Informacijski pooblaščenec Republika Slovenija
   
dekorativna slika

Dostop do OP za namen izvajanja pogodbe

+ -
Datum: 09.04.2021
Številka: 07121-1/2021/684
Kategorije:Informiranje posameznika, Posredovanje OP med upravljavci, Pravne podlage, Privolitev

Informacijski pooblaščenec (v nadaljevanju IP) je prejel vaše zaprosilo za mnenje. Pojasnjujete, da eden izmed členov v naročniški pogodbi določa, da naročnik soglaša, da lahko podjetje podatke iz te pogodbe zbira, obdeluje in preverja za namen izvajanja te pogodbe ter lahko z namenom nemotenega izvajanja naročniške pogodbe kadarkoli in od kateregakoli organa, institucije, delodajalca, banke ali drugega upravljavca osebnih podatkov pridobi zahtevane podatke. Zanima vas, ali je ta člen v nasprotju s predpisi o varovanju osebnih podatkov oziroma ali lahko podjetje dostopa do katerihkoli osebnih podatkov od kateregakoli navedenega subjekta za namen izvajanja pogodbe.

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju Splošna uredba o varstvu podatkov), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.

 

IP uvodoma poudarja, da izven postopka inšpekcijskega nadzora konkretnih obdelav osebnih podatkov ne more presojati. To pomeni, da IP v okviru mnenja ne more odločati o tem, ali so v konkretnem primeru podani pogoji za obdelavo osebnih podatkov, temveč lahko zgolj opozori na relevantno pravno podlago ter pogoje, ki morajo biti izpolnjeni, da je določena obdelava podatkov zakonita. Zato IP na vaše vprašanje v tem mnenju ne more dokončno odgovoriti, temveč v nadaljevanju podaja splošna pojasnila.

 

Za zakonito obdelavo osebnih podatkov, torej med drugim za njihovo zbiranje, shranjevanje in uporabo, mora imeti upravljavec ustrezno pravno podlago. Te so določene v členu 6(1) Splošne uredbe o varstvu podatkov (npr. privolitev, pogodba, zakon itn.). Izbira ustrezne pravne podlage za obdelavo osebnih podatkov, upoštevajoč konkretne okoliščine in namen obdelave, je obveznost upravljavca. Upravljavec je vedno dolžan spoštovati tudi načelo najmanjšega obsega podatkov, ki določa, da morajo biti osebni podatki, ki se obdelujejo, ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo, prav tako pa tudi druga načela iz člena 5 Splošne uredbe.

 

Skladno s členom 6(1)(b) Splošne uredbe o varstvu podatkov je obdelava zakonita, če je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe. IP poudarja, da je ta pravna podlaga ustrezna le, če je obdelava določenih osebnih podatkov objektivno potrebna za namen, ki je sestavni del pogodbene storitve. To pa ni preprosto ocena, kaj je dovoljeno na podlagi pogodbenih določb oziroma kaj je v njih zapisano. Upravljavec mora biti sposoben dokazati, da ne more izpolniti pogodbe, če ne pride do določene vrste obdelav osebnih podatkov. Pogodba torej ne more umetno razširiti kategorij osebnih podatkov ali vrste postopkov obdelave, ki jih upravljavec potrebuje za izvršitev pogodbe.

 

Če določena obdelava osebnih podatkov ni nujno potrebna za izvedbo konkretne pogodbe, pa lahko še vedno poteka na drugi ustrezni pravni podlagi, če so seveda za to izpolnjeni predpisani pogoji. Slednje je za upravljavce pomembno tudi zaradi obveznosti obveščanja posameznika po členu 13 in 14 Splošne uredbe o varstvu podatkov. Upravljavci so namreč dolžni pravno podlago opredeliti na začetku obdelave in o tem informirati posameznika.

 

IP ob tem še opozarja, da pri sklepanju pogodb posamezniki pogosto zmotno dobijo vtis, da dajejo privolitev v skladu s členom 6(1)(a) Splošne uredbe o varstvu podatkov, ko podpišejo pogodbo ali sprejmejo splošne pogoje poslovanja. Hkrati pa lahko tudi upravljavec napačno domneva, da podpis pogodbe ustreza privolitvi v smislu člena 6(1)(a). Vendar pa je pomembno razlikovati med sklenitvijo pogodbe in podajo privolitve v smislu člena 6(1)(a) Splošne uredbe o varstvu podatkov, ker gre za različne pojme s povsem drugačnimi posledicami. Več o privolitvi si lahko preberete tudi na spletni strani IP: https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/klju%C4%8Dna-podro%C4%8Dja-uredbe/privolitev.

 

Kot pojasnjeno že v uvodu, IP v okviru mnenja ne more dokončno presojati o tem, katere osebne podatke, ki se nanašajo na vas, lahko v konkretnem primeru obdeluje izvajalec storitve za namen izvajanja pogodbe, saj lahko to stori le v okviru konkretnega inšpekcijskega postopka. Poudarja pa, da izvajalec storitve ne more pod pretvezo izvajanja pogodbe dostopati do katerihkoli osebnih podatkov, ki se nanašajo na vas in jih obdelujejo drugi organi oziroma institucije, temveč mora za pridobitev vsakega konkretnega osebnega podatka izkazati ustrezno pravno podlago za določen namen. Tudi subjekt, od katerega izvajalec storitve zahteva posredovanje podatkov, je dolžan preveriti ta pogoj. Poleg tega pa mora izvajalec storitve v primeru, kadar osebni podatki niso bili pridobljeni od posameznika, na katerega se ti nanašajo, slednjega pravočasno in ustrezno informirati, kot to določa člen 14 Splošne uredbe o varstvu podatkov.

 

IP vas ob tem napotuje še na smernice o obdelavi osebnih podatkov na podlagi člena 6(1)(b) Splošne uredbe o varstvu podatkov v okviru zagotavljanja spletnih storitev posameznikom, ki jih je izdal Evropski odbor za varstvo podatkov in so dostopne na: https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines-art_6-1-b-adopted_after_public_consultation_sl.pdf.

 

Svetujemo, da si več o pravicah posameznika glede varstva podatkov preberete na naši spletni strani www.tiodlocas.si.

 

Vsa mnenja IP so objavljena in dostopna na naši spletni strani: https://www.ip-rs.si/vop/.

 

Prav tako pa so vsa ključna področja, kot jih ureja Splošna uredba o varstvu podatkov, predstavljena na: https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/kljucna-podrocja-uredbe/, kjer lahko najdete veliko koristnih nasvetov glede bistvenih obveznosti podjetij in drugih organizacij za pravilno izvajanje ukrepov varstva osebnih podatkov.

 

 

 

Lep pozdrav,

 

                                                                                               Mojca Prelesnik, univ. dipl. prav.,                                                

                                                                                               informacijska pooblaščenka

Pripravila:                                                                                                                              

Tina Ivanc, univ. dipl. prav.,

svetovalka IP za varstvo osebnih podatkov

 

To mnenje je nastalo v okviru projekta »Programa pravice, enakost in državljanstvo 2014-2020«, ki ga financira Evropska unija.

Vsebina tega mnenja predstavlja neobvezno mnenje Informacijskega pooblaščenca in je izključno njegova odgovornost. Evropska komisija ne sprejema odgovornosti glede uporabe informacij, ki jih mnenje zajema.