Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Mnenja - VOP

+ -
Datum: 26.07.2012
Naslov: Pravice upravljavca glede nadzora pogodbenega obdelovalca
Številka: 0712-91/2012
Vsebina: Svetovni splet
Pravni akt: Mnenje

Informacijski pooblaščenec se pri svojem delu vse pogosteje sooča s problemom neustrezne ureditve pogodbenega razmerja med upravljavci osebnih podatkov in pogodbenimi obdelovalci v kontekstu gostovanja spletnih strani, gostovanja domen in uporabe t.i. računalništva v oblaku. Ponudniki teh storitev si pogosto zmotno predstavljajo, da niso (so)odgovorni za osebne podatke, ki jih upravljavec posreduje, oziroma da so v kontekstu obdelave osebnih podatkov upravljavcu enakovredna stranka, ki lahko po svoje določa pogoje obdelave osebnih podatkov.
V namen razjasnitve napačnih predpostavk in napačnega razumevanja problematike varovanja osebnih podatkov v razmerju med upravljavcem in pogodbenim obdelovalcem pri uporabi zgoraj omenjenih informacijskih storitev, Pooblaščenec v tem kratkem mnenju podaja osnovne smernice za ustrezno varovanje osebnih podatkov.


Avtentično razlago posameznih določb zakona daje le Državni zbor, neobvezno pa predlagatelj zakona, zato Pooblaščenec na podlagi 7. točke 1. odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1; ZVOP-1) ter 2. člena Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 - ZUstS-A; ZInfP) posreduje neobvezno mnenje.


1. Namesto kratkega uvoda

V zadnjih letih je sektor informacijskih storitev doživel nesluten razmah. Storitve, ki so nekoč sodile v okvir dejavnosti specializiranih podjetij, danes postajajo množične, hkrati s tem pa seveda tudi obdelava osebnih podatkov postaja vse bolj množična. Gostovanje spletnih strani, gostovanje domen, zakup storitev t.i. računalništva v oblaku, vse to že predstavlja sestavni del običajnega poslovanja različnih fizičnih in pravnih oseb, ki se pogosto vzpostavljajo tudi kot upravljavci in pogodbeni obdelovalci osebnih podatkov. In ko gre za obdelavo osebnih podatkov, je zelo pomembno, da se ta izvaja na način in v okviru, ki ga določa ZVOP-1, saj sicer lahko kaj hitro pride do različnih oblik zlorab. V tem oziru je še posebej pomembno razmerje med upravljavcem (npr. stranko, ki želi zakupiti prostor za svojo spletno stran) in pogodbenim obdelovalcem (npr. podjetjem, ki stranki začasno proda prostor za spletno stran). Oba subjekta sta namreč udeležena pri obdelavi osebnih podatkov in lahko tudi skupaj nosita odgovornost za morebitne zlorabe osebnih podatkov.

2. Kako ZVOP-1 opredeljuje razmerje med upravljavcem osebnih podatkov in pogodbenim obdelovalcem?

ZVOP-1 v 6. členu definira pojem upravljavca osebnih podatkov kot fizično ali pravno osebo ali drugo osebo javnega ali zasebnega sektorja, ki sama ali skupaj z drugimi določa namene in sredstva obdelave osebnih podatkov oziroma osebo, določeno z zakonom, ki določa tudi namene in sredstva obdelave. Pogodbeni obdelovalec pa je fizična ali pravna oseba, ki obdeluje osebne podatke v imenu in na račun upravljavca osebnih podatkov. Zakonodaja na področju varstva osebnih podatkov (tako Direktiva kot ZVOP-1) seveda dopušča možnost, da upravljavec osebnih podatkov, torej tisti, ki je opredelil namen in sredstva obdelave, določena ravnanja z osebnimi podatki zaupa drugi osebi – pogodbenemu obdelovalcu. Med ta ravnanja lahko sodijo kakršnakoli dejanja, ki vključujejo osebne podatke – obdelava osebnih podatkov namreč pomeni kakršnokoli delovanje ali niz delovanj, ki se izvaja v zvezi z osebnimi podatki, ki so avtomatizirano obdelani ali ki so pri ročni obdelavi del zbirke osebnih podatkov ali so namenjeni vključitvi v zbirko osebnih podatkov, zlasti zbiranje, pridobivanje, vpis, urejanje, shranjevanje, prilagajanje ali spreminjanje, priklic, vpogled, uporaba, razkritje s prenosom, sporočanje, širjenje ali drugo dajanje na razpolago, razvrstitev ali povezovanje, blokiranje. Tu je treba poudariti, da gre tudi v situacijah, ko pogodbeni obdelovalec sploh ne ve, na koga se podatki nanašajo (npr. nudi zgolj storitev gostovanja prostora za hrambo podatkov), za obdelavo osebnih podatkov. Še več – tudi če upravljavec osebnih podatkov svoje podatke hrani pri zunanjem ponudniku hrambe in na njegovih diskovnih zmogljivostih hrani svoje podatke v kriptirani, zunanjemu ponudniku hrambe neberljivi obliki, tudi takrat gre za hrambo osebnih podatkov, s tem pa za obdelavo osebnih podatkov in zakonske dolžnosti tako naročnika kot ponudnika storitve. Naročnik storitve bo namreč vedno vedel, ali bo zunanjemu ponudniku tako ali drugače zaupal osebne podatke (čeprav samo v hrambo), zato je njegova dolžnost, da zahteva od zunanjega ponudnika, da se pogodbena obdelava uredi skladno z določbami ZVOP-1.


