IP: Klicanje v raziskovalne namene
Uporaba naključno generiranih telefonskih številk lahko kljub tehnični nevtralnosti pomeni obdelavo osebnih podatkov, za katero mora upravljavec zagotoviti jasno pravno podlago.
Mnenje je bilo objavljeno 11. 12. 2025
V praksi raziskovalnih dejavnosti se vse pogosteje odpira vprašanje, ali je izvajanje telefonskih anket na podlagi naključno generiranih telefonskih številk, tako imenovanega random digit diallinga, dopustno z vidika varstva osebnih podatkov. Številke niso pridobljene iz imenikov, baz naročnikov ali drugih obstoječih evidenc, temveč nastanejo avtomatsko, zato se lahko na prvi pogled zdi, da takšen pristop ne posega v področje uporabe Splošne uredbe o varstvu podatkov. Prav zato se pojavi dvom, ali v takšnih primerih sploh govorimo o obdelavi osebnih podatkov.
Ob podrobnejši presoji pa se ta dvom hitro razblini. Telefonska številka, ki se v praksi uporablja ali pripada določljivi fizični osebi, predstavlja osebni podatek ne glede na način njenega nastanka. Že sam klic pomeni poseg v zasebno sfero posameznika in s tem obdelavo osebnega podatka, za katero mora obstajati ena izmed zakonitih pravnih podlag iz 6. člena GDPR.
V zvezi s tem Informacijski pooblaščenec izpostavlja, da bi se pri raziskovalnih telefonskih klicih kot možni pravni podlagi lahko upoštevali privolitev posameznika ali zakoniti interes upravljavca oziroma izvajalca ankete. Pri slednjem mora upravljavec dokazati, da je obdelava nujna za uresničevanje zakonitega interesa in da nad tem interesom ne prevladajo interesi ali temeljne pravice in svoboščine posameznika. Ob tem se dodatno poudarja, da je v primeru naključno generiranih telefonskih številk po mnenju IP izpolnjevanje teh zahtev praviloma težko, če ne celo nemogoče.
Takšna izhodišča potrjujejo, da naključno generiranje telefonskih številk ne predstavlja enostavne pravne bližnjice za obid pravil varstva osebnih podatkov. Nasprotno, odpira vrsto vprašanj glede ustrezne pravne podlage, sorazmernosti obdelave in razumnih pričakovanj posameznikov. IP poudarja, da je končna presoja vselej vezana na okoliščine posameznega primera, pri čemer odgovornost zanjo nosi upravljavec osebnih podatkov.
Ne nazadnje IP opozarja še na informacijske obveznosti upravljavca v primerih, ko osebni podatki niso pridobljeni neposredno od posameznika. V takšnih primerih se uporablja 14. člen GDPR, ki zahteva, da je posameznik ob prvi komunikaciji seznanjen z bistvenimi elementi obdelave. Kadar obdelava temelji na zakonitem interesu, mora biti posamezniku posebej pojasnjeno, kateri konkretni interesi se z obdelavo zasledujejo. Prav ta vidik transparentnosti je v praksi pogosto spregledan, čeprav predstavlja temeljni pogoj za zakonito obdelavo osebnih podatkov.
Celotno mnenje je dostopno tukaj.
Vir: IPRS
Naslovna fotografija: Pexels
