Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Mnenja - VOP

+ -
Datum: 22.10.2017
Naslov: Pogodbena obdelava pri sodelovanju v sistemu COBISS
Številka: 0712-1/2017/2069
Vsebina: Knjižničarstvo, Pogodbena obdelava OP
Pravni akt: Mnenje

Spoštovani!

 

Informacijski pooblaščenec (v nadaljnjem besedilu IP) je 11. 10. 2017 prejel vaše zaprosilo za mnenje v zvezi s Pogodbo o sodelovanju v sistemu cobiss.si – polnopravno članstvo, ki ste jo podpisali s podjetjem IZUM. Med členi pogodbe je zavedena tudi obdelava podatkov. 12. člen te pogodbe navaja: »Knjižnica je upravljavka zbirk osebnih podatkov, ki jih vzdržuje v okviru lokalnih aplikacij sistema COBISS.SI. S podpisom te pogodbe knjižnica pooblašča IZUM za opravljanje pogodbene obdelave osebnih podatkov skladno z Zakonom o varstvu osebnih podatkov. IZUM kot pogodbeni obdelovalec zbirk osebnih podatkov se zavezuje, da bo s prejetimi osebnimi podatki ravnal v skladu z določili ZVOP-1 ter da osebnih podatkov ne bo uporabil za drugačne namene. Pogodbeni stranki se s podpisom te pogodbe zavezujeta, da zagotavljata ustrezne postopke in ukrepe v skladu s 24. in 25. členom ZVOP-1.« Ko ste se obrnili na IZUM, da vpišejo vaše uporabnike - učence v sistem, ste od njih dobili povratno informacijo, da morate poslati pisno dovoljenje oziroma pooblastilo za dostop, vpogled in obdelavo osebnih podatkov članov knjižnice, skladno z ZVOP-1. Zanima vas, zakaj potrebujete ponovno pošiljati dovoljenje oziroma pooblastilo za dostop, vpogled in obdelavo osebnih podatkov članov knjižnice, če ste se k spoštovanju ZVOP-1 zavezali že s podpisom pogodbe. Na IZUM so vam še dejali, da bodo za vsak podoben poseg vedno znova potrebovali taka pooblastila. Zanima vas, čemu je potrebno vedno znova pooblastila, če je pogodba veljavna. Enako vprašanje kot ga zastavljate IP, ste zastavili tudi IZUM. Odgovorili so, da dovoljenje zahteva IP. Na vprašanje IZUM-u, kdo je podpisnik pooblastila, so dejali, da so do sedaj to naredili knjižničarji. Zanima vas, ali ste prava oseba, da podpisujete taka pooblastila. Mar ni lahko podpisnik v imenu šole le ravnatelj?

 

V nadaljevanju vam na podlagi predstavljenega dejanskega stanja ter na podlagi 7. točke prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/2007 – uradno prečiščeno besedilo; v nadaljnjem besedilu ZVOP-1) ter 2. člena Zakona o Informacijskem pooblaščencu (Uradni list RS št. 113/2005 in 51/2007-ZUstS) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.

 

Pogodbena obdelava osebnih podatkov je urejena v 11. členu ZVOP-1, ki določa, da lahko upravljavec osebnih podatkov posamezna opravila v zvezi z obdelavo osebnih podatkov s pogodbo zaupa pogodbenemu obdelovalcu, ki je registriran za opravljanje takšne dejavnosti in zagotavlja ustrezne postopke in ukrepe iz 24. člena tega zakona.

 

Kar zadeva vsebine take pogodbe, IP opozarja, da zgolj določba o tem, da je pogodbeni obdelovalec seznanjen s predpisi o varstvu osebnih podatkov ne ustreza izvršitvi 11. člena ZVOP-1.

