Informacijski pooblaščenec Republika Slovenija
   
dekorativna slika

Osebni podatki po prekinitvi poslovnega sodelovanja

+ -
Datum: 22.06.2022
Številka: 07121-1/2022/700
Kategorije: Pogodbena obdelava podatkov, Pravne podlage

Pri Informacijskem pooblaščencu (IP) smo 21. 6. 2022 prejeli vaše zaprosilo za mnenje. Pojasnjujete, da sta pogodbeni stranki sklenili pogodbo o medsebojnem sodelovanju, ki jo prilagate. Ko so stranke, njihovi otroci oziroma zastopniki prišli na obravnavo k izvajalki storitve, so podpisali privolitev za obdelavo osebnih podatkov. Navajate, da je izvajalka podala odpoved pogodbe naročnici, ki želi, da se ji preda vsa dokumentacija – osebne mape (z anamnezami, podatki o datumih in vsebinah obravnav in pregledov, poročila in osebne podatke obravnavanih). Zanima vas, ali je v povezavi s privolitvijo in pogodbo o medsebojnem sodelovanju izvajalka v prekršku in ali je glede na naravo obravnav dolžna naročnici predati vso zgornjo dokumentacijo glede na to, da so bile privolitve za obdelavo osebnih podatkov dane izvajalki.

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju Splošna uredba o varstvu podatkov), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

 

 

Upravljavec je organ, ki odloča o ključnih vidikih obdelave, saj določi namene in sredstva obdelave, tj. razlog za obdelavo in njen način. Obdelovalec pa obdeluje osebne podatke v imenu upravljavca. Kdo nastopa kot upravljavec za obdelavo določenih osebnih podatkov, je odvisno od dejanskih elementov in okoliščin konkretnega primera.

 

 

O b r a z l o ž i t e v:

 

IP uvodoma pojasnjuje, da ni pristojen za presojo obveznosti pogodbenih strank glede dokumentacije po odpovedi pogodbe, niti ne more v okviru mnenja ocenjevati posledic posameznih obrazcev oziroma izjav glede obdelav osebnih podatkov, ali presojati, če je v konkretnem primeru podana kršitev. Presoja zakonitosti posameznih obdelav oziroma spoštovanje zakonodaje s področja varstva osebnih podatkov se namreč opravi v postopku inšpekcijskega nadzora, v katerem so udeležencem postopka zagotovljene vse procesne pravice. Mnenja IP pa so namenjena podaji načelnih in splošnih stališč glede interpretacije določb predpisov, ki se nanašajo na varstvo osebnih podatkov. Zato IP na vaša vprašanja ne more dokončno odgovoriti, temveč v nadaljevanju podaja zgolj splošna pojasnila izključno s področja varstva osebnih podatkov.

 

IP najprej pojasnjuje pomen osnovnih pojmov. Pojmi upravljavec, skupni upravljavec in obdelovalec imajo namreč ključno vlogo pri uporabi Splošne uredbe o varstvu podatkov, saj določajo, kdo je odgovoren za skladnost z različnimi pravili o varstvo podatkov in kako lahko posamezniki, na katere se nanašajo osebni podatki, v praksi uresničujejo svoje pravice. Upravljavec je subjekt, ki odloča o posameznih ključnih vidikih obdelave, saj določi namene in sredstva obdelave, tj. razlog za obdelavo in njen način (člen 4(7) Splošne uredbe o varstvu podatkov). Nanj se nanaša tudi načelo odgovornosti iz člena 5 Splošne uredbe o varstvu podatkov. Do skupnih upravljavcev pa lahko pride, kadar je v obdelavo vključen več kot en akter. Obdelovalec je nadalje fizična ali pravna oseba, javni organ, agencija ali drugo telo, ki obdeluje osebne podatke v imenu upravljavca (člen 4(8) Splošne uredbe o varstvu podatkov).  Obdelovalci so torej tiste organizacije oziroma posamezniki, ki po naročilu določenega upravljavca in v skladu z njegovimi zahtevami za določeno nalogo oziroma namen zanj obdelujejo osebne podatke. Obdelovalec ne sme obdelovati podatkov drugače kot v skladu z upravljavčevimi navodili ter krši Splošno uredbo o varstvu podatkov, če upravljavčevih navodil ne upošteva in začne določati svoje namene in sredstva obdelave. V tem primeru se v zvezi z navedeno obdelavo obdelovalec šteje za upravljavca in zanj lahko veljajo sankcije zaradi neupoštevanja upravljavčevih navodil. Skladno s členom 28(3)(g) Splošne uredbe o varstvu podatkov obdelovalec v skladu z odločitvijo upravljavca tudi izbriše ali vrne vse osebne podatke upravljavcu po zaključku storitev v zvezi z obdelavo ter uniči obstoječe kopije, razen če pravo Unije ali pravo države članice predpisuje shranjevanje osebnih podatkov.

