Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Mnenja - VOP

+ -
Datum: 28.02.2018
Naslov: Opredelitev nabora osebnih podatkov pri pogodbeni obdelavi
Številka: 0712-1/2018/448
Vsebina: Pogodbena obdelava OP, Elektronska pošta
Pravni akt: Mnenje

Prejeli smo vaš dopis, v katerem nas sprašujete za mnenje. Kot ste pojasnili razmišljate, da bi za e-pošto in datotečni sistem (shranjevanje in izmenjava dokumentov) pričeli uporabljati rešitev v oblaku določenega ponudnika. S ponudnikom bi sklenili krovno pogodbo o storitvi, ki bi skupaj s splošnimi pogoji vsebovala tudi elemente oz. zahteve v zvezi z obdelavo osebnih podatkov. Zanima vas, ali je potrebno s ponudnikom skleniti klasično pogodbo o obdelavi osebnih podatkov. Pri pogodbeni obdelavi je treba namreč opredeliti, katere vrste osebnih podatkov upravljavci zaupajo v obdelavo obdelovalcem, zato vas zanima, kako pri tovrstni pogodbi, katere predmet je e-pošta, definirati vrste osebnih podatkov, ki jih boste zaupali pogodbenemu obdelovalcu?

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju na podlagi 7. točke prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07, uradno prečiščeno besedilo, v nadaljevanju ZVOP-1) ter 2. člena Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašimi vprašanji.

Informacijski pooblaščenec (IP) uvodoma opozarja, da morate biti pri najemanju storitev računalništva v oblaku posebej previdni na naslednje vidike, in sicer na ustrezno ureditev pogodbene obdelave, vprašanja zavarovanja osebnih podatkov (varnosti) ter da preverite, ali gre za iznos v tretje države. Na vse tri teme smo izdali smernice, ki jih najdete na naši spletni strani:

 

https://www.ip-rs.si/publikacije/prirocniki-in-smernice/

 

 

Neposredne povezave do omenjenih smernic so naslednje:

 

 

Opozoriti moramo tudi, da s 25. 5. 2018 stopi v uporabo Splošna Uredba (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov; uredba), ki v 28. členu določa bolj stroge pogoje glede ureditve pogodbene obdelave.

 

Zunanji ponudnik e-pošte vsekakor predstavlja (pogodbenega) obdelovalca za upravljavca osebnih podatkov (naročnika), zato je treba upoštevati določbe 28. člena uredbe.

 

Prvi odstavek 28. člena uredbe določa, da kadar se obdelava izvaja v imenu upravljavca, ta sodeluje zgolj z obdelovalci, ki zagotovijo zadostna jamstva za izvedbo ustreznih tehničnih in organizacijskih ukrepov na tak način, da obdelava izpolnjuje zahteve iz uredbe in zagotavlja varstvo pravic posameznika, na katerega se nanašajo osebni podatki.

 

Drugi odstavek dalje določa, da obdelovalec ne zaposli drugega obdelovalca brez predhodnega posebnega ali splošnega pisnega dovoljenja upravljavca. V primeru splošnega pisnega dovoljenja obdelovalec upravljavca obvesti o vseh nameravanih spremembah glede zaposlitve dodatnih obdelovalcev ali njihove zamenjave, s čimer se upravljavcu omogoči, da nasprotuje tem spremembam. Ponudnik programske opreme vas mora torej vnaprej seznaniti z morebitnimi »pod-obdelovalci«, katere morate posamično ali na splošen način odobriti. Dopustno je tudi, da sprejmete nabor pod-obdelovalcev, ki jih uporablja obdelovalec, če seveda ocenjujete, da so ustrezni.

 

Po določbi tretjega odstavka 28. čelna mora obdelavo s strani obdelovalca urejati pogodba ali drug pravni akt v skladu s pravom Unije ali pravom države članice, ki določa obveznosti obdelovalca do upravljavca, v katerem so določeni vsebina in trajanje obdelave, narava in namen obdelave, vrsta osebnih podatkov, kategorije posameznikov, na katere se nanašajo osebni podatki, ter obveznosti in pravice upravljavca.

