Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Mnenja - VOP

+ -
Datum: 30.06.2009
Naslov: Zaračunavanje telegramov na mesečnih računih
Številka: 0712-296/2009/2
Vsebina: Pogodbena obdelava OP
Pravni akt: Mnenje

Spoštovani,

dne 15. 6. 2009 smo prejeli vaše elektronsko sporočilo, v katerem nas sprašujete za mnenje. V vašem podjetju želite uvesti storitev, ki se nanaša na zaračunavanje telegramov na mesečnih računih telekomunikacijskih storitev na osnovi podatkov v elektronski obliki, ki jih naročnik posreduje izvajalcu. Vaše podjetje torej opravlja storitev prenosa telegramov, vendar prek izvajalca, ki s podatki naročnikov že razpolaga. Zanima vas, ali gre v konkretnem primeru za pogodbeno obdelavo podatkov, pri kateri se zahteva sklenitev posebne pogodbe o obdelavi podatkov, ob upoštevanju, da izvajalec z osebnimi podatki že razpolaga.

Ker lahko avtentično razlago posameznih določb zakona daje le Državni zbor, neobvezno pa predlagatelj zakona, vam na podlagi informacij, ki ste nam jih posredovali, v nadaljevanju na podlagi 7. točke prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Ur. l. RS, št. 94/07 - UPB1, v nadaljevanju ZVOP-1) ter 2. člena Zakona o Informacijskem pooblaščencu (Ur. l. RS, št. 113/2005, s spremembami in dopolnitvami, v nadaljevanju ZInfP) posredujemo naslednji odgovor:

Pooblaščenec meni, da je primerno in potrebno, da z izvajalcem sklenete pogodbo o pogodbeni obdelavi osebnih podatkov in vanjo vključite določila, ki smiselno in vaši konkretni situaciji primerno upoštevajo zahteve ZVOP-1 glede pogodbene obdelave in zavarovanja osebnih podatkov. Izvajalec namreč svoje baze osebnih podatkov naročnikov ne sme uporabljati za storitve, ki bi jih opravljal na podlagi vašega naročila, torej izven namenov, za katere je osebne podatke naročnikov pridobil.

Splošna opredelitev obdelave osebnih podatkov je podana v 8. členu ZVOP-1. Ta v 1. odstavku določa, da se osebni podatki lahko obdelujejo le, če obdelavo osebnih podatkov in osebne podatke, ki se obdelujejo, določa zakon, ali če je za obdelavo določenih osebnih podatkov podana osebna privolitev posameznika. 2. odstavek istega člena pa nadalje določa, da mora biti namen obdelave osebnih podatkov določen v zakonu, v primeru obdelave osebnih podatkov na podlagi osebne privolitve posameznika, pa mora biti posameznik predhodno pisno ali na drug ustrezen način seznanjen z namenom obdelave osebnih podatkov. Ta mora biti ustavno in zakonsko dopusten, obdelovati pa se smejo le tisti osebni podatki, ki so primerni in nujno potrebni za uresničitev opredeljenega namena in ne pomenijo neupravičenega posega v zasebnost in dostojanstvo posameznika.
Pogodbena obdelava osebnih podatkov je v zakonu predvidena in natančno urejena, ter dovoljena, seveda ob spoštovanju zakonsko določenih pogojev. Pogodbeni stranki sta dolžni pred začetkom obdelave skleniti pisno pogodbo in v njej natančno opredeliti pravice in obveznosti ter načine in ukrepe zavarovanja osebnih podatkov. Obe pogodbeni stranki sta zavezani v zvezi z obdelavo osebnih podatkov dosledno spoštovati določila ZVOP-1.
ZVOP-1 ureja pogodbeno obdelavo v 11. členu. 1. odstavek navedenega člena določa, da lahko upravljavec osebnih podatkov posamezna opravila v zvezi z obdelavo osebnih podatkov s pogodbo zaupa pogodbenemu obdelovalcu, ki je registriran za opravljanje takšne dejavnosti in zagotavlja ustrezne postopke in ukrepe iz 24. člena ZVOP-1.

2. odstavek 11. člena ZVOP-1 določa, da sme pogodbeni obdelovalec opravljati posamezna opravila v zvezi z obdelavo osebnih podatkov v okviru naročnikovih pooblastil in osebnih podatkov ne sme obdelovati za noben drug namen. Medsebojne pravice in obveznosti se uredijo s pogodbo, ki mora biti sklenjena v pisni obliki in mora vsebovati tudi dogovor o postopkih in ukrepih iz 24. člena ZVOP-1. Upravljavec osebnih podatkov nadzoruje izvajanje postopkov in ukrepov iz 24. člena ZVOP-1. Pri tem je ključnega pomena, da lahko pogodbeni obdelovalci opravljajo storitve obdelave osebnih podatkov samo v okviru pooblastil, ki morajo biti s tovrstno pogodbo natančno določena in da podatkov ne smejo obdelovati ali drugače uporabljati za noben drug namen.

