Upravljavec osebnih podatkov pri izvedbi nagradne igre
+ -Opozorilo: Mnenje je bilo izdano na podlagi določb Zakona o varstvu osebnih podatkov (ZVOP-1, Uradni list RS, št. 94/07 - uradno prečiščeno besedilo), ki je z dnem 26. 1. 2023 prenehal veljati in ga je nadomestil nov Zakon o varstvu osebnih podatkov (ZVOP-2, Uradni list RS, št. 163/22), zato mnenje ni več nujno aktualno. Mnenja po ZVOP-2 so na voljo tukaj.
Datum: 30.11.2020Številka: 07121-1/2020/2135
Kategorije: Informiranje posameznika, Neposredno trženje, nagradne igre, Pravne podlage
Informacijski pooblaščenec (v nadaljevanju IP) je po e-pošti prejel vaše zaprosilo za mnenje glede obdelave osebnih podatkov zaradi izvedbe nagradne igre. Navedli ste, da je nagradna igra organizirana s strani Producenta (poteka v njegovem e-okolju, sodelujoči s sodelovanjem dovoljuje, da Producent hrani njegove podatke) ter ima Pokrovitelja (sodelujoči v nagradni igri lahko s kljukico označi ali želi, da ga Pokrovitelj obvešča o ponudbi). Namen za katerega se zbirajo podatki je izvedba nagradne igre (do podelitve nagrade) in marketing obveščanje, v kolikor je podana privolitev posameznika.
Zanima vas, kdo je v konkretnem primeru upravljavec osebnih podatkov oz. ali gre za ločeno upravljanje v delu marketing obveščanja, v kolikor posameznik poda soglasje Producentu in Pokrovitelju ločeno?
***
Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju na podlagi 58. člena Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba), 7. točke prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07, uradno prečiščeno besedilo, v nadaljevanju ZVOP-1) ter 2. člena Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.
Pri tem IP poudarja, da IP izven postopka inšpekcijskega nadzora oziroma drugega upravnega postopka konkretnih obdelav osebnih podatkov ne more presojati. Poudarjamo, da je odgovornost za zakonito in pošteno obdelavo osebnih podatkov odgovornost upravljavca osebnih podatkov. IP vam lahko v okviru mnenja poda zgolj splošne usmeritve glede upravljavcev, skupnih upravljavcev oz. obdelovalcev osebnih podatkov ter privolitve po Splošni uredbi.
Uvodoma pojasnjujemo, da pomeni »obdelava« skladno z 2. točko 4. člena Splošne uredbe vsako dejanje ali niz dejanj, ki se izvaja v zvezi z osebnimi podatki ali nizi osebnih podatkov z avtomatiziranimi sredstvi ali brez njih, kot je zbiranje, beleženje, urejanje, strukturiranje, shranjevanje, prilagajanje ali spreminjanje, priklic, vpogled, uporaba, razkritje s posredovanjem, razširjanje ali drugačno omogočanje dostopa, prilagajanje ali kombiniranje, omejevanje, izbris ali uničenje. Nadalje je »upravljavec« skladno s 7. točko istega člena fizična ali pravna oseba, javni organ, agencija ali drugo telo, ki samo ali skupaj z drugimi določa namene in sredstva obdelave. Skladno s prvim odstavkom 26. člena Splošne uredbe pa so dva ali več upravljavcev, ki skupaj določijo namene in načine obdelave, skupni upravljavci.
Glede na opisan potek nagradne igre, je možnih več situacij. Sklepamo, da sta Producent in Pokrovitelj vsaj vsak samostojen upravljavec, mogoče pa je tudi, da sta skupna upravljavca. Sam način podaje soglasja ni merilo pri odločanju, ali gre za samostojna upravljavca ali skupna upravljavca. Osnovno merilo je način obdelave osebnih podatkov. Kadar upravljavci delujejo enotno in obdelujejo osebne podatke za skupno določene namene (razlogi, obseg, cilji) in skupno določene načine (sredstva, metode), gre skladno s 26. členom Splošne uredbe za skupne upravljavce. Ni nujno, da imajo upravljavci pri tem enakovredno vlogo; v obdelavo osebnih podatkov se lahko vključujejo skupaj ali pa v določenih stopnjah, prav tako niso nameni in sredstva nujno vedno skupni oziroma enaki, morajo pa biti skupno določeni. Kot smo npr. poudarili v mnenju št. 07121-1/2020/1484 z dne 27.8.2020, je pomembno merilo pri tem, da obdelava ne bi bila mogoča brez sodelovanja vseh strani v smislu, da je obdelava vsakega subjekta neločljivo povezana. Če take povezave ni, potem upravljavci nastopajo kot samostojni. Predlagamo vam, da preučite konkretne okoliščine in skladno z navedenimi merili določite, ali gre za skupna ali samostojna upravljavca. Več o tem si lahko preberete tudi v Priporočilih Informacijskega pooblaščenca glede skupnih upravljavcev, ki so dostopna na: https://www.ip-rs.si/fileadmin/user_upload/Pdf/Priporocila/Priporocila_Informacijskega_Pooblascenca_glede_skupnih_upravljavcev_21jan2019.pdf.