 

Načeloma velja, da lahko upravljavci osebnih podatkov zakonito obdelujejo osebne podatke svojih uporabnikov, kadar obstaja podlaga v zakonu oziroma v osebni privolitvi (8. člen ZVOP-1). Pri tem pa je treba v vsakem primeru upoštevati, da se osebni podatki lahko zbirajo le za določene in zakonite namene ter se ne smejo nadalje obdelovati tako, da bi bila njihova obdelava v neskladju s temi nameni, če zakon ne določa drugače (16. člen ZVOP-1). V določbi 9. člena ZVOP-1 so določene pravne podlage za obdelavo osebnih podatkov v javnem sektorju, v katerega skladno z 22. točko 6. člena ZVOP-1 sodi tudi knjižnica.

 

Možnost za obdelavo osebnih podatkov daje tudi določba 11. člena ZVOP-1, ki ureja pogodbeno obdelavo osebnih podatkov. V prvem odstavku navedenega člena je določeno, da lahko upravljavec osebnih podatkov (v konkretnem primeru knjižnica) posamezna opravila v zvezi z obdelavo osebnih podatkov s pogodbo zaupa pogodbenemu obdelovalcu (v konkretnem primeru je IZUM mogoče šteti, kot neke vrste pogodbenega obdelovalca), ki je registriran za opravljanje takšne dejavnosti in zagotavlja ustrezne postopke in ukrepe iz 24. člena tega zakona. Pogodbeni obdelovalec sme, skladno z drugim odstavkom istega člena, opravljati posamezna opravila v zvezi z obdelavo osebnih podatkov v okviru naročnikovih pooblastil in osebnih podatkov ne sme obdelovati za noben drug namen. Medsebojne pravice in obveznosti se uredijo s pogodbo, ki mora biti sklenjena v pisni obliki in mora vsebovati tudi dogovor o postopkih in ukrepih iz 24. člena ZVOP-1. Upravljavec osebnih podatkov nadzoruje izvajanje postopkov in ukrepov iz 24. člena ZVOP-1.

 

Ključno je, da je med organom javnega sektorja in pogodbenim partnerjem sklenjena ustrezna pisna pogodba v smislu 11. člena ZVOP-1, ki vsebuje vse predpisane vsebine, ali enakovredni pisni dogovor oz. sporazum. Pri čemer pa zgolj določba o tem, da je pogodbeni obdelovalec seznanjen s predpisi o varstvu osebnih podatkov in da bo s prejetimi osebnimi podatki ravnal v skladu z ZVOP-1, ne zadosti zahtevam iz 11., 24, in 25. člena ZVOP-1.

 

Ker zapisani 12. člen Pogodbe o sodelovanju v sistemu cobiss.si – polnopravno članstvo po mnenju IP ne izpolnjuje vseh zahtev po 11. členu ZVOP-1, IP dopušča možnost, da pogodbeni obdelovalec od vas zahteva ustrezen pisni dogovor oziroma sporazum, kjer bodo zahteve iz 11. člena ZVOP-1 izpolnjene.

 

Na spletni strani IP www.ip-rs.si najdete več kot 40 mnenj, ki se nanašajo na konkretna vprašanja glede pogodbene obdelave. IP vam svetuje, da se seznanite npr. z mnenjem, št. 0712-1/2016/1833 z dne 15. 9. 2016. Več o pogodbeni obdelavi pa si lahko preberete tudi v Smernicah o pogodbeni obdelavi osebnih podatkov, ki so na voljo na povezavi https://www.ip-rs.si/fileadmin/user_upload/Pdf/smernice/Smernice_o_pogodbeni_obdelavi_web.pdf.

 

Posebej opozarjamo, da 25. 5. 2018 v uporabo stopi Splošna Uredba (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov; uredba), ki bo glede pogodbene obdelave nekoliko bolj zahtevna (glejte člene 28 do 30). Več o uredbi najdete na spletni strani https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/.

 

V upanju, da smo vam z našim pojasnilom pomagali, vas lepo pozdravljamo.

 

Pripravila:

Karolina Kušević, univ. dipl. prav.

asistentka svetovalca IP

 

Informacijski pooblaščenec:

Mojca Prelesnik, univ. dipl. prav.

informacijska pooblaščenka