Informacijski pooblaščenec Republika Slovenija
   
dekorativna slika

Notranja revizija in vprašanje pogodbene obdelave

+ -

Opozorilo: Mnenje je bilo izdano na podlagi določb Zakona o varstvu osebnih podatkov (ZVOP-1, Uradni list RS, št. 94/07 - uradno prečiščeno besedilo), ki je z dnem 26. 1. 2023 prenehal veljati in ga je nadomestil nov Zakon o varstvu osebnih podatkov (ZVOP-2, Uradni list RS, št. 163/22), zato mnenje ni več nujno aktualno. Mnenja po ZVOP-2 so na voljo tukaj.

Datum: 20.01.2023
Številka: 07121-1/2023/64
Kategorije: Pogodbena obdelava podatkov

Informacijski pooblaščenec (v nadaljevanju IP) je po elektronski pošti prejel vaš dopis, v katerem pojasnjujete, da ste zunanji izvajalci notranje revizije za pravne osebe javnega prava na podlagi pogodbe o notranji reviziji. Pojasnjujete, da 100. člen Zakona o javnih financah določa, da mora biti notranji revizor pri svojem delu samostojen in neodvisen, pri opravljanju revizij pa mora imeti prost dostop do prostorov, dokumentov in oseb, povezanih z revizijo. Na podlagi omenjenega člena Zakona o javnih financah sprejeti Pravilnik o usmeritvah za usklajeno delovanje sistema notranjega nadzora javnih financ pa določa, da notranje revidiranje zajema neodvisno in nepristransko naknadno preverjanje poslovanja ter svetovanje, namenjeno izboljšanju poslovanja, ter da imajo državni notranji revizorji pri izvajanju revizij pravico do vseh podatkov, za katere menijo, da so potrebni za uspešno in učinkovito izvajanje revizije in dostopa do vseh prostorov, dokumentov, osebja in sredstev. Glede na navedeno stopnjo neodvisnosti in samostojnosti vas zanima, ali ste državni notranji revizorji kot zunanji izvajalci notranje revizije pri pravnih osebah javnega prava upravljavci osebnih podatkov ali pogodbeni obdelovalci.

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju na podlagi 58. člena Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba), 7. točke prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07, uradno prečiščeno besedilo, v nadaljevanju ZVOP-1) ter 2. člena Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem. Ob tem IP poudarja, da izven postopka inšpekcijskega nadzora konkretnih obdelav osebnih podatkov ne more presojati.

 

 

Zunanji izvajalci notranje revizije v javnem sektorju so pogodbeni obdelovalci osebnih podatkov, saj osebne podatke obdelujejo v imenu in za račun zavezanca za notranjo revizijo.

 

 

Obrazložitev

 

Uvodoma pojasnjujemo, da je bil sprejet nov Zakon o varstvu osebnih podatkov  (Uradni list RS, št. 163/22; v nadaljevanju ZVOP-2) z začetkom veljavnosti od 26. 1. 2022, ki pa področja pogodbene obdelave osebnih podatkov v delu, relevantnem za vaš primer, ne spreminja.

 

Razmejitev pojmov upravljavec in obdelovalec je včasih v praksi težavno. V pomoč so nam poleg definicij iz Splošne uredbe tudi Smernice Informacijskega pooblaščenca o pogodbeni obdelavi in Smernice Evropskega odbora o varstvu podatkov (EDPB).

 

Relevantni definiciji upravljavca in obdelovalca, določeni v sedmem in osmem odstavku 4. člena Splošne uredbe, sta:

-       „upravljavec“ pomeni fizično ali pravno osebo, javni organ, agencijo ali drugo telo, ki samo ali skupaj z drugimi določa namene in sredstva obdelave; kadar namene in sredstva obdelave določa pravo Unije ali pravo države članice, se lahko upravljavec ali posebna merila za njegovo imenovanje določijo s pravom Unije ali pravom države članice;

-       „obdelovalec“ pomeni fizično ali pravno osebo, javni organ, agencijo ali drugo telo, ki obdeluje osebne podatke v imenu upravljavca;

 

Iz Smernic EDPB izhaja, da je upravljavec tisti subjekt, ki odloča o posameznih ključnih vidikih obdelave. Upravljanje se lahko opredeli z zakonom ali pa lahko izhaja iz analize dejanskih elementov ali okoliščin primera. Smernice celo navajajo, da ni nujno, da ima upravljavec dejansko dostop do podatkov, ki se obdelujejo, da bi se štel za upravljavca.

