Pogodbena obdelava
+ -Številka: 07121-1/2024/719
Kategorije: Pogodbena obdelava podatkov
Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaše zaprosilo za mnenje glede zahtev upravljavca do pogodbenega obdelovalca.
Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22; v nadaljevanju: ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, 51/07 – ZUstS-A; ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.
Odgovornost za zakonito obdelavo osebnih podatkov je primarno na strani upravljavca in ostaja njegova odgovornost tudi po njihovem posredovanju pogodbenemu obdelovalcu. Ob tem pa IP opozarja, da ima v določenem delu obdelovalec podobne obveznosti kot upravljavec osebnih podatkov in je neposredno odgovoren za zakonito obdelavo osebnih podatkov v okviru svojih pooblastil. Pravila zakonite obdelave osebnih podatkov mora poznati in jih v praksi tudi ustrezno izvrševati.
V vlogi obdelovalca bo tako nastopala tista pravna oziroma fizična oseba, ki bo obdelavo osebnih podatkov izvrševala izključno v imenu in za račun upravljavca osebnih podatkov, bo pri tem črpala podlago za obdelavo osebnih podatkov iz upravičenj upravljavca ter bo v zvezi s samimi dejanji obdelave vezana na navodila upravljavca.
Pogodbeni obdelovalci obdelujejo osebne podatke posameznikov po naročilu določenega upravljavca osebnih podatkov in v skladu z njegovimi zahtevami za določen namen. Obdelovalec tako ne more oporekati določenim postopkom in ukrepom, ki jih od njega zahteva upravljavec, dokler so seveda zakoniti.
O b r a z l o ž i t e v:
IP uvodoma poudarja, da lahko podaja neobvezujoča mnenja in pojasnila, ne sme pa izven konkretnih inšpekcijskih postopkov preverjati primernosti izbrane pravne podlage ali namenov oziroma obsega obdelave osebnih podatkov v konkretnem primeru. IP kot nadzorni organ na področju varstva osebnih podatkov v okviru mnenja tako ne more presojati skladnosti konkretnega ravnanja, ki ste ga opisali v vašem zaprosilu za mnenje, s predpisi s področja varstva osebnih podatkov.
IP pojasnjuje, da razmerje med upravljavcem in obdelovalcem ureja 28. člen Splošne uredbe, kjer je določeno, da obdelavo s strani obdelovalca ureja pogodba ali drug pravni akt v skladu s pravom Unije ali pravom države članice, ki določa obveznosti obdelovalca do upravljavca, v katerem so določeni vsebina in trajanje obdelave, narava in namen obdelave, vrsta osebnih podatkov, kategorije posameznikov, na katere se nanašajo osebni podatki, ter obveznosti in pravice upravljavca. Ta pogodba ali drug pravni akt zlasti določa, da obdelovalec:
(a) osebne podatke obdeluje samo po dokumentiranih navodilih upravljavca, vključno glede prenosov osebnih podatkov v tretjo državo ali mednarodno organizacijo, razen če to od njega zahteva pravo Unije ali pravo države članice, ki velja za obdelovalca; v slednjem primeru obdelovalec o tej pravni zahtevi pred obdelavo podatkov obvesti upravljavca, razen če zadevno pravo prepoveduje takšno obvestilo na podlagi pomembnih razlogov v javnem interesu;
(b) zagotovi, da so osebe, ki so pooblaščene za obdelavo osebnih podatkov, zavezane k zaupnosti ali jih k zaupnosti zavezuje ustrezen zakon;
(c) sprejme vse ukrepe, potrebne v skladu s členom 32;
(d) spoštuje pogoje iz odstavkov 2 in 4 za zaposlitev drugega obdelovalca;
(e) ob upoštevanju narave obdelave pomaga upravljavcu z ustreznimi tehničnimi in organizacijskimi ukrepi, kolikor je to mogoče, pri izpolnjevanju njegovih obveznosti, da odgovori na zahteve za uresničevanje pravic posameznika, na katerega se nanašajo osebni podatki, iz poglavja III;
(f) upravljavcu pomaga pri izpolnjevanju obveznosti iz členov 32 do 36 ob upoštevanju narave obdelave in informacij, ki so dostopne obdelovalcu;
(g) v skladu z odločitvijo upravljavca izbriše ali vrne vse osebne podatke upravljavcu po zaključku storitev v zvezi z obdelavo ter uniči obstoječe kopije, razen če pravo Unije ali pravo države članice predpisuje shranjevanje osebnih podatkov;
(h) da upravljavcu na voljo vse informacije, potrebne za dokazovanje izpolnjevanja obveznosti iz tega člena, ter upravljavcu ali drugemu revizorju, ki ga pooblasti upravljavec, omogoči izvajanje revizij, tudi pregledov, in pri njih sodeluje.
