Dogovor o skupnem upravljanju osebnih podatkov v centralni kadrovski evidenci državne uprave

Pri Informacijskem pooblaščencu (IP) smo prejeli vaše zaprosilo za mnenje. Pojasnjujete, da na Uradu Vlade RS za komuniciranje (v nadaljevanju UKOM) skladno z določbo drugega odstavka 47. člena Zakona o javnih uslužbencih (v nadaljevanju ZJU) vodite zbirko osebnih podatkov o svojih zaposlenih, ki vsebuje podatke iz prvega odstavka 47. člena ZJU, Ministrstvo za javno upravo (v nadaljevanju MJU) pa je na podlagi 46. člena ZJU upravljavec centralne kadrovske evidence državne uprave, v kateri se vodijo osebni podatki, kot jih opredeljuje prvi odstavek 47. člena ZJU. Ker sta oba organa skupna upravljavca osebnih podatkov, želita skleniti dogovor o skupnem upravljanju. Zanima vas, ali lahko MJU kljub dejstvu, da sta MJU in UKOM skupna upravljavca zgoraj navedenih osebnih podatkov, sam izbira, izbere in z izbranim izvajalcem sam sklene pogodbo o obdelavi osebnih podatkov (skladno z razmejitvijo pristojnosti med obema upravljavcema iz dogovora o skupnem upravljanju), ali morata biti v pogodbi na strani upravljavca oziroma skupnih upravljavcev navedena in podpisana oba skupna upravljavca – v luči razlage iz smernic IP, da mora biti pogodba v skladu s pravom unije ali pravom države članice zavezujoča za obdelovalca, glede na upravljavca. Slednje pa lahko dosežete samo s sklenitvijo tristrane pogodbe o pogodbeni obdelavi osebnih podatkov.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju Splošna uredba), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

Dogovor o skupnem upravljanju mora sicer vsebovati tudi dogovor o uporabi obdelovalca, ne glede na to pa pogodbo o obdelavi sklepa posamičen upravljavec, torej tisti, v imenu katerega nastopa obdelovalec.

O b r a z l o ž i t e v:

IP uvodoma opozarja, da lahko posamezne primere obdelave osebnih podatkov konkretno presoja le v okviru inšpekcijskega ali drugega upravnega postopka. To pomeni, da v okviru mnenja ne more potrjevati ustreznosti konkretnih pogodbenih določil ali presojati zakonitosti predvidenih rešitev, temveč lahko zgolj opozori na relevantno pravno podlago ter pogoje, ki morajo biti izpolnjeni, da je določena obdelava osebnih podatkov zakonita.

Upravljavec je fizična ali pravna oseba, javni organ, agencija ali drugo telo, ki samo ali skupaj z drugimi določa namene in sredstva obdelave; kadar namene in sredstva obdelave določa pravo Unije ali pravo države članice, se lahko upravljavec ali posebna merila za njegovo imenovanje določijo s pravom Unije ali pravom države članice (7. točka 4. odstavka Splošne uredbe).[1] Če je v obdelavo osebnih podatkov vključen več kot en akter, lahko pride do skupnega upravljanja, kjer so obveznosti, ki bi bile sicer naložene enemu upravljavcu, ustrezno porazdeljene na dva ali več upravljavcev. Prvi odstavek 26. člena Splošne uredbe določa, da sta dva ali več upravljavcev, ki skupaj določijo namene in načine obdelave, skupni upravljavci. Skupni upravljavci na pregleden način z medsebojnim dogovorom določijo dolžnosti vsakega od njih z namenom izpolnjevanja obveznosti v skladu s to uredbo, zlasti v zvezi z uresničevanjem pravic posameznika, na katerega se nanašajo osebni podatki, in nalogami vsakega od njih glede zagotavljanja informacij iz 13. in 14. člena Splošne uredbe, razen če in kolikor so dolžnosti vsakega od upravljavcev določene s pravom Unije ali pravom države članice, ki velja za upravljavce. Z dogovorom se lahko določi kontaktna točka za posameznike, na katere se nanašajo osebni podatki.