 

Pogodba ali drug pravni akt zlasti določa, da obdelovalec:

 

(a) osebne podatke obdeluje samo po dokumentiranih navodilih upravljavca, vključno glede prenosov osebnih podatkov v tretjo državo ali mednarodno organizacijo, razen če to od njega zahteva pravo Unije ali pravo države članice, ki velja za obdelovalca; v slednjem primeru obdelovalec o tej pravni zahtevi pred obdelavo podatkov obvesti upravljavca, razen če zadevno pravo prepoveduje takšno obvestilo na podlagi pomembnih razlogov v javnem interesu;

(b) zagotovi, da so osebe, ki so pooblaščene za obdelavo osebnih podatkov, zavezane k zaupnosti ali jih k zaupnosti zavezuje ustrezen zakon;

(c) sprejme vse ukrepe, potrebne v skladu s členom 32;

(d) spoštuje pogoje iz odstavkov 2 in 4 za zaposlitev drugega obdelovalca;

(e) ob upoštevanju narave obdelave pomaga upravljavcu z ustreznimi tehničnimi in organizacijskimi ukrepi, kolikor je to mogoče, pri izpolnjevanju njegovih obveznosti, da odgovori na zahteve za uresničevanje pravic posameznika, na katerega se nanašajo osebni podatki, iz poglavja III;

(f) upravljavcu pomaga pri izpolnjevanju obveznosti iz členov 32 do 36 ob upoštevanju narave obdelave in informacij, ki so dostopne obdelovalcu;

(g) v skladu z odločitvijo upravljavca izbriše ali vrne vse osebne podatke upravljavcu po zaključku storitev v zvezi z obdelavo ter uniči obstoječe kopije, razen če pravo Unije ali pravo države članice predpisuje shranjevanje osebnih podatkov;

(h) da upravljavcu na voljo vse informacije, potrebne za dokazovanje izpolnjevanja obveznosti iz tega člena, ter upravljavcu ali drugemu revizorju, ki ga pooblasti upravljavec, omogoči izvajanje revizij, tudi pregledov, in pri njih sodeluje.

 

Glede vašega vprašanja, kako konkretno določiti nabor podatkov, če gre za ponudnika storitve elektronske pošte menimo, da v nabor osebnih podatkov, ki naj bi bil naveden v pogodbi oz. drugem ustreznem pravnem aktu med upravljavcem in obdelovalcem, sodijo osebni podatki, ki se obdelajo pri vzpostavitvi, delovanju in vzdrževanju te storitve. Kakšen je končni nabor teh podatkov ni mogoče vnaprej opredeliti, prav gotovo pa sem sodijo naslov elektronske pošte zaposlenega, datum dodelitve naslova, morebitni vzdevki, (prometni)  podatki o prejeti in poslani pošti, podatki o dostopih do predala e-pošte itd. Vsebine, ki se bo pri uporabi e-pošte pošiljala ni mogoče vnaprej opredeliti v pogodbi – nabor podatkov, ki ga je treba opredeliti se tako nanaša predvsem na a) identifikacijske podatke uporabnikov (npr. ima.priimekping@domenapong.com, vzdevki oz. aliasi, konfiguracijski podatki, kot so npr. podatki o morebitnih agentih, na b) prometne podatke o uporabi e-pošte  (npr. datum in čase prejete/poslane pošte, naslovi pošiljatelja/prejemnikov itd. ter na c) podatke iz dnevniških datotek o uporabi predalov e-pošte (npr. podatki o prijavi/odjavi v storitev e-pošte, morebitni lokacijski podatki, podatki o sproženih agentih itd.),  ne pa na samo vsebino komunikacije, saj te vnaprej ni mogoče opredeliti.

 

Zaključno pa želimo – v izogib nejasnostim in s ciljem širše uporabnosti tega mnenja – poudariti, da morate individualne naslove e-pošte zaposlenih obravnavati kot osebne podatke. Navedeno velja ne glede na njihovo obliko (ime.priimekping@podjetjepong.com, inicialke, vzdevki, ipong.priimekping@podjetje,com ali drugačna oblika). Če gre za individualni predal in temu pripadajoč naslov  e-pošte, je treba naslov zgoraj omenjene kategorije podatkov, ki se nanašajo na dotični predal elektronske pošte, šteti za osebne podatke. To, da je služben e-naslov pomeni zgolj, da veljajo drugačna pravila njegove uporabe, kot če bi bil to privatni e-naslov, še vedno pa gre v obeh primerih za osebni podatek, saj se nanaša na določeno oz. določljivo osebo-posameznika. Naslovov e-pošte, ki so skupinske narave (npr. infoping@ustanovapong.com ali komerciala@podjetje.com) in jih ni mogoče pripisati določenemu ali določljivemu posamezniku pa ne štejemo za osebne podatke.

 

Lep pozdrav,

 

 

                                                                                              Mojca Prelesnik, univ.dipl.prav.,                                                  

                                                                                               informacijska pooblaščenka

 

Pripravil:                                                                                                                                

mag. Andrej Tomšič,
namestnik informacijske pooblaščenke