Tretji odstavek 11. člena ZVOP-1 določa, da je v primeru spora med upravljavcem osebnih podatkov in pogodbenim obdelovalcem dolžan pogodbeni obdelovalec na podlagi zahteve upravljavca osebne podatke, ki jih je pogodbeno obdeloval, nemudoma vrniti upravljavcu. Morebitne kopije teh podatkov mora takoj uničiti ali jih posredovati državnemu organu, ki je v skladu z zakonom pristojen za odkrivanje ali pregon kaznivih dejanj, sodišču ali drugemu državnemu organu, če tako določa zakon. Upoštevati je potrebno še določbo 4. odstavka 11. člena ZVOP-1, ki določa, da  se v primeru prenehanja pogodbenega obdelovalca osebni podatki brez nepotrebnega odlašanja vrnejo upravljavcu osebnih podatkov.

Nadalje ZVOP-1 v 10. členu določa, da se lahko osebni podatki v zasebnem sektorju obdelujejo, če obdelavo in osebne podatke, ki se obdelujejo določa zakon ali če je za obdelavo določenih osebnih podatkov podana osebna privolitev. Osebne podatke lahko zbira upravljavec, ki je predhodno pridobil osebno privolitev posameznika. Predvsem pa mora biti posameznik v skladu z 8. členom ZVOP-1 predhodno pisno ali na drug ustrezen način seznanjen z namenom obdelave osebnih podatkov.

Za vsakršno obdelavo osebnih podatkov, mora obstajati tudi pravna podlaga. Kot je razvidno iz vašega sporočila, izvajalec že razpolaga s podatki naročnikov telegramov, vendar predvidevamo, da s temi podatki izvajalec razpolaga, ker je pridobil privolitev naročnikov telegramov, ki pa je bila dana izvajalcu kot upravljavcu navedenih osebnih podatkov ter z določno opredeljenim namenom.

Kot navajate, s podatki naročnikov telegramov razpolagate tudi vi, saj opravljate storitev prenosa telegramov, vendar pa bi sedaj to storitev radi opravljali preko izvajalca. Upoštevaje navedeno je potrebno opozoriti tudi na namen zbiranja osebnih podatkov. 3. člen ZVOP-1 namreč določa, da morajo biti osebni podatki, ki se obdelujejo, ustrezni in po obsegu primerni glede na namene, za katere se zbirajo in nadalje obdelujejo. Posameznik, ki v skladu z 8. členom ZVOP-1 poda svojo privolitev za obdelavo podatkov, jo poda za predhodno določen namen obdelave osebnih podatkov, s katerim je tudi na ustrezen način seznanjen.

Bistveno je, da posameznik natančno ve, kdo je upravljavec njegovih osebnih podatkov ter s kakšnim namenom jih obdeluje. Upravljavec osebnih podatkov je po opredelitvi 6. člena ZVOP-1 fizična ali pravna oseba ali druga oseba javnega ali zasebnega sektorja, ki sama ali skupaj z drugimi določa namene in sredstva obdelave osebnih podatkov, oziroma oseba, določena z zakonom, ki določa tudi namene in sredstva obdelave.

Pooblaščenec opozarja na dejstvo, da v kolikor z izvajalcem ne boste sklenili pogodbe o pogodbeni obdelavi osebnih podatkov, ne bo popolnoma jasno, kdo je upravljavec osebnih podatkov, s kakšnim namenom ter na kateri podlagi jih obdeluje. Ob zbiranju osebnih podatkov mora biti jasno določen tako namen kot tudi količina zbranih podatkov, v nasprotnem primeru gre za kršitev ZVOP-1, še posebej, če bi izvajalec svoje (že zbrane) osebne podatke posameznikov uporabljal za druge namene, kot pa za tiste, na podlagi katerih je podatke pridobil.

Na pogodbenega obdelovalca ne morete prenesti več pooblastil, kot jih imate sami, pogodbeni obdelovalec deluje v vašem imenu in za vaš račun, upravljavec baz osebnih podatkov in tako nosilec pravic in dolžnosti bi bili še vedno vi. Pogodbeni obdelovalec sme opravljati posamezna opravila v okviru naročnikovih pooblastil in osebnih podatkov ne sme obdelovati za noben drug namen. Lahko pa seveda, kot samostojen upravljavec osebnih podatkov obdeluje druge osebne podatke, ki jih je zbral v okviru drugih zakonsko določenih podlag za obdelavo. Tako je povsem irelevantno, ali izvajalec z bazo naročnikov (ki je slučajno ista kot vaša) že razpolaga, saj jo je pridobil za drug namen.

Pooblaščenec glede na vse navedeno zaključuje, da je primerno in potrebno, da z izvajalcem sklenete pogodbo o pogodbeni obdelavi osebnih podatkov in vanjo vključite določila, ki smiselno in vaši konkretni situaciji primerno upoštevajo zahteve ZVOP-1 glede pogodbene obdelave in zavarovanja osebnih podatkov. Pooblaščenec še meni, da izvajalec svoje baze osebnih podatkov naročnikov ne sme uporabljati za storitve, ki bi jih opravljal na podlagi vašega naročila, pač pa bi za izpolnitev vašega naročila uporabil osebne podatke vaših naročnikov, ki bi mu jih posredovali vi.

S spoštovanjem,

Informacijski pooblaščenec
Nataša Pirc Musar, univ. dipl. prav.
pooblaščenka