V kolikor boste presodili, da sta Producent in Pokrovitelj skupna upravljavca, morata skladno s 26. členom Splošne uredbe skleniti dogovor, zlasti v zvezi z uresničevanjem pravic posameznika, na katerega se nanašajo osebni podatki, in nalogami vsakega od njih glede zagotavljanja informacij iz 13. in 14. člena Splošne uredbe. Z dogovorom se lahko določi tudi kontaktna točka za posameznike, na katere se nanašajo osebni podatki. Bistveno vsebino dogovora se da na voljo posamezniku, na katerega se nanašajo osebni podatki. Več o tem si lahko preberete v zgornjih priporočilih IP.
Opozorimo pa naj tudi, da v kolikor Producent dejansko ne odloča o namenih in sredstvih obdelave, temveč izvaja nagradno igro v imenu Pokrovitelja in je pogodbeno zavezan npr. zgolj tehnično izvesti nagradno igro v svojem e-okolju, skladno z natančnimi navodili Pokrovitelja, potem bi se lahko štel tudi za obdelovalca osebnih podatkov in bi moral z upravljavcem skleniti pogodbo o obdelavi osebnih podatkov, skladno z 28. členom Splošne uredbe. Več o obdelavi osebnih podatkov si lahko preberete na naslednji povezavi: https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/kljucna-podrocja-uredbe/pogodbena-obdelava/ oz. si preberete že izdana mnenja IP s pomočjo iskalnika na www.ip-rs.si/vop z vpisom ključnih besed in označitvi kategorije (npr. pogodbena obdelava podatkov).
Vsak od upravljavcev mora imeti samostojno pravno podlago za obdelavo osebnih podatkov, ki je lahko, ne pa tudi nujno, enaka. Glede izvajanja nagradne igre smo glede možnih pravnih podlag v preteklosti že izdali mnenja, npr. št. 0712-1/2019/272 z dne 11.2.2019.
Kot smo poudarili v mnenju št. 0712-1/2019/272, je možna pravna podlaga za obdelavo osebnih podatkov ob izvedbi nagradne igre privolitev po točki (a) prvega odstavka 6. člena Splošne uredbe. Privolitev mora biti v nadaljevanju podana skladno s 7. členom Splošne uredbe, kar pomeni, da mora biti predvsem dokazljiva, prostovoljna, specifična, informirana in nedvoumna. V nadaljevanju smo v mnenju tudi poudarili, da mora biti privolitev, kadar je podana za več različnih namenov, podana za vsak namen posebej. Posameznik mora torej imeti možnost, da privoli v vsako obdelavo osebnih podatkov za vsak namen posebej, pri čemer morajo biti nameni posamezniku transparentno predstavljeni, skladno z 12. oz. 13. členom Splošne uredbe. Tako mora biti tudi v danem primeru, v kolikor gre za dva različna namena, kjer je prvi sodelovanje v nagradni igri, drugi pa pošiljanje oglasnih sporočil (neposredno trženje), posamezniku omogočeno, da poda upravljavcu oz. upravljavcema dve ločeni privolitvi. Več o privolitvi skladno s Splošno uredbo si lahko preberete tudi na spletni strani IP: https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/kljucna-podrocja-uredbe/privolitev/.
V upanju, da vam bodo naši napotki v pomoč, vas lepo pozdravljamo.
Mojca Prelesnik, univ.dipl.prav.,
informacijska pooblaščenka
Pripravila:
Barbara Pirš, univ.dipl.prav.,
Svetovalka Pooblaščenca za preventivo