IPSR je prejel dopis, v katerem prosilec navaja, da mu je hčerka pokazala spletno stran profesorji.net. Admina spletne strani prosilec ne pozna in ne ve, kdo ima dostop do urejanja, je pa namen ocenjevanje učiteljev vseh slovenskih šol, kar se prosilcu sicer ne zdi sporno. Prosilec pa je opazil, da njegovo ime ni zapisano z imenom in priimkom, temveč z besedo, zaradi katere se prosilčevi otroci počutijo prizadete, ker je prosilec učitelj na srednji šoli, pa tudi njemu ni vseeno. Na spletno stran namreč lahko vsakdo doda posameznega učitelja pod katerimkoli imenom. Prosilec meni, da je to zloraba. Naknadno je prosilec IP sporočil, da so neprimeren zapis s spletne strani odstranili, vseeno pa prosilca zanima, kako postopati v takšnih primerih.

Na podlagi informacij IP v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba o varstvu podatkov), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posreduje neobvezno mnenje v zvezi z vašim vprašanjem.

Uvodoma pojasnjujejo, da IP izven postopka inšpekcijskega nadzora oziroma drugega upravnega postopka konkretnih obdelav osebnih podatkov oziroma ustreznosti konkretnega ravnanja upravljavca ne more presojati. Zato v nadaljevanju podaja splošna pojasnila ter pravna izhodišča in pogoje za zakonito obdelavo osebnih podatkov.

Splošna uredba o varstvu podatkov posameznikom zagotavlja pravico do izbrisa osebnih podatkov oziroma “pravico do pozabe”, kjer pa je vedno potrebno presojati, ali je izpolnjen kateri od pogojev, ki so opredeljeni v členu 17. Ta določa, da ima posameznik, na katerega se nanašajo osebni podatki, pravico doseči, da upravljavec brez nepotrebnega odlašanja izbriše osebne podatke v zvezi z njim, upravljavec pa ima obveznost osebne podatke brez nepotrebnega odlašanja izbrisati, kadar velja eden od naslednjih razlogov:

a) osebni podatki niso več potrebni v namene, za katere so bili zbrani ali kako drugače obdelani;

(b) posameznik, na katerega se nanašajo osebni podatki, prekliče privolitev, na podlagi katere poteka obdelava v skladu s točko (a) člena 6(1) ali točko (a) člena 9(2), in kadar za obdelavo ne obstaja nobena druga pravna podlaga;

(c) posameznik, na katerega se nanašajo osebni podatki, obdelavi ugovarja v skladu s členom 21(1), za njihovo obdelavo pa ne obstajajo nobeni prevladujoči zakoniti razlogi, ali pa posameznik, na katerega se nanašajo osebni podatki, obdelavi ugovarja v skladu s členom 21(2);

(d) osebni podatki so bili obdelani nezakonito;

(e) osebne podatke je treba izbrisati za izpolnitev pravne obveznosti v skladu s pravom Unije ali pravom države članice, ki velja za upravljavca;

(f) osebni podatki so bili zbrani v zvezi s ponudbo storitev informacijske družbe iz člena 8(1).

Zahtevo za izbris je potrebno nasloviti na upravljavca, ki mora skladno s členom 12 Splošne uredbe o varstvu podatkov, informacije o ukrepih, sprejetih na zahtevo posameznika, le-temu zagotoviti brez nepotrebnega odlašanja in v vsakem primeru v enem mesecu po prejemu zahteve (ta rok se lahko po potrebni podaljša za največ dva dodatna meseca, o čemer pa mora upravljavec posameznika pravočasno obvestiti). Če upravljavec vašo zahtevo zavrne ali o njej v predpisanem roku ne odloči, lahko vložite pritožbo zoper upravljavca. Pritožbo naslovite na nadzorni organ za varstvo osebnih podatkov, v RS je to IP. Na spletni strani IP je objavljen obrazec, s katerim si lahko pomagate pri podaji zahteve.

Podatki o upravljavcu spletne strani bi načeloma morali biti dostopni na spletni strani. Zakon o elektronskem poslovanju na trgu (Uradni list RS, št. 96/09 – uradno prečiščeno besedilo in 19/15; v nadaljevanju: ZEPT) namreč v 5. členu določa splošno obveznost zagotavljanja podatkov, ki ponudnika storitve obvezuje, da mora na svojih spletnih straneh zagotavljati tudi lahek, neposreden in stalen dostop do (med drugim) podatkov o podjetju in sedežu, ter veljavnem elektronskem naslovu za hitro in učinkovito komuniciranje. 8. do 11. člen ZEPT nadalje urejajo odgovornost ponudnikov (storitev gostovanja), v skladu s katerim zakon pri ponudnikih spletnih storitev gostovanja omejuje njihovo odgovornost za objavljeno vsebino s strani posameznikov s t. i. sistemom notice-and-takedown (sistem prijave in odstranitve), po katerem ponudnik storitve ni dolžan sam iskati protipravnih vsebin, temveč pa je dolžan ukrepati, če mu je protipravnost znana ali ko ga oškodovanec obvesti o kršitvi.

Podatki o upravljavcu oziroma lastniku spletne domene so dostopni tudi preko spletne strani https://whois.domaintools.com/.

Nemalokrat pa tudi na opisane načine ni mogoče odkriti identitete upravljavca, na katerega bi posameznik lahko naslovil zahtevo za izbris svojih osebnih podatkov. V takšnem primeru posamezniku preostane še zahtevek za izbris podatkov neposredno pri spletnemu ponudniku iskalnika Google. Na tej povezavi boste našli podrobna navodila in povezave do Google obrazcev za izbris https://tiodlocas.si/top-nasveti/kako-se-odstranite-iz-google-zadetkov/.

IP še dodaja, da gre v primerih spletnih komentarjev ipd. lahko za materijo, ki jo Kazenski zakonik (Uradni list RS, št. 50/12 – uradno prečiščeno besedilo, 6/16 – popr., 54/15, 38/16, 27/17, 23/20 in 91/20; v nadaljevanju: KZ-1) ureja v poglavju kaznivih dejanj zoper čast in dobro ime (člen 158. in naslednji). Posameznik, ki meni, da je utrpel duševne bolečine zaradi razžalitve dobrega imena in časti ali okrnitve osebnostne pravice pa lahko zahteva denarno odškodnino (179. člen Obligacijskega zakonika RS (Uradni list RS, št. 97/07 – UPB, s sprem. in dop.; OZ), in sicer pred pristojnim civilnim sodiščem.

Celotno mnenje najdete TUKAJ.