Zunanje izvajanje notranje revizije in pogodbena obdelava osebnih podatkov
+ -Številka: 07121-1/2023/32
Kategorije: Pogodbena obdelava podatkov
Informacijski pooblaščenec (v nadaljevanju IP) je po elektronski pošti prejel vaš dopis, v katerem pojasnjujete, da lahko notranjo revizijo pravnih oseb javnega prava v skladu s 100. členom Zakona o javnih financah izvajajo tudi zunanji izvajalci notranje revizije. Vsako leto posebej se sklene pogodba o izvajanju notranje revizije in se določi tudi področje, ki bo predmet notranje revizije posamezno leto. Določena področja notranje revizije vsebujejo osebne podatke, določena ne. Zanima vas, ali gre pri letnih pogodbah, v katerih so določena področja notranjega revidiranja, ki vključujejo osebne podatke, za obdelavo osebnih podatkov in se sklene letna pogodba o obdelavi osebnih podatkov. Obratno pa vas zanima, ali pri področjih, ki ne vključujejo osebnih podatkov, ne gre za obdelavo osebnih podatkov in se z naročniki notranje revizije ne sklepa pogodba o obdelavi osebnih podatkov.
Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju na podlagi 58. člena Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba), 7. točke prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07, uradno prečiščeno besedilo, v nadaljevanju ZVOP-1) ter 2. člena Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem. Ob tem IP poudarja, da izven postopka inšpekcijskega nadzora konkretnih obdelav osebnih podatkov ne more presojati.
Upravljavec in obdelovalec osebnih podatkov morata sama identificirati obdelave, ki pomenijo obdelavo osebnih podatkov. V kolikor spoznata, da gre za obdelavo osebnih podatkov (vsaj v določenem delu), morata skleniti pogodbo, v obratnem primeru seveda ne. Posebej podrobno si je treba ogledati zahteve in vsebino iz 28. člena Splošne uredbe, ki govori o pogodbeni obdelavi.
Obrazložitev
Uvodoma pojasnjujemo, da je bil sprejet nov Zakon o varstvu osebnih podatkov (Uradni list RS, št. 163/22; v nadaljevanju ZVOP-2) z začetkom veljavnosti od 26. 1. 2022, ki pa področja pogodbene obdelave osebnih podatkov v delu, relevantnem za vaš primer, ne spreminja.
IP je v smernicah o obdelavi osebnih podatkov, ki vam jih priporočamo v branje, zapisal, da se revizorje oziroma revizijsko družbo šteje kot obdelovalce izključno v primerih, ko pravna oseba najame storitve teh subjektov za namene izvedbe notranje revizije ali storitev na ostalih strokovnih področjih povezanih z revidiranjem. Kadar torej gre za izvajanje storitev v okviru notranje revizije za drugo pravno osebo (upravljavca), je mogoče šteti, da revizorji oziroma pravne osebe, najete za izvedbo notranje revizije (ali storitev na ostalih strokovnih področjih povezanih z revidiranjem, kot jih opredeljuje ZRev-2), nastopajo kot podaljšana roka upravljavca in s tem v vlogi pogodbenega obdelovalca.
Drugače pa je pri najemu revizijske družbe za izvedbo zunanje revizije v smislu ZRev-2, ko zunanja revizijska družba po stališču IP osebne podatke obdeluje v svojem imenu in torej nastopa kot upravljavec osebnih podatkov v lastnem svojstvu.
V kolikor ste torej prepričani, da gre za razmerje pogodbene obdelave (saj omenjate notranjo revizijo v skladu s 100. členom Zakona o javnih financah), je treba v skladu z 28. členom Splošne uredbe skleniti pogodbo o obdelavi osebnih podatkov. Slednja se bo po sami definiciji nanašala izključno za obdelavo podatkov, ki se smatrajo za osebne podatke, torej podatke, ki jih prvi odstavek 4. člena Splošne uredbe opredeljuje kot informacije v zvezi z določenim ali določljivim posameznikom (v nadaljnjem besedilu: posameznik, na katerega se nanašajo osebni podatki); določljiv posameznik je tisti, ki ga je mogoče neposredno ali posredno določiti, zlasti z navedbo identifikatorja, kot je ime, identifikacijska številka, podatki o lokaciji, spletni identifikator, ali z navedbo enega ali več dejavnikov, ki so značilni za fizično, fiziološko, genetsko, duševno, gospodarsko, kulturno ali družbeno identiteto tega posameznika.
Upravljavec in obdelovalec osebnih podatkov morata sama identificirati obdelave, ki pomenijo obdelavo osebnih podatkov, tega IP v mnenju ne more narediti namesto njiju, saj je treba pri presoji izhajati iz konkretnih okoliščin primera, ki pa IP-ju niso znane. Seveda lahko zatrdimo, da v kolikor ne pride do obdelave osebnih podatkov, pogodbe o obdelavi (za te procese) ni treba skleniti.
Vabimo vas, da si vse o pogodbeni obdelavi osebnih podatkov preberete na posebni podstrani naše spletne strani: https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/klju%C4%8Dna-podro%C4%8Dja-uredbe/pogodbena-obdelava. Posebej podrobno si je treba po mnenju IP ogledati obvezne elemente pogodbe o obdelavi osebnih podatkov.
V upanju, da ste dobili odgovor na svoje vprašanje, vas lepo pozdravljamo.
Mojca Prelesnik, univ.dipl.prav.,
informacijska pooblaščenka
Pripravila:
mag. Polona Merc, univ. dipl. prav.,
svetovalka IP za varstvo osebnih podatkov