Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Iskalnik po mnenjih GDPR

+ -
Datum: 09.01.2019
Naslov: Nagradna igra
Številka: 0712-3/2018/2769
Vsebina: Neposredno trženje, nagradne igre
Pravni akt: Mnenje

Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaše zaprosilo za mnenje glede registracije za sodelovanje v nagradni igri.

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba o varstvu podatkov), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju: ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju: ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.

 

IP uvodoma pojasnjuje, da lahko podaja nezavezujoča mnenja in pojasnila, ne more pa v tem okviru presojati ustreznosti določene rešitve (v vašem primeru obrazca) z vidika skladnosti z obstoječimi predpisi. Morebitno kršitev določb predpisov s področja varstva osebnih podatkov v posameznem primeru IP lahko ugotavlja šele v okviru konkretnega inšpekcijskega postopka, izven tega pa ne more preverjati primernosti izbrane pravne podlage ali namenov oziroma obsega obdelave osebnih podatkov v konkretnem primeru.

 

IP nadalje pojasnjuje, da je primarna odgovornost za zakonito obdelavo osebnih podatkov na upravljavcu samem. IP izven konkretnih inšpekcijskih postopkov posameznim poslovnim subjektom ne more svetovati, kako organizirati konkretne poslovne procese in v tem okviru obdelovati osebne podatke. IP namreč ne sme in ne more prevzeti odgovornosti posameznih poslovnih subjektov za njihovo poslovanje, podobno kot to velja za druge inšpekcijske organe.

 

IP splošno pojasnjuje, da mora za zakonito obdelavo osebnih podatkov obstajati pravna podlaga. V členu 6 Splošne uredbe o varstvu podatkov je določeno, da je obdelava zakonita le in kolikor je izpolnjen vsaj eden od naslednjih pogojev:

(a) posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov;

(b) obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe;

(c) obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca;

(d) obdelava je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe;

(e) obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu;

(f) obdelava je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok.«.

Ob tem je treba upoštevati, da se zadnja točka (f) ne more uporabljati za obdelavo s strani javnih organov pri opravljanju njihovih nalog.

 

Obdelava osebnih podatkov je tako zakonita, če je izpolnjen (vsaj) eden od zgoraj naštetih pogojev, torej je tudi privolitev posameznika ena od možnih veljavnih pravnih podlag za zakonito obdelavo osebnih podatkov. IP pojasnjuje, da mora biti privolitev posameznika v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov (v vašem zaprosilu navajate devet različnih namenov) podana v skladu z določili 7. člena Splošne uredbe o varstvu podatkov. Privolitev posameznika mora biti konkretna, razumljiva izjava ali drugo nedvoumno pritrdilno dejanje in dokazljiva. Privolitev mora biti dana z jasnim pritrdilnim dejanjem, kar pomeni, da posameznik prostovoljno, specifično, ozaveščeno in nedvoumno izrazi privolitev v obdelavo osebnih podatkov v zvezi z njim.  Molk, vnaprej označena okenca ali kakršnakoli nedejavnost tako ne pomenijo privolitve. Posameznik mora torej jasno podati privolitev za zbiranje in obdelavo svojih osebnih podatkov za konkreten namen. Upravljavec mora biti zmožen dokazati, da je posameznik privolil v obdelavo svojih osebnih podatkov. Posameznik ima tudi pravico, da svojo privolitev kadarkoli prekliče. Ključne informacije glede ureditve privolitve so na voljo tudi na spletni strani IP:

https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/kljucna-podrocja-uredbe/privolitev/.

IP poudarja, da mora biti privolitev v primerih, ko obdelava podatkov vključuje več različnih namenov, podana za vsak namen posebej. Upravljavec mora pridobiti več ločenih privolitev za vsako obdelavo posebej (granularnost oziroma razčlenjenost privolitev). Posameznik mora imeti možnost privoliti v obdelavo svojih osebnih podatkov za vsak namen obdelave posebej. Če posameznik ne privoli v obdelavo za posamezen namen, s tem ne sme zapasti v slabši položaj. Namen mora biti jasno in nedvoumno opredeljen, saj je konkreten, ekspliciten in legitimen namen obdelave predpogoj za pridobitev veljavne privolitve.

 

Preden posameznik torej potrdi sodelovanje v nagradni igri, mora biti obveščen glede obdelave njegovih osebnih podatkov. V zvezi z enim od namenov obdelave, ki ga navajate v vašem zaprosilu (segmentiranje, profiliranje in avtomatizirana obdelava), IP pojasnjuje, da je privolitev lahko ustrezna pravna podlaga za tovrstno obdelavo osebnih podatkov le, če je posameznik na podlagi predhodnega ustreznega informiranja (po pogojih in s sestavinami iz členov 13 ali 14 Splošne uredbe o varstvu podatkov) imel možnost resnične izbire tako, da je lahko z nedvoumno indikacijo, dano z izjavo ali jasnim ravnanjem, sprejel ali zavrnil privolitev v posamezen, ločen namen obdelave njihovih osebnih podatkov, brez škodljivih posledic zanj.

 

V pomoč pri obveščanju posameznikov vam je lahko neobvezni obrazec, ki ga najdete na spletni strani IP:

https://www.ip-rs.si/fileadmin/user_upload/doc/vzorci/VZOREC_OBVESTILA_POSAMEZNIKOM_GLEDE_OBDELAVE_OSEBNIH_PODATKOV.docx

 

IP posebej poudarja, da mora biti sodelovanje v nagradni igri prostovoljno in se izvrši na podlagi osebne privolitve posameznika, ki lahko pogoje sodelovanja sprejme ali jih, če se z njimi ne strinja, zavrne. Če se torej posameznik s predlagano obdelavo osebnih podatkov ne strinja in če meni, da bi posredovanje osebnih podatkov pomenilo prehud poseg v njegovo pravico do zasebnosti, v nagradni igri ne bo sodeloval. Glede obsega zbiranja podatkov IP pojasnjuje še, da morajo biti skladno z načelom najmanjšega obsega podatkov iz 5. člena Splošne uredbe o varstvu podatkov osebni podatki ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo.

V zaprosilu navajate tudi, da bo upravljavcev osebnih podatkov več (organizatorji in soorganizatorji) ter da lahko slednji za obdelavo osebnih podatkov uporabijo tudi pogodbene obdelovalce. Za pravilno ureditev medsebojnih razmerij med navedenimi subjekti je treba upoštevati določbe IV. dela Splošne uredbe o varstvu podatkov, zlasti določbi 26. in 28. člena. Oba člena določata obveznost sklenitve medsebojnega dogovora oziroma ustreznega pisnega akta, kjer se določijo pravice in obveznosti udeleženih subjektov. Več o pogodbeni obdelavi osebnih podatkov lahko najdete na naši spletni strani:

https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/kljucna-podrocja-uredbe/pogodbena-obdelava/ .

 

 

S spoštovanjem.

 

 

Pripravil:

Matej Sironič,                                                  

Svetovalec pooblaščenca

za varstvo osebnih podatkov

 

 

Informacijski pooblaščenec:

Mojca Prelesnik, univ. dipl. prav.,

pooblaščenka