Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Iskalnik po mnenjih GDPR

+ -
Datum: 21.10.2019
Naslov: Brisanje računa pri ponudniku spletnih iger
Številka: 0712-1/2019/2391
Vsebina: Pravica do pozabe, Svetovni splet
Pravni akt: Mnenje

Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaše zaprosilo za mnenje in sicer vas zanima, če je zahteva ponudnika spletnih iger, kjer za brisanje računa od uporabnika zahteva osebni dokument, v skladu s Splošno uredbo o varstvu podatkov (GDPR).

 

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju na podlagi 58. člena Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba), 7. točke prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07, uradno prečiščeno besedilo, v nadaljevanju ZVOP-1) ter 2. člena Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.

 

IP uvodoma pojasnjuje, da je najprej treba ugotoviti, ali je ponudnik spletne igre kot tak zavezanec po Splošni uredbi in ali torej zanj veljajo določbe Splošne uredbe ali ne. Člen 3 Splošne uredbe določa, da se ta uredba uporablja za obdelavo osebnih podatkov posameznikov, na katere se nanašajo osebni podatki in ki so v Uniji, s strani upravljavca ali obdelovalca, ki nima sedeža v Uniji, kadar so dejavnosti obdelave povezane:

 

(a) z nudenjem blaga ali storitev takim posameznikom v Uniji, ne glede na to, ali je potrebno plačilo posameznika, na katerega se nanašajo osebni podatki, ali

(b) s spremljanjem njihovega vedenja, kolikor to poteka v Uniji.

 

V konkretnem primeru gre za ameriško podjetje s sedežem v Kaliforniji, zgolj iz javno dostopnih informacij pa v okviru nezavezujočega mnenja ne moremo ugotavljati, ali je konkretno podjetje zavezanec ali ne, glede na zgoraj navedene določbe, temveč bi to terjalo uvedbo inšpekcijskega postopka, kjer bi morali najprej ugotoviti, ali gre za zavezanca ali ne.

 

V nadaljnji fazi, kolikor bi šlo za zavezanca po Splošni uredbi, bi bilo treba pridobiti informacije o tem, kakšni so razlogi za zahtevanje osebnega dokumenta  in ali so ti razlogi utemeljeni in sorazmerni. Splošna uredba sicer ni specifična glede tega, katere osebne podatke lahko zahteva upravljavec podatkov od posameznika, ki zahteva izbris računa, načeloma pa bi lahko zahteval le najmanjši nabor osebnih podatkov, ki zadošča, da enolično identificira uporabnika. Žal tudi tega brez pojasnil zavezanca v okviru našega mnenja ne moremo ugotavljati. Konkretni ponudnik sicer navaja, da bo kopijo osebnega dokumenta uničil takoj po izpolnitivi zahteve uporabnika, vendar pa tega vnaprej ne moremo potrditi. Če vas zadeva zelo skrbi se lahko za dodatna pojasnila obrnete na zadevnega ponudnika.

 

S spoštovanjem,

 

 

Mojca Prelesnik, univ. dipl. prav.,

Informacijska pooblaščenka

 

 

Pripravil:                                                                                                                              

mag. Andrej Tomšič,
namestnik informacijske pooblaščenke