Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Mnenja - VOP

+ -
Datum: 17.05.2018
Naslov: Kontaktni podatki skrbnikov pogodb
Številka: 0712-3/2018/423
Vsebina: Pogodbena obdelava OP
Pravni akt: Mnenje

Informacijski pooblaščenec (v nadaljevanju: IP) je dne 4. 5. 2018 prejel vaše elektronsko sporočilo, v katerem navajate, da imate v vseh vaših pogodbah z zunanjimi poslovnimi partnerji navedene kontaktne podatke skrbnikov pogodb, tj. vaših zaposlenih, ki ste jih za to določili (ime in priimek, številka stacionarnega in mobilnega telefona, elektronski poštni naslov, naziv delovnega mesta, …). Menite, da gre za osebne podatke vaših delavcev, ki se pri različnih obdelovalcih nekje hranijo oz. zbirajo, uporabljajo, … in IP prosite za mnenje, ali bi s temi obdelovalci morali skleniti pogodbo o varovanju osebnih podatkov vaših zaposlenih. Zanima vas tudi, ali bi z vašimi poslovnimi partnerji (kot so npr. urejevalec arhiva, skrbniki računalniških programov, urejevalec spletne strani), v kolikor ti pri svojem delu, ki ga opravljajo za vas,  prihajajo v stik z osebnimi podatki vaših zaposlenih in drugimi zaupnimi podatki, morali skleniti pogodbo v skladu s Splošno uredbo o varstvu podatkov (ang. GDPR)? Zanima vas še, ali obstaja kakšen osnutek tovrstne pogodbe za obdelovalce osebnih podatkov?

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju na podlagi 7. točke prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07, uradno prečiščeno besedilo, v nadaljevanju: ZVOP-1) ter 2. člena Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju: ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem, dokončno pa lahko o zakonitosti konkretne obdelave IP presoja šele v okviru inšpekcijskega postopka.

 

Osebni podatki skrbnikov pogodb v poslovnih pogodbah so nedvomno osebni podatki, za obdelavo katerih je potrebna pravna podlaga in v konkretnem primeru jo imata tako delodajalec (za posredovanje teh podatkov), kot tudi poslovni partner (za seznanitev z njimi). Posebna pogodba o varovanju podatkov iz poslovne pogodbe po mnenju IP ni potrebna in zadostuje že določba v sami poslovni pogodbi, ki poslovnega partnerja (zgolj) opominja na varovanje pridobljenih osebnih podatkov in obdelavo v skladu z namenom njihove pridobitve, k čemur pa je slednji zavezan že na podlagi predpisov o varstvu osebnih podatkov.

 

V kolikor vaš poslovni partner izvaja obdelavo osebnih podatkov, katerih upravljavec ste vi, v okviru storitev obdelave osebnih podatkov, ki jih opravlja za vas, morate medsebojno razmerje urediti v smislu pogodbene obdelave osebnih podatkov v skladu s Splošno uredbo.

 

 

Obrazložitev:

 

Zakon o varstvu osebnih podatkov (Uradni list RS, št. 94/07 – uradno prečiščeno besedilo, v nadaljevanju: ZVOP-1) je v tem trenutku sicer še vedno temeljni predpis na področju varstva osebnih podatkov, ki določa pravice, obveznosti, načela in ukrepe, s katerimi se preprečujejo neustavni, nezakoniti in neupravičeni posegi v zasebnost in dostojanstvo posameznikov pri obdelavi osebnih podatkov, vendar pa ni mogoče mimo dejstva, da bo s 25. 5. 2018 na tem področju potrebno upoštevati Splošno uredbo o varstvu podatkov (v nadaljevanju: Splošna uredba)[1], ki za širše evropsko območje določa pravila o varstvu posameznikov pri obdelavi osebnih podatkov in pravila o prostem pretoku osebnih podatkov in ki varuje temeljne pravice in svoboščine posameznikov ter zlasti njihovo pravico do varstva osebnih podatkov.

 

