Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Iskalnik po mnenjih GDPR

+ -
Datum: 20.09.2019
Naslov: Nagradna igra in posredovanje podatkov iz Hrvaške in Črne gore v Slovenijo
Številka: 0712-1/2019/2135
Vsebina: Neposredno trženje, nagradne igre, Prenos osebnih podatkov v tretje države ali mednarodne organizacije
Pravni akt: Mnenje

Informacijski pooblaščenec (v nadaljevanju IP) je po prejel vaš dopis, v katerem pojasnjujete, da bi slovensko podjetje rado izvedlo nagradno igro na področju Slovenije, Hrvaške in Črne gore. Podjetje nima podružnic na Hrvaškem in v Črni gori, zato bi distributer oz. organizator nagradne igre iz teh dveh držav zbiral osebne podatke sodelujočih in njihove privolitve, nato pa vse to poslal podjetju v Sloveniji. Žrebanje bi opravilo podjetje v Sloveniji. Zanima vas, pod katerimi pogoji lahko izvažate osebne podatke iz Hrvaške in Črne gore v Slovenijo. Nadalje vas zanima, kakšno je razmerje slovenskega podjetja do distributerjev, torej ali je to podjetje obdelovalec osebnih podatkov ali ne. 

 

***

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju na podlagi 58. člena Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba), 7. točke prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07, uradno prečiščeno besedilo, v nadaljevanju ZVOP-1) ter 2. člena Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.

 

Uvodoma pojasnjujemo, da IP v okviru mnenja ne more dokončno odgovoriti na vaše vprašanje, saj lahko IP zavzame stališče le v okviru inšpekcijskega postopka, IP vam bo zato v nadaljevanju podal splošna izhodišča, ki vam bodo pomagala pri odgovoru na vprašanja.

 

Posredovanje osebnih podatkov iz Črne gore in Hrvaške v Slovenijo

O prenosu osebnih podatkov v tretje države govorimo takrat, ko upravljavec ali obdelovalec iz Slovenije ali druge države članice Evropskega gospodarskega prostora unije (to je lahko tudi podružnica; v nadaljevanju EGP; sem sodijo poleg vseh držav Evropske unije (EU) še: Islandija, Norveška in Lihtenštajn) osebne podatke iz takega ali drugačnega razloga posreduje v države izven EGP ali v mednarodno organizacijo. Črna gora v skladu z zgornjo dikcijo predstavlja tretjo državo. To pomeni, če definicijo obrnemo, da ne govorimo o prenosu osebnih podatkov v tretje države v smislu V. poglavja Splošne uredbe takrat, ko osebni podatki iz tretjih držav potujejo v Slovenijo ali v EGP. V skladu z navedenim v primeru posredovanja osebnih podatkov iz Črne gore kot tretje države v Slovenijo ne gre za prenos osebnih podatkov in posledično ni potrebno zagotoviti posebnih ukrepov, kakor to sicer nalaga V. poglavje Splošne uredbe. Za prenos osebnih podatkov bi pa šlo v kolikor bi iz Slovenije posredovali osebne podatke v Črno goro, v takšnem primeru je potrebno zagotoviti ustrezne zaščitne ukrepe za prenos podatkov. Za več informacij o prenosu osebnih podatkov v tretje države vas napotujemo na svoje smernice, kjer je to področje podrobneje razloženo: https://www.ip-rs.si/publikacije/prirocniki-in-smernice/smernice-glede-prenosa-osebnih-podatkov-v-tretje-drzave-in-mednarodne-organizacije-po-splosni-uredbi-o-varstvu-podatkov/.

 

Pri posredovanju osebnih podatkov iz Hrvaške v Slovenijo ne gre za prenos osebnih podatkov v smislu V. poglavja Splošne uredbe, saj sta obe državi članici EGP/EU, kar pomeni, da Hrvaška ni tretja država v smislu Splošne uredbe. Določbe Splošne uredbe veljajo tako v Sloveniji kot tudi na Hrvaškem.

 

V skladu s členom 2 se Splošna uredba uporablja za obdelavo osebnih podatkov v okviru dejavnosti ustanovitve upravljavca ali obdelovalca v EU, ne glede na to, ali obdelava poteka v EU ali ne. To pomeni, da je potrebno osebne podatke, ki jih bo konkretno podjetje obdelovalo v Sloveniji, obdelovati v skladu z določbami Splošne uredbe, ne glede na to, da gre za osebne podatke, ki so v Slovenijo prišli iz tretje države – Črne gore.