Naročnik, ki se torej odloči, da bo hrambo ali drugačno obdelavo osebnih podatkov zaupal v izvajanje tretji osebi (npr. ponudniku spletnega gostovanja), se torej šteje za upravljavca osebnih podatkov, ponudnik takšne storitve pa za pogodbenega obdelovalca.

Upravljavec osebnih podatkov te podatke obdeluje na podlagi ustrezne pravne podlage, ki je praviloma določena v zakonu ali pa izhaja iz osebne privolitve posameznikov. Brez takšnega temelja je kakršnakoli obdelava (razen če sodi med izjeme, ki jih določa zakon) nedopustna in predstavlja kršitev ZVOP-1.

Pogodbena obdelava osebnih podatkov pa predstavlja naslednjo stopnjo, ki (lahko) nastane, če upravljavec osebnih podatkov posameznika opravila v zvezi z obdelavo osebnih podatkov s pogodbo zaupa pogodbenemu obdelovalcu, ki zagotavlja ustrezne (varnostne) postopke in ukrepe, ki jih določa 24. člen ZVOP-1.

Primer takšnega razmerja je npr. podjetje, ki prodaja pijačo. To podjetje vzpostavi bazo svojih članov, kjer obdeluje določene osebne podatke o teh članih in o nakupih, ki so jih opravili. To počne na podlagi privolitve svojih članov. Nato se podjetje odloči, da bo postavilo spletno stran, kjer bodo člani lahko opravljali spletne nakupe. V ta namen se bodo seveda morali registrirati. Pri nekem tretjem podjetju (ponudniku gostovanja spletnih strani) zakupi strežniški prostor, tja pa postavi svojo spletno stran. Uporabniki, ki prek spleta opravijo nakupe, to sicer storijo tako, da vnesejo osebne podatke v spletno stran trgovca, vendar do teh podatkov lahko (ne)posredno dostopa oziroma jih drugače obdeluje tudi podjetje, ki je ponudilo prostor na svojem strežniku – zato mora prvo (trgovsko) podjetje z drugim (ponudnikom spletnih storitev) skleniti ustrezno pogodbeno razmerje glede (pogodbene) obdelave osebnih podatkov. V nasprotnem primeru bi lahko prišlo do kršitve določb ZVOP-1.

Drug primer predstavljajo ponudniki internetnih storitev, ki zagotavljajo gostiteljske storitve. Tudi ti so načeloma obdelovalci osebnih podatkov, ki jih na spletu objavljajo njihove stranke, t.j., stranke, ki uporabljajo storitve ponudnikov za gostovanje in vzdrževanje svojih spletnih strani. Če pa ponudnik internetnih storitev še naprej obdeluje podatke, ki vsebujejo spletne strani, za lastne namene, je tudi sam upravljavec podatkov za to konkretno obdelavo.

Pomembno je, da je pogodba med upravljavcem in obdelovalcem sklenjena v pisni obliki, mora pa vsebovati dogovor o zavarovanju osebnih podatkov, kakor izhaja iz 24. člena ZVOP 1. Ta člen namreč določa, da zavarovanje osebnih podatkov obsega organizacijske, tehnične in logično-tehnične postopke in ukrepe, s katerimi se varujejo osebni podatki, preprečuje slučajno ali namerno nepooblaščeno uničevanje podatkov, njihova sprememba ali izguba ter nepooblaščena obdelava teh podatkov. To se dosega na več načinov, ki so našteti v 24. Členu. Pomembno je, da se osebni podatki zavarujejo pred nepooblaščenim dostopom, da se zagotavlja ustrezna varnost komunikacijskih kanalov in končno tudi sledljivost, ki omogoča, da se v primeru zlorab za nazaj ugotovi, kdo je izvedel kakšno dejanje. Postopki in ukrepi za varovanje osebnih podatkov morajo biti zapisani v notranjih pravilnikih upravljavca osebnih podatkov in pogodbenega obdelovalca, se pa lahko glede na specifično naravo posamezne obdelave osebnih podatkov nekoliko razlikujejo.

