Pravni vidiki spletnega portala

Avtor France Antić — 20.02.2011
Komentiraj!
Vse, kar morate vedeti o varstvu osebnih podatkov, sklepanju pogodb, direktnem marketingu ter odgovornosti za vsebine na spletnih portalih in drugih spletnih mestih, smo za vas zbrali in objavili v sledečem prispevku.
Pravni vidiki spletnega portala

Pravni vidiki spletnega portala (Vir slike: sxc.hu)

Osnovne informacije o varovanju osebnih podatkov

Kaj je osebni podatek?

To je kateri koli podatek, ki se nanaša na posameznika, ne glede na obliko, v kateri je izražen. Tudi naslov e-pošte je lahko osebni podatek, če se z njim da določiti posameznika.

Kdo je posameznik?

Posameznik je določena ali določljiva fizična oseba, na katero se nanaša osebni podatek. Fizična oseba je določljiva, če se jo lahko posredno ali neposredno identificira, pri čemer način identifikacije ne povzroča velikih stroškov, nesorazmerno velikega napora ali ne zahteva veliko časa.

Osebni podatki se lahko obdelujejo na podlagi:

  • zakona,
  • osebne privolitve posameznika,
  • pogodbe ali pogajanj za sklenitev pogodbe, če je obdelava osebnih podatkov primerna in potrebna za izvedbo pogajanj, sklenitev pogodbe, izpolnjevanje pogodbe,
  • če je obdelava nujna zaradi uresničevanja zakonitih interesov zasebnega sektorja in ti interesi očitno prevladujejo nad interesi posameznika, na katerega se nanašajo osebni podatki.

Dolžnosti upravljavca osebnih podatkov

Izdelava kataloga zbirke osebnih podatkov

Upravljavec osebnih podatkov za vsako zbirko osebnih podatkov vzpostavi katalog zbirke osebnih podatkov.

Katalog vsebuje:

  • naziv zbirke osebnih podatkov,
  • podatke o upravljavcu osebnih podatkov (za fizično osebo: osebno ime, naslov opravljanja dejavnosti ali naslov stalnega oz. začasnega prebivališča, za samostojnega podjetnika posameznika pa še firmo, sedež in matično številko; za pravno osebo: naziv, oziroma firmo in naslov oziroma sedež upravljavca osebnih podatkov in matično številko),
  • pravno podlago za obdelavo osebnih podatkov,
  • kategorije posameznikov, na katere se nanašajo osebni podatki,
  • vrste osebnih podatkov v zbirki osebnih podatkov,
  • namen obdelave,
  • rok hrambe osebnih podatkov,
  • omejitve pravic posameznikov glede osebnih podatkov v zbirki osebnih podatkov in pravno podlago omejitev,
  • uporabnike ali kategorije uporabnikov osebnih podatkov vsebovanih v zbirki osebnih podatkov,
  • dejstvo, ali se pravni podatki iznašajo v tretjo državo terpodatke kam, komu in pravno podlago iznosa,
  • splošen opis zavarovanja osebnih podatkov,
  • podatke o povezanih zbirkah osebnih podatkov iz uradnih evidenc ter javnih knjig,
  • podatke o zastopniku iz tretjega odstavka 5. člena ZVOP-1 (če upravljavec ni ustanovljen, nima sedeža oziroma ni registriran v državi članici EU oziroma ni del Evropskega gospodarskega prostora in za obdelavo osebnih podatkov uporablja avtomatsko ali drugo opremo, ki se nahaja v Republiki Sloveniji, razen če se oprema uporablja samo za prenos osebnih podatkov prek ozemlja RS, mora določiti fizično ali pravno osebo ki ima sedež v RS, ki ga zastopa glede obdelave osebnih podatkov) Ti podatki so:
    • za fizično osebo: osebno ime, naslov opravljanja dejavnosti ali naslov stalnega ali začasnega prebivališča, za samostojnega podjetnika posameznika pa še firma, sedež in matična številka,
    • za pravno osebo: naziv oziroma firma in naslov oziroma sedež upravljavca osebnih podatkov in matična številka.

Upravljavec osebnih podatkov mora skrbeti za točnost in ažurnost podatkov.

Prijava informacijskemu pooblaščencu

Vsako zbirko osebnih podatkov (katalog) je potrebno prijaviti državnemu nadzornemu organu za varstvo osebnih podatkov - informacijskemu pooblaščencu. To mora upravljavec storiti v 15-ih dneh od nameravane vzpostavitve zbirke oziroma vnosa novih podatkov.