 

Pri določanju, kdo je upravljavec in kdo obdelovalec osebnih podatkov, je bistveno, kakšna je vloga posameznega subjekta pri določanju namenov in sredstev obdelave, pridobivanju podatkov, izvrševanju pravic do dostopa in izbrisa ipd. IP v okviru mnenja ne more presojati, v kakšnih vlogah z vidika varstva osebnih podatkov sta dejansko nastopali pogodbeni stranki v konkretnem primeru (kot samostojna/skupna upravljavca ali kot upravljavec in obdelovalec). Tudi od tega pa je odvisen odgovor na vprašanje, kdo je upravičen do nadaljnje hrambe osebnih podatkov v zvezi z opravljenimi storitvami. Pri presoji teh vlog si lahko pomagate s Smernicami IP o pogodbeni obdelavi, ki so dostopne na: https://www.ip-rs.si/publikacije/priro%C4%8Dniki-in-smernice/smernice-po-splo%C5%A1ni-uredbi-o-varstvu-podatkov-gdpr/smernice-o-pogodbeni-obdelavi ter Smernicami Evropskega odbora za varstvo podatkov  (EDPB) o pojmih upravljavec in obdelovalec, ki so dostopne na: https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-072020-concepts-controller-and-processor-gdpr_sl. Ob tem IP opozarja, da pojma pogodbene dokumentacije ni mogoče avtomatično enačiti s pojmom osebnih podatkov, ki je opredeljen v členu 4(1) Splošne uredbe o varstvu podatkov.

 

Glede na predložen obrazec za privolitev pa IP izpostavlja še, da mora imeti upravljavec za vsako obdelavo osebnih podatkov zakonito in ustrezno pravno podlago, o kateri mora skladno s členom 13 Splošne uredbe o varstvu podatkov tudi obvestiti posameznika. Pravne podlage so določene v členu 6(1) Splošne uredbe o varstvu podatkov (privolitev, pogodba, zakon, izvajanje javne naloge itn.). Skladno s točko a) te določbe je obdelava dopustna, če je posameznik, na katerega se nanašajo osebni podatki, privolil v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov, skladno s točko b) pa, če je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe. Izbira ustrezne pravne podlage za obdelavo osebnih podatkov, upoštevajoč konkretne okoliščine in namen obdelave, je obveznost upravljavca. Za zakonitost obdelave pa je dovolj, da je izpolnjena ena od samostojnih pravnih podlag po členu 6(1) Splošne uredbe o varstvu podatkov. To pomeni, da v kolikor upravljavec osebne podatke obdeluje npr. zaradi izvajanja pogodbe, za te podatke privolitev ni dolžan pridobivati.

 

Več o pogojih za veljavno privolitev si lahko preberete na spletni strani IP: https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/kljucna-podrocja-uredbe/privolitev ter v Smernicah EDPB, ki so dostopne na povezavi: https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-052020-consent-under-regulation-2016679_sl; več o obdelavi osebnih podatkov na podlagi člena 6(1)(b) Splošne uredbe o varstvu podatkov pa v Smernicah EDPB, ki so dostopne na: https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-22019-processing-personal-data-under-article-61b_sl.

 

 

Lepo vas pozdravljamo,

 

 

Pripravila:                                                                                                                                

Tina Ivanc, univ. dipl. prav.,

svetovalka IP za varstvo osebnih podatkov

 

Mojca Prelesnik, univ. dipl. prav.

informacijska pooblaščenka