, mogoč pa je upravni spor z vložitvijo tožbe na Upravno sodišče Republike Slovenije, Fajfarjeva 33, 1000 Ljubljana, v roku 30 dni po prejemu te odločbe. Tožba se vloži pri pristojnem sodišču neposredno pisno ali se mu pošlje po pošti. Tožbi v dveh izvodih je treba priložiti to odločbo v izvirniku ali neoverjeno kopijo.

 

 

                                                                  državna nadzornica za varstvo osebnih podatkov

 

 

 

 

 

 

 

VROČITI:

-        zavezancu, z vročilnico;

-        arhiv, tu.