Tak pisni dogovor zagotavlja, da se tako upravljavec kot obdelovalec zavedata svojih pravic in obveznosti v zvezi z obdelavo osebnih podatkov. Odgovornost za zakonito obdelavo osebnih podatkov je primarno na strani upravljavca in ostaja njegova odgovornost tudi po njihovem posredovanju pogodbenemu obdelovalcu. Ob tem pa IP opozarja, da ima v določenem delu obdelovalec podobne obveznosti kot upravljavec osebnih podatkov in je neposredno odgovoren za zakonito obdelavo osebnih podatkov v okviru svojih pooblastil. Pravila zakonite obdelave osebnih podatkov mora poznati in jih v praksi tudi ustrezno izvrševati.
IP ob tem poudarja, da je bistvenega pomena dejstvo, da lahko obdelovalec osebne podatke obdeluje zgolj za namene, za katere ga je pooblastil upravljavec in torej osebnih podatkov ne obdeluje za lastne namene. V vlogi obdelovalca bo tako nastopala tista pravna oziroma fizična oseba, ki bo obdelavo osebnih podatkov izvrševala izključno v imenu in za račun upravljavca osebnih podatkov, bo pri tem črpala podlago za obdelavo osebnih podatkov iz upravičenj upravljavca ter bo v zvezi s samimi dejanji obdelave vezana na navodila upravljavca.
IP nadalje pojasnjuje, da Splošna uredba v prvem odstavku 28. člena določa, da kadar se obdelava izvaja v imenu upravljavca, ta sodeluje zgolj z obdelovalci, ki zagotovijo zadostna jamstva za izvedbo ustreznih tehničnih in organizacijskih ukrepov na tak način, da obdelava izpolnjuje zahteve iz te uredbe in zagotavlja varstvo pravic posameznika, na katerega se nanašajo osebni podatki. Uvodna določba 81 Splošne uredbe med drugim določa, da bi za zagotovitev skladnosti z zahtevami iz te uredbe v zvezi z obdelavo, ki jo opravi obdelovalec v imenu upravljavca, moral upravljavec dejavnosti obdelave zaupati samo tistim obdelovalcem, ki zagotavljajo zadostna jamstva, zlasti v smislu strokovnega znanja, zanesljivosti in virov za izvajanje tehničnih in organizacijskih ukrepov, ki bodo izpolnili zahteve iz te uredbe, vključno za varnost obdelave.
IP nadalje pojasnjuje, da 32. člen Splošne uredbe določa, da je odgovornost upravljavca, da ob upoštevanju najnovejšega tehnološkega razvoja in stroškov izvajanja ter narave, obsega, okoliščin in namenov obdelave, pa tudi tveganj za pravice in svoboščine posameznikov, ki se razlikujejo po verjetnosti in resnosti, upravljavec in obdelovalec z izvajanjem ustreznih tehničnih in organizacijskimi ukrepov zagotovita ustrezno raven varnosti glede na tveganje. Upravljavec je torej samostojen v odločitvi, ali bo določene obdelave izvajal sam ali pa jih bo poveril zunanjim izvajalcem (obdelovalcem) ter pod kakšnimi pogoji, pri tem pa ga kot obvezni zavezujejo pogoji iz 28. člena Splošne uredbe.
IP ponavlja, da je bistveno, da pogodbeni obdelovalci obdelujejo osebne podatke posameznikov po naročilu določenega upravljavca osebnih podatkov in v skladu z njegovimi zahtevami za določen namen. Obdelovalec tako ne more oporekati določenim postopkom in ukrepom, ki jih od njega zahteva upravljavec, dokler so seveda zakoniti, po drugi strani pa seveda tudi ni zavezan pristati k nudenju svojih storitev pod vsakimi pogoji.
IP poudarja, da mora biti varstvo osebnih podatkov zagotovljeno na vseh ravneh obdelave osebnih podatkov. Pri tem pa opozarjamo, da je prav pogodba o obdelavi osebnih podatkov bistveni instrument pri zagotavljanju ustreznega varstva osebnih podatkov posameznikov, saj jasno razrešuje vloge in razmerja med vključenimi subjekti ter zanje opredeljuje obveznosti in pogoje. Bistveno pri tem je, da se v pogodbi o obdelavi natančno opredeli (najmanj) vso zahtevano vsebino, ki jo določa tretji odstavek 28. člena Splošne uredbe.
IP sklepno ponovno poudarja, da v okviru neobvezujočega mnenja ne more presojati primernosti izbrane pravne podlage ali namenov oziroma obsega obdelave osebnih podatkov v konkretnem primeru. Odgovornost za zakonito in pošteno obdelavo osebnih podatkov je primarno vselej na samem upravljavcu osebnih podatkov.
Lepo vas pozdravljamo.
Pripravil:
Matej Sironič,
Svetovalec pooblaščenca
za varstvo osebnih podatkov
Mojca Prelesnik, univ. dipl. prav.,
Informacijska pooblaščenka