Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Mnenja - VOP

+ -
Datum: 11.05.2018
Naslov: Pogodbena obdelava po GDPR
Številka: 0712-3/2018/359
Vsebina: Pogodbena obdelava OP, Razno
Pravni akt: Mnenje

Informacijski pooblaščenec (v nadaljevanju IP) je prejel vase vprašanje, glede nove evropske zakonodaje za varstvo osebnih podatkov s Splošno uredbo o varstvu podatkov (Splošna uredba, ang. GDPR), konkretno sprašujete v zvezi s sodelovanjem med upravljavcem in obdelovalcem naslednje:

  1. Ali je podjetje A, ki za svoje poslovanje uporablja programsko opremo nameščeno na strežnikih podjetja B, upravljavec, podjetje B pa obdelovalec?
  2. Ali mora biti podjetje A, ki uporablja programsko opremo nameščeno na strežnikih podjetja B, podjetje B pa ima svoje strežnike gostujoče pri podjetju C, pisno obveščeno o tem?
  3. Kje v zakonodaji je navedeno, da morajo biti pogodbe med upravljavcem in obdelovalcem podatkov pisne? Ali se kot pisno šteje tudi v elektronski obliki?
  4. Ali se kot pisno šteje tudi elektronska privolitev v splošne pogoje, če so ti v celoti usklajeni s Splošno uredbo in če so informacije o varovanju podatkov predstavljene na način, kot je omenjen v Splošni uredbi?

 

V zvezi z vašimi vprašanji vam na podlagi 7. točke prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07, uradno prečiščeno besedilo, v nadaljevanju ZVOP-1) ter 2. člena Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) najprej pojasnjujemo, da Informacijski pooblaščenec (v nadaljevanju: IP) dokončne odločitve o zakonitosti določene obdelave osebnih podatkov izven inšpekcijskega postopka ne more podati, zato lahko le podamo pojasnilo glede ureditve pogodbene obdelave, ki izhaja iz Splošne uredbe. Vsako podjetje pa bo moralo to pogodbeno samo urediti. V zvezi z objavo an naši spletni strani pa pojasnjujemo, da IP v kratkem ne načrtuje objave vzorcev pogodb o pogodbeni obdelavi usklajenih z zahtevami Splošne uredbe o varstvu podatkov. Prav tako ni znano, kdaj bodo na voljo standardna pogodbena določila, ki jih lahko sprejme Evropska komisija ali nadzorni organ na podlagi 7. oz. 8. odstavka 28. člena Splošne uredbe o varstvu podatkov. Ta morajo biti pripravljena koordinirano na ravni Evropskega odbora za varstvo podatkov. Ko bo znanega kaj več, bodo informacije objavljene na podstrani o Splošni uredbi.

 

K 1. vprašanju

Glede na opisano je vaše razumevanje točno, podjetje A, ki za svoje poslovanje uporablja programsko opremo nameščeno na strežnikih podjetja B, je upravljavec, podjetje B pa v tem primeru nastopa kot obdelovalec in zanju veljajo določbe 28. člena Splošne uredbe. 

 

K 2. vprašanju

Tudi odgovor na vaše drugo vprašanje je pritrdilen. Podjetje A, ki uporablja programsko opremo nameščeno na strežnikih podjetja B, podjetje B pa ima svoje strežnike gostujoče pri podjetju C, mora biti pisno obveščeno o tem, da je pogodbeni obdelovalec (podjetje B) za izvedbo pogodbene obdelave najelo podjetje C. Prav tako pa mora kot določa 2. odstavek 28. člena Splošne uredbe podjetje pogodbeni obdelovalec pridobiti od upravljavca za zaposlitev drugega obdelovalca (torej podizvajalca) od upravljavca pisno dovoljenje.

 

K 3. vprašanju

Obveznost sklepanja pisne pogodbe o pogodbeni obdelavi je določena v 9. odstavku 28. Člena Splošne uredbe, ki hkrati določa, da se kot pisna oblika šteje tudi elektronska oblika.

 

K 4. vprašanju

Vprašanja pravnih podlag za obdelavo osebnih podatkov ureja v 6. členu, pravnih podlag za obdelavo posebnih vrst (doslej imenovanih občutljivih) osebnih podatkov pa v 9. členu. Splošna uredba v 6. členu določa več vrst pravnih podlag poleg možnosti pridobitve osebne privolitve, ki mora po Splošni uredbi zadostiti nekoliko strožjim kriterijem kot po ZVOP-1 (več o tem v mnenju IP št. 0712-3/2018/143, ki je dostopno na naši spletni strani: https://www.ip-rs.si/vop/ponovno-pridobivanje-privolitev-za-uporabo-podatkov-za-obvescanje-po-e-posti-3104/ ter v smernicah, ki so jih na to temo pripravili nadzorni organi za varstvo osebnih podatkov: https://www.ip-rs.si/fileadmin/user_upload/Pdf/mnenja/Mednarodna_mnenja/mnenja_na_eu_ravni/20180416_WP259rev01_Article29WPGuidelinesonConsent.pdf .

 

Glede veljavnosti privolitve v elektronski obliki pojasnjujemo, da bi v skladu z uvodno navedbo 32 Splošne uredbe privolitev morala biti dana z jasnim pritrdilnim dejanjem, ki pomeni, da je posameznik, na katerega se nanašajo osebni podatki, prostovoljno, specifično, ozaveščeno in nedvoumno izrazil soglasje k obdelavi osebnih podatkov v zvezi z njim, kot je s pisno, tudi z elektronskimi sredstvi, ali ustno izjavo. Elektronska oblika torej ni ovira pod pogojem, da zadosti drugim pogojem. Opozarjamo pa, da zgolj privolitev v splošne pogoje ne zadosti tem zahtevam po veljavnosti privolitve.

 

V upanju, da ste dobili odgovore na svoje vprašanje, vas lepo pozdravljamo.

 

 

 

Mojca Prelesnik, univ.dipl.prav.,

Informacijska pooblaščenka

 

Pripravila:

Alenka Jerše,

namestnica informacijske pooblaščenke