V skladu s Splošno uredbo pomeni osebni podatek katero koli informacijo v zvezi z določenim ali določljivim posameznikom; določljiv posameznik je tisti, ki ga je mogoče neposredno ali posredno določiti, zlasti z navedbo identifikatorja, kot je ime, identifikacijska številka, podatki o lokaciji, spletni identifikator, ali z navedbo enega ali več dejavnikov, ki so značilni za fizično, fiziološko, genetsko, duševno, gospodarsko, kulturno ali družbeno identiteto tega posameznika. Obdelava osebnih podatkov pomeni vsako dejanje ali niz dejanj, ki se izvaja v zvezi z osebnimi podatki ali nizi osebnih podatkov z avtomatiziranimi sredstvi ali brez njih, kot je zbiranje, beleženje, urejanje, strukturiranje, shranjevanje, prilagajanje ali spreminjanje, priklic, vpogled, uporaba, razkritje s posredovanjem, razširjanje ali drugačno omogočanje dostopa, prilagajanje ali kombiniranje, omejevanje, izbris ali uničenje. Upravljavec pomeni fizično ali pravno osebo, javni organ, agencijo ali drugo telo, ki samo ali skupaj z drugimi določa namene in sredstva obdelave; kadar namene in sredstva obdelave določa pravo Unije ali pravo države članice, se lahko upravljavec ali posebna merila za njegovo imenovanje določijo s pravom Unije ali pravom države članice. Obdelovalec pomeni fizično ali pravno osebo, javni organ, agencijo ali drugo telo, ki obdeluje osebne podatke v imenu upravljavca.[2]

 

V primeru podatkov vaših zaposlenih kot kontaktnih podatkov v pogodbah z zunanjimi poslovnimi partnerji nedvomno gre za osebne podatke, podlago za to, da jih posreduje tretji osebi, torej navede v pogodbo, pa ima delodajalec v 48. členu Zakona o delovnih razmerjih (Uradni list RS, št. 21/13, 78/13 – popr., 47/15 – ZZSDT, 33/16 – PZ-F, 52/16 in 15/17 – odl. US, v nadaljevanju: ZDR-1)[3]. Poslovni partner pa na drugi strani iste osebne podatke obdeluje zaradi uresničevanja zakonitega interesa, tj. uresničevanja pravic in obveznosti iz pogodbe, nad katerim interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, glede na minimalen in sorazmeren poseg v zasebnost posameznika, po mnenju IP ne prevladajo (pravna podlaga po točki (f) prvega odstavka 6. člena Splošne uredbe)[4]. Po mnenju IP v tem primeru posebna pogodba o varovanju podatkov iz poslovne pogodbe niti ni potrebna in zadostuje že določba v sami poslovni pogodbi, ki prejemnika podatkov predvsem opominja na varovanje pridobljenih osebnih podatkov in obdelavo v skladu z namenom njihove pridobitve, k čemur pa je slednji zavezan že na podlagi predpisov o varstvu osebnih podatkov.

 

V zvezi z vašim vprašanjem, ali bi morali z vašimi poslovnimi partnerji (urejevalcem arhiva, skrbniki računalniških programov, urejevalcem spletne strani), ki prihajajo v stik z osebnimi podatki, katerih upravljavec ste vi, skleniti pogodbo v skladu s Splošno uredbo, je potrebno v prvi vrsti ugotoviti, da v skladu s predhodno opredelitvijo obdelave osebnih podatkov v Splošni uredbi že sam priklic ali vpogled v podatke šteje za obdelavo osebnih podatkov. V kolikor tovrstno obdelavo osebnih podatkov izvaja vaš poslovni partner v okviru storitev, ki jih opravlja za vas, je torej potrebno medsebojno razmerje pogodbeno urediti v skladu s Splošno uredbo, ki v tretjem odstavku 28. člena določa, da se obdelava uredi s pogodbo (ali drugim pravnim aktom v skladu s pravom Unije ali pravom države članice), ki določa obveznosti obdelovalca do upravljavca, vsebino in trajanje obdelave, naravo in namen obdelave, vrsto osebnih podatkov, kategorije posameznikov, na katere se nanašajo osebni podatki, ter obveznosti in pravice upravljavca.[5] Ista določba Splošne uredbe v nadaljevanju opredeljuje tudi vsebino takšne pogodbe. Na spletni strani IP na naslovu https://www.ip-rs.si/obrazci/varstvo-osebnih-podatkov/ lahko pod rubriko »Za upravljavce:« najdete tudi Vzorec pogodbe za potrebe pogodbene obdelave po 11. členu ZVOP-1, ki pa ga je potrebno, glede na to, da je bil pripravljen v skladu z določbami ZVOP-1, uporabiti smiselno in ustrezno dopolniti v skladu z zgoraj navedenimi zahtevami Splošne uredbe, saj ni usklajen s Splošno uredbo. IP v kratkem ne načrtuje objave vzorcev pogodb o pogodbeni obdelavi usklajenih z zahtevami Splošne uredbe o varstvu podatkov. Prav tako ni znano, kdaj bodo na voljo standardna pogodbena določila, ki jih lahko sprejme Evropska komisija ali nadzorni organ na podlagi 7. oz. 8. odstavka 28. člena Splošne uredbe o varstvu podatkov. Ta morajo biti pripravljena koordinirano na ravni Evropskega odbora za varstvo podatkov. Ko bo znanega kaj več, bodo informacije objavljene na podstrani o Splošni uredbi.

