Informacijski pooblaščenec Republika Slovenija
   
dekorativna slika

Obdelava OP strank naročnika s strani (pod)obdelovalca

+ -
Datum: 21.11.2022
Številka: 07121-1/2022/1258
Kategorije: Pogodbena obdelava podatkov

Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaše zaprosilo za mnenje glede obdelave osebnih podatkov strank vaših naročnikov.

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba o varstvu podatkov), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, 177/20, v nadaljevanju: ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju: ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.

Obdelovalec lahko zaposli drugega (pod)obdelovalca le pod pogojem, da je prej pridobil posebno ali splošno pisno dovoljenje upravljavca in da zagotovi, da veljajo med obdelovalcem in pod(obdelovalcem) enake obveznosti kot med upravljavcem in obdelovalcem in da je med njima sklenjena pisna pogodba.

O b r a z l o ž i t e v:

IP uvodoma poudarja, da lahko podaja nezavezujoča mnenja in pojasnila, ne sme pa izven konkretnih inšpekcijskih postopkov preverjati primernosti izbrane pravne podlage ali namenov oziroma obsega obdelave osebnih podatkov v konkretnem primeru.

IP glede pogodbene obdelave uvodoma pojasnjuje, da v skladu s 4. členom Splošne uredbe o varstvu podatkov pojem »upravljavec« pomeni fizično ali pravno osebo, javni organ, agencijo ali drugo telo, ki samo ali skupaj z drugimi določa namene in sredstva obdelave, pojem »obdelovalec« pa pomeni fizično ali pravno osebo, javni organ, agencijo ali drugo telo, ki obdeluje osebne podatke v imenu upravljavca.

Razmerje med upravljavcem in obdelovalcem ureja 28. člen Splošne uredbe o varstvu podatkov, kjer je  določeno, da obdelavo s strani obdelovalca ureja pogodba ali drug pravni akt v skladu s pravom Unije ali pravom države članice, ki določa obveznosti obdelovalca do upravljavca, v katerem so določeni vsebina in trajanje obdelave, narava in namen obdelave, vrsta osebnih podatkov, kategorije posameznikov, na katere se nanašajo osebni podatki, ter obveznosti in pravice upravljavca. Ta pogodba ali drug pravni akt zlasti določa, da obdelovalec:

(a)   osebne podatke obdeluje samo po dokumentiranih navodilih upravljavca, vključno glede prenosov osebnih podatkov v tretjo državo ali mednarodno organizacijo, razen če to od njega zahteva pravo Unije ali pravo države članice, ki velja za obdelovalca; v slednjem primeru obdelovalec o tej pravni zahtevi pred obdelavo podatkov obvesti upravljavca, razen če zadevno pravo prepoveduje takšno obvestilo na podlagi pomembnih razlogov v javnem interesu;

(b)   zagotovi, da so osebe, ki so pooblaščene za obdelavo osebnih podatkov, zavezane k zaupnosti ali jih k zaupnosti zavezuje ustrezen zakon;

(c)   sprejme vse ukrepe, potrebne v skladu s členom 32;

(d)   spoštuje pogoje iz odstavkov 2 in 4 za zaposlitev drugega obdelovalca;

(e)   ob upoštevanju narave obdelave pomaga upravljavcu z ustreznimi tehničnimi in organizacijskimi ukrepi, kolikor je to mogoče, pri izpolnjevanju njegovih obveznosti, da odgovori na zahteve za uresničevanje pravic posameznika, na katerega se nanašajo osebni podatki, iz poglavja III;

(f)    upravljavcu pomaga pri izpolnjevanju obveznosti iz členov 32 do 36 ob upoštevanju narave obdelave in informacij, ki so dostopne obdelovalcu;

(g)   v skladu z odločitvijo upravljavca izbriše ali vrne vse osebne podatke upravljavcu po zaključku storitev v zvezi z obdelavo ter uniči obstoječe kopije, razen če pravo Unije ali pravo države članice predpisuje shranjevanje osebnih podatkov;

(h)   da upravljavcu na voljo vse informacije, potrebne za dokazovanje izpolnjevanja obveznosti iz tega člena, ter upravljavcu ali drugemu revizorju, ki ga pooblasti upravljavec, omogoči izvajanje revizij, tudi pregledov, in pri njih sodeluje.