 

Predvsem morate v konkretnem primeru zagotoviti, da osebne podatke obdelujete zakonito in da ste za obdelavo in posredovanje osebnih podatkov zagotovili ustrezno pravno podlago (te ureja prvi odstavek člena 6 Splošne uredbe). Ena izmed pravnih podlag je privolitev posameznikov v obdelavo. Za več informacij o tem, kako zagotoviti skladnost s Splošno uredbo vas IP napotuje na svojo spletno stran, ki je namenjena upravljavcem osebnih podatkov: https://upravljavec.si/.

 

Status obdelovalca in upravljavca osebnih podatkov

 

»Upravljavec« pomeni fizično ali pravno osebo, javni organ, agencijo ali drugo telo, ki samo ali skupaj z drugimi določa namene in sredstva obdelave (sedma točka člena 4 Splošne uredbe). »Obdelovalec« pa pomeni fizično ali pravno osebo, javni organ, agencijo ali drugo telo, ki obdeluje osebne podatke v imenu upravljavca (osma točka člena 4 Splošne uredbe). Obdelovalec pa lahko, v kolikor je upravljavec to pisno dovolil, da osebne podatke naprej v podobdelavo drugemu obdelovalcu oziroma t.i. podobdelovalcu. V vlogi obdelovalca bo nastopala tista pravna oziroma fizična oseba, ki bo obdelavo osebnih podatkov izvrševala:

1. izključno v imenu in za račun upravljavca osebnih podatkov,

2. bo pri tem črpala podlago za obdelavo osebnih podatkov iz upravičenj upravljavca ter

3. bo v zvezi s samimi dejanji obdelave vezana na navodila upravljavca.

 

Pri določanju, kdo je upravljavec in kdo obdelovalec osebnih podatkov, je ključno, kakšna je vloga določenega subjekta pri pridobivanju podatkov, izvrševanju pravic do vpogleda, brisanja podatkov posameznikov, nabora osebnih podatkov, določanja namenov in sredstev obdelave, dejanskega dostopa do baze osebnih podatkov, ki se obdelujejo ipd. Če ima subjekt dostop do osebnih podatkov, ki se obdelujejo, določa namene in sredstva obdelave ter izvršuje pravice uporabnikov, potem ima odgovornosti upravljavca osebnih podatkov in ne le obdelovalca. Kadar o namenih in sredstvih obdelave odloča več entitet, lahko govorimo tudi o več upravljavcih oziroma o skupnih upravljavcih. Pogodbeni obdelovalec pa pravzaprav le izvaja določene naloge v imenu in na račun upravljavca, ki bi jih drugače izvajal sam upravljavec osebnih podatkov, pa se je ta odločil, da za to pooblasti pogodbenega partnerja.

 

Glede na vaš dopis gre sklepati, da distributerji na Hrvaškem in v Črni gori delujejo po navodilih in za račun slovenskega podjetja, ki je dejanski organizator nagradne igre. V takšnem primeru bi lahko slovensko podjetje nastopalo kot upravljavec osebnih podatkov, preostali dve entiteti pa kot obdelovalca. Vsekakor pa, kakor je bilo že uvodoma pojasnjeno, IP v okviru neobvezujočega mnenja ne more v konkretnem primeru zavzeti dokončnega stališča, saj za to niti nima dovolj informacij. V posledici navedenega boste dokončno presojo glede tega, kdo v konkretnem razmerju nastopa kot obdelovalec in kdo kot upravljavec osebnih podatkov, morali opraviti sami. Pomembno pa je, da v kolikor gre za razmerje med upravljavcem in obdelovalcem, je to razmerje potrebno urediti s pogodbo o obdelavi osebnih podatkov, kakor to določa člena 28 Splošne uredbe. IP vas pri tem napotuje na smernice glede pogodbene obdelave, kjer je podrobneje razloženo razmerje med upravljavcem, obdelovalcem in podobdelovalcem: 

https://www.ip-rs.si/fileadmin/user_upload/Pdf/smernice/Smernice_o_pogodbeni_obdelavi_web.pdf

 

V upanju, da ste dobili odgovor na svoje vprašanje, vas lepo pozdravljamo.

 

 

Mojca Prelesnik, univ.dipl.prav.,                                                  

informacijska pooblaščenka

 

 

Pripravila:                                                                                                                              

Neja Domnik, mag. prav.,

raziskovalka pri IP