Informacijski pooblaščenec Republika Slovenija
   
dekorativna slika

Računovodski servis

+ -
Datum: 06.01.2019
Številka: 0712-3/2018/2722
Kategorije: Pogodbena obdelava podatkov

Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaše zaprosilo za mnenje glede ravnanja računovodskega servisa, ki je pripravljen posredovati bazo podatkov drugemu servisu samo proti plačilu.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba o varstvu podatkov), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju: ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju: ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.

V skladu s 4. členom Splošne uredbe o varstvu podatkov pojem »upravljavec« pomeni fizično ali pravno osebo, javni organ, agencijo ali drugo telo, ki samo ali skupaj z drugimi določa namene in sredstva obdelave; kadar namene in sredstva obdelave določa pravo Unije ali pravo države članice, se lahko upravljavec ali posebna merila za njegovo imenovanje določijo s pravom Unije ali pravom države članice. Pojem »obdelovalec« pomeni fizično ali pravno osebo, javni organ, agencijo ali drugo telo, ki obdeluje osebne podatke v imenu upravljavca.

Razmerje med upravljavcem in obdelovalcem pa Splošna uredba o varstvu podatkov ureja v 28. členu, kjer določa, da obdelavo s strani obdelovalca ureja pogodba ali drug pravni akt v skladu s pravom Unije ali pravom države članice, ki določa obveznosti obdelovalca do upravljavca, v katerem so določeni vsebina in trajanje obdelave, narava in namen obdelave, vrsta osebnih podatkov, kategorije posameznikov, na katere se nanašajo osebni podatki, ter obveznosti in pravice upravljavca. Ta pogodba ali drug pravni akt zlasti določa, da obdelovalec:

  1. osebne podatke obdeluje samo po dokumentiranih navodilih upravljavca, vključno glede prenosov osebnih podatkov v tretjo državo ali mednarodno organizacijo, razen če to od njega zahteva pravo Unije ali pravo države članice, ki velja za obdelovalca; v slednjem primeru obdelovalec o tej pravni zahtevi pred obdelavo podatkov obvesti upravljavca, razen če zadevno pravo prepoveduje takšno obvestilo na podlagi pomembnih razlogov v javnem interesu;
  2. zagotovi, da so osebe, ki so pooblaščene za obdelavo osebnih podatkov, zavezane k zaupnosti ali jih k zaupnosti zavezuje ustrezen zakon;
  3. sprejme vse ukrepe, potrebne v skladu s členom 32;
  4. spoštuje pogoje iz odstavkov 2 in 4 za zaposlitev drugega obdelovalca;
  5. ob upoštevanju narave obdelave pomaga upravljavcu z ustreznimi tehničnimi in organizacijskimi ukrepi, kolikor je to mogoče, pri izpolnjevanju njegovih obveznosti, da odgovori na zahteve za uresničevanje pravic posameznika, na katerega se nanašajo osebni podatki, iz poglavja III;
  6. upravljavcu pomaga pri izpolnjevanju obveznosti iz členov 32 do 36 ob upoštevanju narave obdelave in informacij, ki so dostopne obdelovalcu;
  7. v skladu z odločitvijo upravljavca izbriše ali vrne vse osebne podatke upravljavcu po zaključku storitev v zvezi z obdelavo ter uniči obstoječe kopije, razen če pravo Unije ali pravo države članice predpisuje shranjevanje osebnih podatkov;
  8. da upravljavcu na voljo vse informacije, potrebne za dokazovanje izpolnjevanja obveznosti iz tega člena, ter upravljavcu ali drugemu revizorju, ki ga pooblasti upravljavec, omogoči izvajanje revizij, tudi pregledov, in pri njih sodeluje.