Spremembe podatkov za prijavo mora upravljavec osebnih podatkov sporočiti v 8-ih dneh od datuma spremembe.

Izjema: Podatkov ni treba prijaviti upravljavcu, ki upravlja z osebnimi podatki svojih zaposlenih v skladu s področnim zakonom in ne zaposluje več kot 20 oseb za nedoločen čas.

Izdelava pravilnika o varstvu osebnih podatkov

˝Upravljavci osebnih podatkov v svojih aktih predpišejo postopke in ukrepe za zavarovanje osebnih podatkov ter določijo osebe, ki so odgovorne za določene zbirke osebnih podatkov in osebe, ki lahko zaradi narave njihovega dela obdelujejo osebne podatke.˝ 25. člen ZVOP-1

Kaj je pravilnik o varstvu osebnih podatkov?

Gre za notranji akt o načinu varovanja osebnih podatkov, ki ga sprejme pravna oseba, s. p. ali fizična oseba, ki vodi osebne podatke. Predpisani ukrepi v notranjem aktu (pravilniku) obsegajo varovanje prostorov, programske opreme, preprečevanje nepooblaščenega dostopa itd. oziroma, kot pravi ZVOP-1 v 24. členu:

˝(1) zavarovanje osebnih podatkov obsega organizacijske, tehnične in logično-tehnične postopke in ukrepe, s katerimi se varujejo osebni podatki, preprečuje slučajno ali namerno nepooblaščeno uničevanje podatkov, njihovo spremembo ali izgubo ter nepooblaščeno obelavo teh podatkov, tako da se:

  1. varuje prostore, oprema in sistemska programska oprema, vključno z vhodno-izhodnimi enotami,
  2. varuje aplikativna programska oprema, s katero se obdelujejo osebni podatki,
  3. preprečuje nepooblaščen dostop do osebnih podatkov pri njihovem prenosu, vključno s prenosom po telekomunikacijskih sredstvih in omrežjih,
  4. zagotavlja učinkovit način blokiranja, uničenja, izbrisov ali anonimiziranja osebnih podatkov,
  5. omogoča poznejše ugotavljanje, kdaj so bili posamezni osebni podatki vneseni v zbirko osebnih podatkov uporabljeni ali drugače obdelani in kdo je to storil, in sicer za obdobje, ko je mogoče zakonsko varstvo pravice posameznika zaradi nedopustnega posredovanja ali obdelave osebnih podatkov.

(2) V primeru obdelave osebnih podatkov, ki so dostopni prek telekomunikacijskega sredstva ali omrežja, morajo strojna, sistemska in aplikativno programska oprema zagotavljati, da je obdelava osebnih podatkov v mejah pooblastil uporabnika osebnih podatkov.

(3) Postopki in ukrepi za zavarovanje osebnih podatkov morajo biti ustrezni glede na tveganje, ki ga predstavlja obdelava in narava določenih osebnih podakov, ki se obdelujejo.

(4) Funkcionarji, zaposleni in drugi posamezniki, ki opravljajo dela ali naloge pri osebah, ki obdelujejo osebne podatke, so dolžni varovati tajnost osebnih podatkov, s katerimi se seznanijo pri opravljanju njihovih funkcij, del in nalog. Dolžnost varovanja tajnosti osebnih podatkov jih obvezuje tudi po prenehanju funkcije, zaposlitve, opravljanja del ali nalog ali opravljanja storitev pogodbene obdelave.˝

To so tri temeljne dolžnosti upravljavca osebnih podatkov, poleg tega pa mora skrbeti tudi za:

  • namensko zbiranje osebnih podatkov (pri obdelavi osebnih podatkov je vprašanje namena eno izmed bistvenih vprašanj),
  • sorazmernost (osebni podatki, ki se obdelujejo, morajo biti ustrezni in po obsegu primerni glede na namene, za katere se zbirajo in nadalje obdelujejo),
  • točnost in ažurnost,
  • hrambo osebnih podatkov (osebni podatki se shranjujejo le toliko časa, dokler je to potrebno za dosego namena, zaradi katerega so se zbirali ali nadalje obdelovali, po izpolnitvi namena pa se uničijo, blokirajo, anonimizirajo, razen če se na podlagi področnega zakona ne štejejo med arhivsko gradivo. Skrajni rok hrambe, če tega zakon ne določa drugače, je največ 10 let - po splošnih pravilih OZ o zastaralnih rokih odškodninskih zahtevkov),
  • iznos osebih podatkov (ali bodo osebni podatki v drugi državi ustrezno varovani - ni potrebno ugotavljati v primeru, da je ta država članica EU ali Evropskega gospodarskega prostora, če je informacijski pooblaščenec oz. Evropska komisija ugotovila ustrezno raven varovanja osebnih podatkov),
  • avtomatizirano obdelavo osebnih podatkov (15. člen ZVOP-1).