Pri tem velja poudariti, da v skladu z 11. členom ZVOP-1 upravljavec osebnih podatkov (lahko) nadzoruje izvajanje prej omenjenih varnostnih ukrepov, ki jih mora udejanjati pogodbeni obdelovalec. V praksi to seveda ni vselej mogoče oziroma je zaradi narave in (ne)poznavanja tehnologije takšen nadzor lahko otežen. Če upravljavec ne pozna tehnologije, ki se uporablja pri obdelavi osebnih podatkov, neposreden nadzor nad delom pogodbenega obdelovalca ni vselej smotrn. Seveda lahko upravljavec (še vedno) vztraja, da bo pregled opravil sam, na način, ki bo njemu najbolj ustrezal. Prav tako pa lahko tak nadzor po pooblastilu upravljavca izvede ustrezen revizor za posamezno strokovno področje, kakor izhaja iz priporočila mnenja 05/2012, ki ga je pripravila Delovna skupina iz Člena 29 . Nikakor pa pogodbeni obdelovalec ne sme samovoljno predpisovati kdaj, kako, na kakšen način je nadzor nad njegovim delom dopusten. Pogodbeni obdelovalec je namreč v odvisnem položaju do upravljavca in zato temu ne sme vsiljevati svojih pogojev, če so ti v nasprotju z določbami ZVOP-1. Določbe splošnih pogojev, kako pogosto in v kakšnem obsegu naj bi upravljavci osebnih podatkov smeli nadzirati svoje pogodbene obdelovalce (ponudnike storitev), tako niso v skladu z ZVOP-1.

Tak primer predstavlja oseba, ki išče platformo za elektronsko pošto, ki jo bo poleg nje uporabljalo še pet zaposlenih v njenem podjetju. Ugotovi, da primerna in za uporabnike prijazna platforma, ki je edina na voljo brezplačno, predolgo hrani osebne podatke in jih prenaša v tretje države brez ustreznih zaščitnih ukrepov. V takšnem primeru – če kot upravljavec ne more vplivati na pogoje pogodbene obdelave osebnih podatkov – je zaradi domnevne neskladnosti s pravili o varstvu osebnih podatkov treba izbrati drugega ponudnika.

Zelo pomembno je, da se pogodbeni obdelovalec zaveda svoje (relativne) odvisnosti od upravljavca osebnih podatkov. Ta ima namreč v tem razmerju privilegiran položaj. 11. člen ZVOP-1 določa, da je v primeru spora med upravljavcem in pogodbenim obdelovalcem ta dolžan na podlagi zahteve upravljavca temu nemudoma vrniti osebne podatke, ki jih je zanj obdeloval. Morebitne kopije mora uničiti ali jih posredovati državnemu organu, ki je v skladu z zakonom pristojen za odkrivanje ali pregon kaznivih dejanj, sodišču ali drugemu državnemu organu, če tako določa zakon. Razen tega pogodbeni obdelovalec osebnih podatkov ne sme uporabljati za noben drug namen, razen za tistega, ki ga je določil upravljavec. Tako npr. osebne podatke, ki jih prvo podjetje (upravljavec) uporablja za izvajanje svojih storitev, ponudnik strežnika (pogodbeni obdelovalec) kjer se spletna stran nahaja, ne sme uporabljati za samovoljno trženje ali kakšno drugo obdelavo. Pogodbeni obdelovalec skratka lahko počne z osebnimi podatki zgolj to, kar mu upravljavec dopušča oziroma eksplicitno določa, in nič več. Če (potencialni) pogodbeni obdelovalec v svoje pogoje obdelave osebnih podatkov vključi pogoje, ki z vidika zakonodaje o varstvu osebnih podatkov predstavljajo kršitev, upravljavec teh pogojev ni dolžan upoštevati, oziroma je priporočljivo, da s takšnim pogodbenim obdelovalcem sploh ne sklepa pogodbenega razmerja ali ga, če je to že sklenjeno (in se pogoji, ki predstavljajo kršitve ZVOP-1, ne spremenijo), prekine.

Ob tem velja dodati, da pogodbeni obdelovalci posamezna opravila v zvezi z obdelavo osebnih podatkov lahko zaupajo t.i. pogodbenim podizvajalcem, t.j. fizičnim ali pravnim osebam, ki za pogodbenega obdelovalca izvedejo določene naloge. Vendar je treba poudariti, da je v skladu z Mnenjem 05/2012, ki ga je pripravila Delovna skupina Člena 29, pogodbeni obdelovalec o morebitni vključitvi podizvajalcev dolžan obvestiti upravljavca, od njega pridobiti dovoljenje za takšno obdelavo osebnih podatkov, prav tako pa je dolžan upravljavca seznaniti o tem, kdo naj bi obdelavo izvajal, na kakšen način, in pod kakšnimi varnostnimi pogoji. Če se upravljavec s tem ne strinja, pogodbeni obdelovalec obdelave osebnih podatkov ne sme zaupati podizvajalcu. Odgovornost za morebitne kršitve s strani podizvajalcev praviloma prevzame pogodbeni obdelovalec, ki je podizvajalcem posredoval osebne podatke.


Informacijski pooblaščenec:
Nataša Pirc Musar, univ.dipl.prav.,
pooblaščenka