Obdelava OP ponudnika programske opreme

Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaše zaprosilo za mnenje glede obdelave osebnih podatkov s strani ponudnika ob nameščanju nove programske opreme.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba o varstvu podatkov), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, 177/20, v nadaljevanju: ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju: ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.

IP uvodoma poudarja, da lahko podaja nezavezujoča mnenja in pojasnila, ne sme pa izven konkretnih inšpekcijskih postopkov preverjati primernosti izbrane pravne podlage ali namenov oziroma obsega obdelave osebnih podatkov v konkretnem primeru. IP tako ne more izven konkretnega inšpekcijskega postopka komentirati skladnosti konkretnih dokumentov v zvezi z varstvom osebnih podatkov, saj na tem področju deluje kot inšpekcijski organ.

IP tako splošno pojasnjuje, da osebni podatki predstavljajo skladno s prvo točko 4. člena Splošne uredbe o varstvu podatkov katero koli informacijo v zvezi z določenim ali določljivim posameznikom; določljiv posameznik je tisti, ki ga je mogoče neposredno ali posredno določiti, zlasti z navedbo identifikatorja, kot je ime, identifikacijska številka, podatki o lokaciji, spletni identifikator, ali z navedbo enega ali več dejavnikov, ki so značilni za fizično, fiziološko, genetsko, duševno, gospodarsko, kulturno ali družbeno identiteto tega posameznika. Osebni podatki so torej vsi podatki, ki posredno ali neposredno kažejo na posameznike.

IP nadalje pojasnjuje, da izredno pomemben in žal pogosto zapostavljen vidik vsake obdelave osebnih podatkov predstavlja tudi obveščanje posameznikov o obdelavi osebnih podatkov. Že uvodna določba št. 39 Splošne uredbe o varstvu podatkov med drugim določa, da načelo preglednosti zahteva, da so vse informacije in sporočila, ki se nanašajo na obdelavo osebnih podatkov, lahko dostopni in razumljivi ter izraženi v jasnem in preprostem jeziku. To načelo pa zadeva zlasti informacije za posameznike, na katere se nanašajo osebni podatki, o identiteti upravljavca in namenih obdelave ter dodatne informacije za zagotovitev poštene in pregledne obdelave glede zadevnih posameznikov in njihove pravice do pridobitve potrditve in sporočila o obdelavi osebnih podatkov v zvezi z njimi.

IP pojasnjuje, da so informacije, ki jih je treba zagotoviti posamezniku, na katerega se nanašajo osebni podatki, z vidika varstva osebnih podatkov na splošno urejene v členih 13 in 14 Splošne uredbe o varstvu podatkov.

Skladno z določbo 13. člena Splošne uredbe o varstvu podatkov je dolžan upravljavec v primeru, kadar so bili osebni podatki  pridobljeni od posameznika, na katerega se ti nanašajo, le-temu takrat, ko pridobi osebne podatke, zagotoviti naslednje informacije:

• identiteto in kontaktne podatke upravljavca in njegovega predstavnika, kadar ta obstaja;
• kontaktne podatke pooblaščene osebe za varstvo podatkov, kadar ta obstaja;
• namene, za katere se osebni podatki obdelujejo, kakor tudi pravno podlago za njihovo obdelavo;
• kadar obdelava temelji na točki (f) člena 6(1), zakonite interese, za uveljavljanje katerih si prizadeva upravljavec ali tretja oseba;
• uporabnike ali kategorije uporabnikov osebnih podatkov, kadar obstajajo;
• kadar je ustrezno, informacije o tem, da namerava upravljavec prenesti osebne podatke uporabniku v tretji državi ali mednarodni organizaciji, ter o obstoju ali neobstoju sklepa Komisije o ustreznosti ali v primeru prenosov iz člena 46 ali 47 ali drugega pododstavka člena 49(1) sklic na ustrezne ali primerne zaščitne ukrepe in sredstva za pridobitev njihove kopije ali kje so na voljo;
• tudi nekatere druge informacije, opredeljene v drugem odstavku istega člena.

