Pogodbena obdelava pri najemanju diskovnih sistemov in strojne računalniške opreme
+ -Številka: 07120-1/2023/416
Kategorije: Pogodbena obdelava podatkov
Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaš dopis, v katerem nas prosite za mnenje, in sicer ali gre pri storitvah najema diskovnih sistemov in storitvah (sistemskega) vzdrževanja teh diskovnih sistemov, na katerih se hranijo osebni podatki (na sistemski ravni, torej ne na aplikativni), za pogodbeno obdelavo v smislu 28. člena GDPR.
Ali na presojo, ali gre za pogodbeno obdelavo ali ne, vpliva lastništvo predmetne strojne opreme, ki je tudi predmet vzdrževanje - torej, v konkretnem primeru, ali so diskovni sistemi v lasti upravljavca in upravljavec samo najema storitve njihovega vzdrževanja ali pa so diskovni sistemi, ki ga za namene upravljavca upravlja zunanji izvajalec, v lasti tega izvajalca?
Dodatno prosite za mnenje, na kakšen način se presoja, ali gre za pogodbeno obdelavo v primeru vzdrževanja/najemanja katerekoli strojne računalniške opreme (strežnikov, diskov, usmerjevalnikov...), in s to opremo povezane sistemske programske opreme (operacijskih sistemov).
Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju na podlagi 58. člena Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba), 7. točke prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07, uradno prečiščeno besedilo, v nadaljevanju ZVOP-1) ter 2. člena Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.
Informacijski pooblaščenec je o pogodbeni obdelavi osebnih podatkov izdal posebne smernice, ki vključujejo tudi pojasnila, kako določati meje pogodbene obdelave; tovrstno oceno je treba izvesti v vsakem primeru posebej, saj se lahko pojavljajo velike razlike v posameznih primerih oziroma kontekstih.
Obrazložitev:
Informacijski pooblaščenec (v nadaljevanju IP) uvodoma pojasnjuje, da je o pogodbeni obdelavi osebnih podatkov izdal posebne smernice, ki vključujejo tudi pojasnila, kako določati meje pogodbene obdelave. Smernice so na voljo na povezavi:
https://www.ip-rs.si/fileadmin/user_upload/Pdf/smernice/Smernice_o_pogodbeni_obdelavi_web.pdf
Poleg smernic IP so vam lahko v pomoč tudi Smernice Evropskega odbora za varstvo podatkov o konceptih upravljavca in (pogodbenega) obdelovalca, ki so na voljo na:
https://edpb.europa.eu/system/files/2021-07/eppb_guidelines_202007_controllerprocessor_final_en.pdf.
Kot smo pojasnili v smernicah se pri nekaterih subjektih in storitvah v praksi postavljajo vprašanja, ali je tudi določenega subjekta upoštevaje storitve, ki jih ponuja upravljavcu, treba šteti za obdelovalca osebnih podatkov. Taki subjekti so npr.:
• operaterji elektronskih komunikacij,
• pošta,
• revizorji,
• prevajalci,
• sodni izvedenci in tolmači,
• organi javnega sektorja, ki drugim zagotavljajo
• IT storitve oz. infrastrukturo,
• odvetniki,
• ponudniki storitev taksi prevozov,
• ponudniki storitev čiščenja poslovnih prostorov,
• ponudniki storitev virtualne (npr. spletno gostovanje) ali fizične hrambe podatkov (npr. sefi) idr.
Pri ugotavljanju, ali gre za (pogodbenega) obdelovalca, so ključni naslednji faktorji:
• Ali subjekt lahko sam določa namen in sredstva obdelave osebnih podatkov?
• Ali je upravljavec zbirke osebnih podatkov subjektu poveril v izvajanje opravila obdelave, ki bi jih sicer lahko izvajal upravljavec sam?
• Kakšna je intenzivnost obdelave, vezanost na navodila in nadzor upravljavca nad dejanji subjekta?
• Ali ima subjekt zakonska pooblastila oziroma pravno podlago, ki bi ga deloma ali v celoti postavila za upravljavca v zvezi z osebnimi podatki upravljavca?
• Ali je primarni namen najema storitev subjekta katero od dejanj obdelave osebnih podatkov (npr. hramba) ali pa je obdelava osebnih podatkov zgolj posledica najetja storitve subjekta?
Vsaj te kriterije je vedno treba presojati skupaj.
V vlogi obdelovalca bo nastopala tista pravna oziroma fizična oseba, ki bo obdelavo osebnih podatkov izvrševala:
• izključno v imenu in za račun upravljavca osebnih podatkov,
• bo pri tem črpala podlago za obdelavo osebnih podatkov iz upravičenj upravljavca ter
• bo v zvezi s samimi dejanji obdelave vezana na navodila upravljavca.