Smernice Evropskega odbora za varstvo podatkov (EDPB) 7/2020 o pojmih upravljavec in obdelovalec iz Splošne uredbe o varstvu podatkov[2] navajajo, da je vsebina termina »skupaj« v praksi lahko različna, tj. ali v obliki skupne odločitve, ki jo sprejmeta dva (ali več) akterjev, lahko pa je posledica t.i. sovpadajoče odločitve glede namenov in sredstev obdelave. Udeležba skupnih upravljavcev pri določanju namenov in načinov konkretne obdelave lahko zelo različna. Opredelitev vloge posameznega subjekta je odvisna od posameznih dejavnosti obdelave podatkov. Smernice EDPB tudi poudarjajo, da morajo skupni upravljavci morajo določiti, »kdo kaj dela«, tako da se med seboj odločijo, kdo bo izvedel katere naloge in s tem zagotovil, da bo obdelava skladna z veljavnimi obveznostmi iz Splošne uredbe v zvezi z zadevno skupno obdelavo. Drugače povedano, porazdelitev odgovornosti za zagotavljanje skladnosti je treba izvesti na podlagi uporabe pojma »vsakega od njih« v prvem odstavku 26. člena Splošne uredbe. Ukrepi za zagotavljanje skladnosti in s tem povezane obveznosti, ki bi jih morali skupni upravljavci upoštevati pri določitvi dolžnosti vsakega od njih, poleg tistih, ki so izrecno navedene v prvem odstavku 26. člena Splošne uredbe, med drugim vključujejo tudi uporabo obdelovalca (28. člen Splošne uredbe).

Obdelovalec je fizična ali pravna oseba, javni organ, agencija ali drugo telo, ki obdeluje osebne podatke v imenu upravljavca (8. točka 4. odstavka Splošne uredbe). Upravljavec lahko uporablja zgolj obdelovalce, ki zagotavljajo zadostna jamstva za izvajanje ustreznih tehničnih in organizacijskih ukrepov, tako da obdelava izpolnjuje zahteve iz Splošne uredbe. Obdelovalec ne sme obdelovati podatkov drugače kot v skladu z upravljavčevimi navodili. Obdelavo osebnih podatkov, ki jo izvaja obdelovalec, mora skladno z 28. členom Splošne uredbe urejati pogodba ali drug pravni akt, ki mora biti v pisni obliki, vključno z elektronsko obliko, in zavezujoč. V tretjem odstavku 28. člena Splošne uredbe so našteti elementi, ki morajo biti določeni v pogodbi o obdelavi, in sicer vsebina in trajanje obdelave, narava in namen obdelave, vrsta osebnih podatkov, kategorije posameznikov, na katere se nanašajo osebni podatki, ter obveznosti in pravice upravljavca, prav tako pa sestavine iz točk a) do h) tega člena.

Iz navedenega po mnenju IP izhaja, da mora dogovor o skupnem upravljanju sicer vsebovati tudi dogovor o uporabi obdelovalca, ne glede na to pa pogodbo o obdelavi sklepa posamičen upravljavec, torej tisti, v imenu katerega nastopa obdelovalec. Iz nobene določbe Splošne uredbe ni mogoče sklepati, da bi morali v primeru skupnega upravljavstva obdelovalca določiti vsi skupni upravljavci, niti to ne izhaja iz namena skupnega upravljanja. Glede na obveznost skupnih upravljavcev, da z medsebojnim dogovorom določijo dolžnosti vsakega od njih z namenom izpolnjevanja obveznosti v skladu s Splošno uredbo, IP meni, da ne bi bilo ustrezno, če bi bila v pogodbi o obdelavi na strani upravljavca, kot predlagate, navedena in podpisana oba skupna upravljavca. Kot je IP zapisal že v smernicah o (pogodbeni) obdelavi osebnih podatkov, predstavlja obdelovalec zgolj nekakšno preslikavo ali podaljšano roko upravljavca, zanj in izključno zanj izvaja neko konkretno obdelavo osebnih podatkov, in to za namen, ki ga je določil upravljavec. Obdelovalec torej nastopa v imenu enega upravljavca, ki je za njegovo določitev tudi odgovoren. Zgolj dejstvo, da dva ali več upravljavcev nastopajo kot skupni upravljavca, še ne pomeni, da so skupni tudi obdelovalci. To pomeni, da pogodbe o obdelavi ne sklepajo skupno vsi skupni upravljavci (temveč vsak upravljavec posebej skladno z dogovorom iz 26. člena Splošne uredbe), in da torej v konkretnem primeru načeloma ni potrebe po tripartitni pogodbi.

Lepo vas pozdravljamo,

Pripravila:                                                                                                                                

Tina Ivanc, univ. dipl. prav.,

svetovalka IP za varstvo osebnih podatkov

Mojca Prelesnik, univ. dipl. prav.

informacijska pooblaščenka

[1] Skladno s prvim odstavkom 5. člena novega Zakona o varstvu osebnih (Uradni list RS, št. 163/2022; ZVOP-2), ki začne veljati 26. 1. 2023, pomenijo izrazi, uporabljeni v tem zakonu, enako kot izrazi, opredeljeni v 4. členu Splošne uredbe.

[2] Dostopne na povezavi: https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-072020-concepts-controller-and-processor-gdpr_sl.