Dodatno drugi odstavek 13. člena Splošne uredbe o varstvu podatkov zahteva med drugim tudi zagotovitev informacij o roku hrambe, obstoju pravic posameznika in možnosti pritožbe nadzornemu organu. Podobno 14. člen Splošne uredbe o varstvu podatkov določa informacije, ki jih je treba zagotoviti posamezniku, na katerega se nanašajo osebni podatki, kadar osebni podatki niso bili pridobljeni od njega.

Informacije se v vsakem primeru posamezniku dajo na način, določen v 12. členu Splošne uredbe o varstvu podatkov. Informacije morajo biti torej podane na lahko dostopen način in predstavljene v jasnem in razumljivem jeziku, ki je prilagojen glede na tipičnega uporabnika vaših storitev.

Posameznike je torej treba seznaniti z vsemi informacijami v zvezi z obdelavo njihovih osebnih podatkov, ki jih predpisujeta člena 13 oziroma 14 Splošne uredbe o varstvu podatkov. Med informacije, s katerimi je treba seznaniti posameznike, katerih osebni podatki se obdelujejo, štejejo tudi obvestila o uporabnikih oziroma kategorijah uporabnikov osebnih podatkov (komu vse se posredujejo njihovi osebni podatki) ter dejstvo, da namerava upravljavec prenesti osebne podatke uporabniku v tretji državi ali mednarodni organizaciji. IP je za pomoč upravljavcem pri seznanjanju svojih uporabnikov/strank glede obdelave osebnih podatkov pripravil tudi vzorca obvestil, ki sta dostopna na spletni strani IP:

Vzorec obvestila posameznikom glede obdelave osebnih podatkov (člen 13 Splošne uredbe);

Vzorec obvestila posameznikom glede obdelave osebnih podatkov (člen 14 Splošne uredbe).

Pred namestitvijo programske opreme, s katero se obdelujejo osebni podatki, se morate torej prepričati o vseh vidikih bodoče obdelave osebnih podatkov, še posebej o tem, kdo in v katerih primerih ima  dostop do osebnih podatkov ter komu se podatki posredujejo. Pred uporabo programske opreme morate torej z njenim ponudnikom opredeliti navedena razmerja oziroma pretok osebnih podatkov. Vidiki obdelave osebnih podatkov so lahko razvidni že iz same licenčne pogodbe, v vsakem primeru pa ste v okviru svoje odgovornosti za varno obdelavo osebnih podatkov dolžni preprečiti vse nepooblaščene dostope ali druge oblike nepooblaščene obdelave osebnih podatkov.

IP sklepno ponovno poudarja, da v okviru neobvezujočih mnenj ne more posredovati dokončnega stališča glede dopustnosti obdelav osebnih podatkov, ki jih izvaja konkretno podjetje na podlagi spornih določb licenčne pogodbe. Ta presoja je prepuščena upravljavcu, ki mora ob tem upoštevati vse okoliščine konkretnega primera. Primarna odgovornost za zakonito obdelavo osebnih podatkov je torej na upravljavcu osebnih podatkov. Ta je tisti, ki mora presoditi, ali je pogodba z vidika zakonodaje, ki jo mora sam spoštovati, ustrezna. IP vam zato predlaga, da podrobno preučite pogodbena zagotovila, ki vežejo vas in konkretnega ponudnika programske opreme in presodite, ali so ustrezna ter pred začetkom novih storitev, ki pomenijo obdelavo osebnih podatkov, pridobite natančna pojasnila o vseh vidikih obdelave.

S spoštovanjem.

Pripravil:

Matej Sironič,                                                  

Svetovalec pooblaščenca

za varstvo osebnih podatkov

Mojca Prelesnik, univ. dipl. prav.,

Informacijska pooblaščenka