Varstvo osebnih podatkov in pravice posameznika

Pravica do seznanitve:

  • vpogled v katalog zbirke osebnih podatkov,
  • potrditev, ali se obdelujejo osebni podatki, in vpogled v osebne podatke ter njihovo prepisovanje ali kopiranje,
  • posredovanje izpisa osebnih podatkov, ki se obdelujejo,
  • posredovanje seznama uporabnikov, katerim so bili posredovani osebni podatki, kdaj, na kakšni podlagi in za kakšen namen,
  • informacije o virih, na katerih temeljijo zapisi, in o metodi obdelave,
  • informacije o namenu obdelave/vrsti osebnih podatkov, ki se obdelujejo.

Pravica do dopolnitve, popravka, blokiranja, izbrisa in ugovora na zahtevo posameznika ali na iniciativo upravljavca.

Pravica posameznika, da z ugovorom zahteva prenehanje obdelave.

Register zbirk osebnih podatkov

Z registrom zbirk osebnih podatkov se posameznikom omogoči, da se seznanijo s tem, katere zbirke osebnih podatkov se sploh vodijo v državi, kdo so njihovi upravljavci, katere vrste se obdelujejo, namen obdelave ipd.  Register upravlja informacijski pooblaščenec in vsebuje podatke, ki so mu jih dolžni posredovati posamezni upravljavci. Vpogled v register je možen na sedežu organa ali prek interneta.

Direktni marketing in varstvo osebnih podatkov

Pravice in dolžnosti upravljavca OP pri neposrednem trženju

Upravljavec osebnih podatkov lahko uporablja osebne podatke posameznikov, ki jih je zbral iz javno dostopnih virov ali v okviru zakonitega opravljanja dejavnosti, tudi za namene ponujanja blaga, storitev, zaposlitev ali začasnega opravljanja del z uporabo poštnih storitev, telefonskih klicev, elektronske pošte ali drugih telekomunikacijskih sredstev (v nadaljnjem besedilu: neposredno trženje) v skladu z določbami tega poglavja, če kakšen drug zakon ne določa drugače.

Za namene neposrednega trženja lahko upravljavec osebnih podatkov uporablja naslednje osebne podatke, ki jih je zbral v skladu s prejšnjim odstavkom: osebno ime, naslov stalnega ali začasnega bivališča, telefonsko številko, naslov elektronske pošte ter številko telefaksa.

Upravljavec osebnih podatkov mora neposredno trženje izvajati tako, da posameznika ob izvajanju neposrednega trženja obvesti o njegovih pravicah iz 73. člena ZVOP-1.

Kako na pravilen način pridobiti soglasje uporabnikov?

Brez soglasja uporabnikov lahko zbiramo naslednje osebne podatke: osebno ime, naslov stalnega ali začasnega prebivališča, telefonsko številko, naslov elektronske pošte in številko telefaksa, za vse druge podatke potrebujemo osebno privolitev posameznika.

Pridobivanje občutljivih osebnih podatkov pa je dovoljeno le z osebno in praviloma s pisno privolitvijo posameznika.

Če namerava upravljavec osebnih podatkov osebne podatke, za zbiranje katerih sicer ni potrebno soglasje posameznikov, posredovati naprej drugim uporabnikom osebnih podatkov za namene neposrednega trženja ali pogodbenim obdelovalcem, je dolžan o tem obvestiti posameznika in pred posredovanjem osebnih podatkov pridobiti njegovo pisno privolitev.

Obvestilo posamezniku o nameravanem posredovanju osebnih podatkov mora vsebovati informacijo, katere podatke namerava posredovati, komu in za kakšen namen. Stroške obvestila krije upravljavec osebnih podatkov.

Ali moramo uporabnikom omogočiti odjavo?

73. člen ZVOP-1

Posameznik lahko kadar koli pisno ali na drug dogovorjen način zahteva, da upravljavec osebnih podatkov trajno ali začasno preneha uporabljati njegove osebne podatke za namen neposrednega trženja

Upravljavec osebnih podatkov je dolžan v 15-ih dneh ustrezno preprečiti uporabo osebnih podatkov za namen neposrednega trženja ter o tem v nadaljnjih petih dneh pisno ali na drug dogovorjen način obvestiti posameznika, ki je to zahteval.