V zvezi s točko (h) prvega pododstavka obdelovalec nemudoma obvesti upravljavca, če po njegovem mnenju navodilo krši to uredbo ali druge določbe Unije ali predpisov držav članic o varstvu podatkov

IP pojasnjuje, da je najem računovodskih storitev tipičen primer pogodbene obdelave osebnih podatkov, saj računovodski servis obdeluje osebne podatke v imenu in za račun upravljavca (naročnika storitve) ter jih ne sme obdelovati v druge namene, razen če bi to od njega zahteval zakon. Določanje namenov in sredstev obdelave pomeni določanje namenov in ciljev obdelave osebnih podatkov, nabora osebnih podatkov, načinov obdelave, kdaj bodo podatki izbrisani in kdo so osebe, ki naj imajo dostop do osebnih podatkov. Za razlikovanje med upravljavcem in obdelovalcem osebnih podatkov je torej ključno, da je obdelovalec samostojna, od upravljavca ločena pravna entiteta, in da osebne podatke vselej obdeluje le v imenu in za račun upravljavca. Iz tega razloga je eden pomembnih elementov razmerja med njima tudi nadzor upravljavca nad obdelavo osebnih podatkov, ki jo zanj izvaja obdelovalec.

Obdelovalec mora sprejeti vse ukrepe za varnost obdelave osebnih podatkov (ob pomoči upravljavca), ki jih za čas opravljanja storitev obdeluje le po dokumentiranih navodilih upravljavca in le preko pooblaščenih oseb za obdelavo osebnih podatkov, preko drugega obdelovalca (podizvajalca) pa le ob upoštevanju določenih pogojev za njihovo zadolžitev, med katerimi je tudi obveznost, da upravljavec zadolžitvi podizvajalca ne ugovarja.

V skladu s točko (g) tretjega odstavka 28. člena Splošne uredbe o varstvu podatkov mora torej obdelovalec po zaključku storitev v zvezi z obdelavo v skladu z odločitvijo upravljavca izbrisati ali vrniti vse osebne podatke upravljavcu ter uničiti obstoječe kopije, razen če pravo Unije ali države članice predpisuje shranjevanje osebnih podatkov. Po zaključku storitev namreč obdelovalec več ne razpolaga s pravno podlago za obdelavo osebnih podatkov, zato jih mora bodisi izbrisati (uničiti) bodisi vrniti upravljavcu. Nadaljnja hramba brez vednosti upravljavca in brez druge pravne podlage pomeni kršitev. Pred začetkom uporabnosti Splošne uredbe o varstvu podatkov je pogodbeno obdelavo urejal 11. člen ZVOP-1, ki je prav tako vseboval določbo (tretji odstavek), da je pogodbeni obdelovalec dolžan v primeru spora med njim in upravljavcem le-temu na podlagi njegove zahteve nemudoma vrniti osebne podatke, ki jih je pogodbeno obdeloval.

Ker iz vašega zaprosila ni razvidno, ali in kako imate urejeno razmerje z vašim trenutnim računovodskim servisom (pogodbeno), vam IP svetuje, da vaše razmerje preučite v luči zgoraj navedenih določb in pojasnil. V kolikor boste na podlagi tega ocenili, da dejanja obstoječega računovodskega servisa pomenijo nezakonito obdelavo osebnih podatkov, lahko pri IP podate prijavo.

IP poudarja, da je ustrezna ureditev pogodbene obdelave osebnih podatkov predvsem v interesu upravljavcev (torej v konkretnem primeru vas kot naročnika storitve), saj so oni tisti, ki se odločajo za najem obdelovalcev in oni so tisti, ki morajo zagotoviti oz. zahtevati, da so osebni podatki ustrezno varovani in obdelovani.

Sklepno IP poudarja, da vam konkretnega in dokončnega odgovora o zakonitosti obdelave osebnih podatkov IP v okviru mnenja v nobenem primeru ne more podati, saj lahko posamezne primere obdelave podatkov konkretno presoja zgolj v okviru inšpekcijskega ali drugega upravnega postopka.

Prav tako se IP v nobenem primeru ni pristojen spuščati v presojo ustreznosti siceršnje civilnopravne ureditve pogodbenega razmerja (torej vprašanj plačila za posamezne storitve ipd.).

S spoštovanjem.

Pripravil:

Matej Sironič,                                                  

Svetovalec pooblaščenca

za varstvo osebnih podatkov

Informacijski pooblaščenec:

Mojca Prelesnik, univ. dipl. prav.,

pooblaščenka