 

V vašem primeru sicer Zakon o javnih financah in podzakonski akt govorita o samostojnosti in neodvisnosti revizorja, vendar je ta samostojnost podeljena v smislu opravljanja njegovega dela notranje revizije, iz nje pa ne izhaja, da notranji revizor obdeluje osebne podatke v svojem imenu in za svoj račun, temveč še vedno za upravljavca, ki je v konkretnem primeru zavezanec za izvedbo notranjega nadzora javnih financ, torej neposredni ali posredni uporabnik proračuna. Prav tako zunanji izvajalec notranje revizije ne določa namena obdelave osebnih podatkov, temveč je ta določen v Zakonu o javnih financah ter skladen z odločitvijo predstojnika organa, da se za izvedbo notranje revizije sklene pogodba z zunanjim izvajalcem.

 

Kot omenjate, pravilnik o usmeritvah za usklajeno delovanje sistema notranjega nadzora javnih financ določa, da imajo državni notranji revizorji pri izvajanju revizij pravico do vseh podatkov, za katere menijo, da so potrebni za uspešno in učinkovito izvajanje revizije in dostopa do vseh prostorov, dokumentov, osebja in sredstev. To pa še ne pomeni, da (zunanji ali notranji) izvajalci notranje revizije postanejo upravljavci osebnih podatkov, ki bi podatke obdelovali v svojem imenu in za svoj račun, prav tako ne določajo (samostojno) sredstev obdelave osebnih podatkov; ravnajo vendarle skladno s pogodbo, s katero so bili najeti ali v skladu s pogodbo o zaposlitvi, če gre za zaposlene notranje revizorje. Kot izhaja iz smernic EDPB, sam dostop do podatkov sploh ni bistveni element razmejitve med upravljavcem in obdelovalcem.

 

Položaj notranjih revizorjev, po katerem morajo biti notranji revizorji samostojni in neodvisni ter morajo imeti dostop do podatkov, je podoben položaju pooblaščene osebe za varstvo podatkov in verjetno še nekaterim tovrstnim poklicem, ki opredeljujejo samostojnost osebe, ki opravlja nekatere naloge za zavezanca. Vendar prav tako za pooblaščeno osebo za varstvo osebnih podatkov ne moremo trditi, da je upravljavec osebnih podatkov, temveč deluje za upravljavca.

 

Zunanji izvajalci notranje revizije imajo popolnoma enak položaj v smislu obdelave osebnih podatkov kot zaposleni (notranji) državni revizorji. Zavezanec za notranjo revizijo lahko (ni pa dolžan) najame storitve notranjega revidiranja pri zunanjem izvajalcu in z njim sklene pogodbo, to pa še ne pomeni, da ti postanejo upravljavci osebnih podatkov, temveč so neke vrste "podaljšana roka" zavezanca, na enak način kot njegovi zaposleni, ki obdelujejo osebne podatke za zavezanca.

 

Navedeno mnenje IP pa v ničemer ne zmanjšuje neodvisnosti in samostojnosti državnih revizorjev, kot jo določa sam zakon, niti ne posega v njihova upravičenja do podatkov, dokumentov, prostorov in sredstev. Govori le o razmerjih in odgovornostih, ki jih v zvezi z obdelavo osebnih podatkov opredeljuje Splošna uredba, ne posega pa v status, pristojnosti in upravičenja državnih revizorjev znotraj sektorske zakonodaje.

 

Za konec moramo še omeniti, da je razmejitev vlog, o kateri je bilo govora, bistvena tudi z vidika, da je pogodbeni obdelovalec dolžan izbrisati ali vrniti vse osebne podatke upravljavcu po zaključku storitev v zvezi z obdelavo ter uničiti obstoječe kopije, razen če pravo Unije ali pravo države članice predpisuje shranjevanje osebnih podatkov. Osebnih podatkov, ki jih pridobite tekom izvajanje notranje revizije, torej nikakor ne smete uporabiti za lastne namene in jih morate uničiti ali vrniti, razen če zakon ne določa drugače.

 

V upanju, da ste dobili odgovor na svoje vprašanje, vas lepo pozdravljamo.

 

Mojca Prelesnik, univ.dipl.prav.,                                                 

informacijska pooblaščenka

 

Pripravila:                                                                                                                                

mag. Polona Merc, univ. dipl. prav.,

svetovalka IP za varstvo osebnih podatkov