 

Določena je torej minimalna vsebina, ki jo mora vsebovati ta pogodba oziroma pravni akt, ki zagotavlja, da se tako upravljavec kot obdelovalec zavedata svojih pravic in obveznosti v zvezi z obdelavo osebnih podatkov. Odgovornost za zakonito obdelavo osebnih podatkov je primarno na strani upravljavca in ostaja njegova odgovornost tudi po njihovem posredovanju pogodbenemu obdelovalcu. Ob tem pa IP opozarja, da ima v določenem delu obdelovalec podobne obveznosti kot upravljavec osebnih podatkov in je neposredno odgovoren za zakonito obdelavo osebnih podatkov v okviru svojih pooblastil. Pravila zakonite obdelave osebnih podatkov mora poznati in jih v praksi tudi ustrezno izvrševati.

Ob tem IP pojasnjuje, da obdelovalec lahko zaposli drugega (pod)obdelovalca le pod pogojem, da je prej pridobil posebno ali splošno pisno dovoljenje upravljavca in da zagotovi, da veljajo med obdelovalcem in pod(obdelovalcem) enake obveznosti kot med upravljavcem in obdelovalcem in da je med njima sklenjena pisna pogodba. Določba drugega odstavka 28. člena Splošne uredbe o varstvu podatkov namreč določa, da obdelovalci ne smejo samostojno najemati podizvajalcev, ki bodo za njih izvajali določene obdelave osebnih podatkov, ki so jih prejeli s strani upravljavca, temveč morajo obdelovalci za to bodisi pridobiti predhodno posebno ali splošno pisno pooblastilo upravljavca, da lahko posamezna opravila obdelave osebnih podatkov prenesejo na (pod)obdelovalca in z njim sklenejo ustrezno pogodbo, bodisi skleniti ustrezno tripartitno pogodbo med upravljavcem (v konkretnem primeru naročnikom), obdelovalcem in podobdelovalcem.

Kadar namreč obdelovalec zadolži drugega (pod)obdelovalca za izvajanje specifičnih dejavnosti obdelave v imenu upravljavca, za tega drugega (pod)obdelovalca veljajo enake obveznosti varstva podatkov, kot so določene v pogodbi ali drugem pravnem aktu med upravljavcem in obdelovalcem, zlasti za zagotovitev zadostnih jamstev za izvajanje ustreznih tehničnih in organizacijskih ukrepov na tak način, da bo obdelava izpolnjevala zahteve iz Splošne uredbe o varstvu podatkov. Kadar ta drugi (pod)obdelovalec ne izpolni obveznosti varstva podatkov, prvi obdelovalec še naprej v celoti odgovarja upravljavcu za izpolnjevanje obveznosti drugega (pod)obdelovalca.

IP poudarja, da v okviru mnenja ne more presojati ustreznosti določene rešitve z vidika skladnosti z obstoječimi predpisi. Presojo o ustreznosti lahko izvede le v okviru konkretnega inšpekcijskega ali upravnega postopka. Presoja glede zakonitosti obdelave oziroma obstoja pravne podlage za posamezno obdelavo je na vsakem upravljavcu (oziroma obdelovalcu) posebej. Na podlagi podatkov, ki ste jih navedli v vašem zaprosilu za mnenje, IP sicer meni, da je najverjetneje, da so osebe, ki za vas opravljajo dela na podlagi s.p., v vlogi podobdelovalca in bi bilo zato treba vaše razmerje z upravljavcem (naročnikom vaših storitev) in podobdelovalci (s.p.) urediti na zgoraj opisani način iz 28. člena Splošne uredbe o varstvu podatkov.

IP sklepno svetuje, da natančno preučite dejansko stanje in naravo vašega medsebojnega odnosa z vsemi vključenimi deležniki v smislu pojasnil, ki jih IP podaja v tem mnenju.

 

S spoštovanjem.

 

Pripravil:

Matej Sironič,                                                   

Svetovalec pooblaščenca

za varstvo osebnih podatkov

 

Mojca Prelesnik, univ. dipl. prav.,

Informacijska pooblaščenka