Stroške vseh dejanj upravljavca osebnih podatkov v zvezi z zahtevo iz prejšnjega odstavka krije upravljavec.

Kako pošiljati direktno e-pošto?

Zakon o elektronskih komunikacijah v 109. členu pravi: …(2) Ne glede na določbe prejšnjega odstavka lahko fizična ali pravna oseba, ki od kupca svojih izdelkov ali storitev pridobi njegov elektronski naslov za elektronsko pošto, ta naslov uporablja za neposredno trženje svojih podobnih izdelkov ali storitev, vendar mora kupcu dati možnost, da kadar koli na brezplačen in enostaven način zavrne takšno uporabo njegovega elektronskega naslova.

…(4) Elektronske pošte za potrebe neposrednega trženja s skrito ali prikrito identiteto pošiljatelja, v imenu katerega se sporočilo pošilja, ali brez veljavnega naslova, na katerega lahko prejemnik pošlje zahtevo za prekinitev takega neposrednega trženja, ni dovoljeno pošiljati.

Pravilo glede e-pošte in neposrednega trženja je torej:

  1. upravljavec OP pridobi naslov e-pošte v okviru pogodbe za določeno storitev, ali blago, ali pogajanj, ali pridobivanja informacij s strani posameznika,
  2. ta naslov e-pošte lahko uporabi za posredovanje podobnega blaga ali storitev,
  3. posameznik je s strani upravljavca osebnih podatkov ob vsakem izvajanju neposrednega trženja obveščen, da lahko kadar koli brezplačno odstopi od uporabe naslova e-pošte za neposredno trženje (opt-out).


Primerno je, da upravljavec osebnih podatkov enkrat ali dvakrat na leto posreduje posamezniku posebno sporočilo, da lahko odstopi od uporabe naslova njegove e-pošte za namene neposrednega trženja.

Kakšna sme biti vsebina sporočil, ki jih pošljemo uporabnikom?

Primer Opt-out opcije:

˝Če v prihodnje ne želite več prejemati takšnih sporočil, kliknite TUKAJ.

V zakonskem roku 15 dni bomo prenehali uporabljati vaše osebne podatke za namen neposrednega trženja ter vas o tem v nadaljnjih 5 dneh obvestili na ta naslov.

Stroške, ki se bodo ob tem pojavili, krijemo v celoti.˝

Kadar NE GRE za ponujanja podobnega blaga ali storitev, je potrebno pridobiti posameznikovo soglasje za sprejemanje take e-pošte: opt-in opcija.

Primer Opt-in opcije:

˝Nameravamo vam posredovati ponudbe našega pogodbenega partnerja. Če soglašate, da vam posredujemo ta sporočila na naslov vaše e-pošte, kliknite TUKAJ.

Vaš klik pomeni osebno privolitev za obdelavo vaših podatkov za navedeni namen.˝

Varstvo osebnih podatkov uporabnikov spletnega portala

Internet ni pravni vakuum, zato se tudi aktivnosti na internetu pravno urejajo - zanje veljajo ista pravna pravila kot ˝zunaj interneta˝. Vsak uporabnikov obisk spletnega portala pusti sledi, s katerimi se lahko ugotovi njegova identiteta, interesi ipd.

Zagotovitev anonimnosti uporabnikov je nujna, saj je kot pravica dana uporabnikom že izven interneta, razen če je to v nasprotju z javnim interesom. Tudi uporabniki morajo aktivno varovati svojo zasebnost. Kljub temu, da gre pri internetu za prosto dostopno svetovno omrežje, je potrebno zagotoviti varstvo osebnih podatkov. Sicer pa za varovanje osebnih podatkov uporabnikov spletnih portalov veljajo splošna načela varovanja osebnih podatkov.

Sklepanje pogodb na spletu

Kaj je pogodba?

Bistveni elementi pogodbe so soglasje strank, obojestranska korist (razen pri nekaterih vrstah pogodb, darilni npr.), odsotnost napak volje (zmote, prevare), oblika (nekatere pogodbe morajo biti v pisni obliki).

Pogodba se sklene, ko stranke dosežejo soglasje. Soglasje je doseženo, ko se dogovorijo o vseh bistvenih sestavinah pogodbe (cena, način izpolnitve, čas, kraj, riziko ipd.).