 

V kolikor potrebujete dodatne informacije, vam predlagamo, da jih poiščete med že izdanimi mnenji IP s sorodno vsebino, npr. https://www.ip-rs.si/vop/obveznosti-po-gdpr-pogodbena-obdelava-register-zbirk-3035/, oziroma si na spletni strani IP preberete gradivo glede pogodbene obdelave v skladu s Splošno uredbo: https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/kljucna-podrocja-uredbe/pogodbena-obdelava/.   

 

S spoštovanjem,

 

 

Pripravila:

Mojca Leitinger Okršlar,

državna nadzornica za varstvo osebnih podatkov

 

 

Informacijski pooblaščenec:
Mojca Prelesnik, univ.dipl.prav.,
informacijska pooblaščenka

 

 

 

 

 

 

 

 

 

 


[1] Uredba (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES

[2] Osnovni pojmi so v Splošni uredbi opredeljeni v 4. členu.

[3] Prvi odstavek 48. člena ZDR-1 se glasi: Osebni podatki delavcev se lahko zbirajo, obdelujejo, uporabljajo in posredujejo tretjim osebam samo, če je to določeno s tem ali drugim zakonom ali če je to potrebno zaradi uresničevanja pravic in obveznosti iz delovnega razmerja ali v zvezi z delovnim razmerjem.

[4] Prvi odstavek 6. člena Splošne uredbe se glasi:

Obdelava je zakonita le in kolikor je izpolnjen vsaj eden od naslednjih pogojev:

  1. posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov;
  2. obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe;
  3. obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca;
  4. obdelava je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe;
  5. obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu;
  6. obdelava je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok.

Točka (f) prvega pododstavka se ne uporablja za obdelavo s strani javnih organov pri opravljanju njihovih nalog.

[5] Tretji odstavek 28. člena Splošne uredbe se glasi: Obdelavo s strani obdelovalca ureja pogodba ali drug pravni akt v skladu s pravom Unije ali pravom države članice, ki določa obveznosti obdelovalca do upravljavca, v katerem so določeni vsebina in trajanje obdelave, narava in namen obdelave, vrsta osebnih podatkov, kategorije posameznikov, na katere se nanašajo osebni podatki, ter obveznosti in pravice upravljavca. Ta pogodba ali drug pravni akt zlasti določa, da obdelovalec:

  1. osebne podatke obdeluje samo po dokumentiranih navodilih upravljavca, vključno glede prenosov osebnih podatkov v tretjo državo ali mednarodno organizacijo, razen če to od njega zahteva pravo Unije ali pravo države članice, ki velja za obdelovalca; v slednjem primeru obdelovalec o tej pravni zahtevi pred obdelavo podatkov obvesti upravljavca, razen če zadevno pravo prepoveduje takšno obvestilo na podlagi pomembnih razlogov v javnem interesu;
  2. zagotovi, da so osebe, ki so pooblaščene za obdelavo osebnih podatkov, zavezane k zaupnosti ali jih k zaupnosti zavezuje ustrezen zakon;
  3. sprejme vse ukrepe, potrebne v skladu s členom 32;
  4. spoštuje pogoje iz odstavkov 2 in 4 za zaposlitev drugega obdelovalca;
  5. ob upoštevanju narave obdelave pomaga upravljavcu z ustreznimi tehničnimi in organizacijskimi ukrepi, kolikor je to mogoče, pri izpolnjevanju njegovih obveznosti, da odgovori na zahteve za uresničevanje pravic posameznika, na katerega se nanašajo osebni podatki, iz poglavja III;
  6. upravljavcu pomaga pri izpolnjevanju obveznosti iz členov 32 do 36 ob upoštevanju narave obdelave in informacij, ki so dostopne obdelovalcu;
  7. v skladu z odločitvijo upravljavca izbriše ali vrne vse osebne podatke upravljavcu po zaključku storitev v zvezi z obdelavo ter uniči obstoječe kopije, razen če pravo Unije ali pravo države članice predpisuje shranjevanje osebnih podatkov;
  8. da upravljavcu na voljo vse informacije, potrebne za dokazovanje izpolnjevanja obveznosti iz tega člena, ter upravljavcu ali drugemu revizorju, ki ga pooblasti upravljavec, omogoči izvajanje revizij, tudi pregledov, in pri njih sodeluje.

V zvezi s točko (h) prvega pododstavka obdelovalec nemudoma obvesti upravljavca, če po njegovem mnenju navodilo krši to uredbo ali druge določbe Unije ali predpisov držav članic o varstvu podatkov.