Glede na navedeno smo zapisali, da moramo ponudnike storitev virtualne (npr. spletno gostovanje) ali fizične hrambe podatkov (npr. sefi, skladiščni prostori) obravnavati kot obdelovalce, saj so s strani upravljavca najeti za dejanje, ki sodi med obdelavo osebnih podatkov (hramba podatkov). Ponudniki teh storitev ne morejo nositi odgovornosti glede varstva osebnih podatkov, vse dokler jih upravljavec ne seznani z dejstvom, da namerava pri njih hraniti osebne podatke (ti so lahko za ponudnika tudi v neberljivi obliki) – upravljavec osebnih podatkov pa je dolžan ponudnike hrambe seznaniti z dejstvom, da bo pri njih hranil osebne podatke iz svojih zbirk in da morata njuno razmerje urediti skladno z 28. členom Splošne uredbe. Prav tako iz inšpekcijske prakse izhaja, da je prišlo do zlorab osebnih podatkov (npr. javnega razkritja, omogočanja dostopa nepooblaščenim osebam) ravno zaradi dejstva, ker upravljavci niso ustrezno uredili pogodbenega razmerja z obdelovalci, slednji pa se niso zavedali, da se pri njih hranijo osebni podatki, za katere bi morali zagotoviti ustrezno raven varnosti.
Glede vašega vprašanja, ali na presojo, ali gre za pogodbeno obdelavo ali ne, vpliva lastništvo predmetne strojne opreme, ki je tudi predmet vzdrževanje, pojasnjujemo, da navedeno ni odločilni ali relevanten kriterij pri odločanju, ali gre za pogodbeno obdelavo ali ne.
Glede vašega vprašanja, na kakšen način se presoja, ali gre za pogodbeno obdelavo v primeru vzdrževanja/najemanja katerekoli strojne računalniške opreme (strežnikov, diskov, usmerjevalnikov...), in s to opremo povezane sistemske programske opreme (operacijskih sistemov), pa gre za tako širok kontekst, da ni mogoče podati enoznačnega odgovora, temveč je za posamezno storitev ali zunanjega izvajalca treba opraviti ločen test glede na zgoraj navedene kriterije iz smernic.
Če pojasnimo na primeru najema tiskalnikov pri zunanjem ponudniku tiskalniških storitev, ki nam denimo zagotavlja mrežne tiskalnike, so njihova last in nam jih daje v najem ter jih redno servisira, lahko ugotovimo, da:
• se po naravi stvari pri uporabi mrežnih tiskalnikov beležijo podatki o uporabi s strani posameznikov, ki so praviloma določljivi (npr. prek IP naslova, uporabniškega imena, ID kartice…), pri čemer se lahko obseg in roki hrambe razlikujejo od primera do primera;
• ponudnik najema tiskalnikov na določa namenov in sredstev obdelave (načeloma bi moral namen zbiranje osebnih podatkov o uporabi tiskalnikov določiti upravljavec – naročnik ter pri tem upoštevati vsa temeljna načela varstva osebnih podatkov);
• večinoma naročnik ni samostojno usposobljen za izvajanje servisiranja;
• ponudnik najema tiskalnikov ne prejema posameznih navodil naročnika niti ni posebej podvržen njegovemu nadzoru,
• primarni namen najema storitev ni obdelava osebnih podatkov temveč izvedba storitve tiskanja, pri kateri pa se po naravi stvari praviloma sicer zabeležijo in s tem obdelujejo osebni podatki, ni pa to primarni namen upravljavca.
Glede na navedene ugotovitve je upravičeno sklepati, da v opisnem primeru ne gre za pogodbeno obdelavo osebnih podatkov; tovrstno oceno je treba izvesti v vsakem primeru posebej, saj se kot rečeno lahko pojavljajo velike razlike v posameznih primerih.
V smernicah Evropskega odbora so vam lahko v pomoč primeri, ki se nanašajo na splošno IT podporo, IT storitev odprave računalniških napak ter storitev računalništva v oblaku (str. 27-28).
Zaključno pojasnjujemo še, da ZVOP-2 ureditve pogodbene obdelave, kot jo določa Splošna uredba, ne spreminja.
S spoštovanjem,
Mojca Prelesnik, univ.dipl.prav.,
informacijska pooblaščenka
Pripravil:
mag. Andrej Tomšič,
namestnik informacijske pooblaščenke