Postopek usklajevanja volj se imenuje pogajanje.

Če stranke niso prisotne, usklajujejo voljo prek sporočil (fizičnih - pošta, sel - ali elektronskih - e-pošta ipd.)

Značilnosti spletnih pogodb

Prodajalec daje sporočila s spletnimi stranmi, ki jih prikazuje kupcu. Te spletne strani generira avtomatično na podlagi povpraševanja kupca, izjavo volje oblikuje program (ali programček - applet) kot njegov ˝elektronski zastopnik˝. Kupec izjavlja svojo voljo s klikanjem po ustreznih mestih na zaslonu.

Kako v elektronsko pogodbo vključiti ustrezne pogoje?

Prodajalec ima navadno splošne pogoje, ki jih želi vključiti v vse pogodbe s svojimi kupci. Po obligacijskem zakoniku vežejo splošni pogoji stranko, če so objavljeni na običajen način in stranko vežejo, če so ji bili ob sklenitvi pogodbe znani ali bi ji morali biti znani. ZVPot (zakon o varstvu potrošnikov) in ZEPT (zakon o elektronskem poslovanju na trgu) postavljata dodatne zahteve: izrecno opozorilo in dostopnost brez težav, prav tako mora biti stranki omogočena možnost shranitve in reproduciranja splošnih pogojev (npr. odkljukanje posebnega okenčka poleg povezave (linka) ali najmanj jasno vidna povezava nad ali poleg gumba za sklenitev pogodbe. Prek povezave morajo biti dostopni splošni pogoji v pregledni obliki, najbolje v .pdf ali v drugem splošno razširjenem formatu, ki ohranja strukturo dokumenta.).

Odgovornost za vsebine na spletu

Kaj je odgovornost za vsebine

Objava določenih vsebin na spletu je lahko protipravna in ima za posledico sankcije. Vsebine, ki so protipravne kot take (per se), so naslednje: otroška pornografija, žaljive vsebine, razpihovanje sovraštva in nestrpnosti. Druga oblika protipravnosti je kršitev pravic intelektualne lastnine in kadar gre za protipravni poseg v zasebnost.

Tuji viri

Preden podamo vsebino iz drugih spletnih mest, preverimo, ali je podano dovoljenje za objavo. Če izrecnega dovoljenja ni (ali je dana prepoved), lahko prosimo za soglasje, ki naj bo pisno.

Spletno povezovanje

Spletno povezovanje (linkanje) z drugimi spletnimi stranmi praviloma ni sporno. Sporna je lahko objava povezave, ki je zaščitena kot znamka, ali objava na način, ki daje vtis naše povezanosti s tujim spletnim mestom, vprašanje nelojalne konkurence.

Lastna vsebina

Če vsebino posredujemo sami, smo bolj izpostavljeni potencialni odgovornosti, kot če posredujemo zgolj spletno povezavo. Kot ˝ponudniki storitev informacijske družbe˝ pa smo po zakonu razbremenjeni odgovornosti za tujo vsebino, ki jo zgolj prenašamo, začasno shranjujemo za potrebe prenosa (caching) ali gostimo na svojem strežniku oz. forumu. Če vsebine shranjujemo sami pa razbremenitev velja le toliko časa, dokler smo dobroverni - torej se ne zavedamo protipravnosti in okoliščin, iz katerih ta izhaja. Če smo vsebino oblikovali sami, utegnemo v zvezi z njo odgovarjati, zlasti če gre za pogodbena oz. odplačna razmerja.

Specifične vrste objav

  • Spletni mediji in blogi: tu gre lahko res za tujo vsebino, a smo jo sami kot uredniki medija ali bloga potrdili in zanjo odgovarjamo.
  • Forumi: če se omogoča interaktivna objava brez posredovanja, veljajo iste omejitve kot za gostiteljstvo, razen če je vsebina protipravna per se. Pazimo, da forum ne bo dajal vtisa uredniško oblikovane vsebine - objava pravil!

Bodimo vedno pripravljeni za odstranitev objave.

Viri:

  • 38. člen Ustave RS
  • Zakon o varstvu osebnih podatkov ZVOP-1
  • Zakon o informacijskem pooblaščencu ZinfP
  • Zakon o elektronskih komunikacijah
  • Zakon o elektronskem poslovanju na trgu ZEPT
  • Zakon o varstvu potrošnikov ZVPot
  • Informiran.si
comments powered by Disqus
Prijavi se na e-novice!
Najbolj brane novice