Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Mnenja - VOP

+ -
Datum: 21.06.2018
Naslov: Pogodbena obdelava
Številka: 0712-1/2018/1775
Vsebina: Pogodbena obdelava OP
Pravni akt: Mnenje

Informacijski pooblaščenec (v nadaljevanju IP) je po elektronski pošti prejel vaš dopis, v katerem navajate, da ste sklenili pogodbe oz. anekse z izvajalci, ki za vaše podjetje izvajajo kadrovske storitve ter vzdrževanje programske opreme.

 

Zanima vas, kako je z družbo, ki za vas izvaja revizijo ter davčno svetovanje in ima dostop do vseh vaših podatkov. Po vašem mnenju v tem primeru ne gre za obdelovalca podatkov, ki v imenu upravljavca obdeluje podatke.

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba o varstvu podatkov), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašimi vprašanji.

 

Upravljavec osebnih podatkov je fizična ali pravna oseba, javni organ, agencijo ali drugo telo, ki samo ali skupaj z drugimi določa namene in sredstva obdelave. Pogodbeni obdelovalci pa so tiste organizacije oziroma posamezniki, ki po naročilu določenega upravljavca osebnih podatkov in v njegovem imenu ter v skladu z njegovimi zahtevami za določeno nalogo oziroma namen zanj obdelujejo osebne podatke posameznikov.

 

Obdelava osebnih podatkov je kakršnokoli delovanje ali niz delovanj, ki se izvaja v zvezi z osebnimi podatki, ki so avtomatizirano obdelani ali ki so pri ročni obdelavi del zbirke osebnih podatkov ali so namenjeni vključitvi v zbirko osebnih podatkov, zlasti zbiranje, pridobivanje, vpis, urejanje, shranjevanje, prilagajanje, ali spreminjanje, priklicanje, vpogled, uporaba, razkritje s prenosom, sporočanje, širjenje ali drugo dajanje na razpolago, razvrstitev ali povezovanje, blokiranje, anonimiziranje, izbris ali uničenje. Obdelava je lahko ročna ali avtomatizirana.

 

Načeloma štejejo revizorji (revizor ali revizijska družba), kadar izvajajo revizijo po določbah ZRev-2 za upravljavce, ne obdelovalce tistih osebnih podatkov, ki jih pridobivajo ter nadalje obdelujejo za namene izvedbe revizije. Kot samostojni upravljavci so seveda dolžni osebne podatke, ki jih obdelujejo v zvezi s storitvami, ki jih izvajajo, ustrezno varovati. Kadar pa podjetje posamezne revizorje oziroma revizijske družbe najame za izvajanje drugih storitev povezanih z revidiranjem, kot npr. računovodstvo, poslovne finance, notranje revidiranje, revidiranje informacijskih sistemov, davčno proučevanje in svetovanje, ocenjevanje vrednosti podjetij, nepremičnin ter strojev in opreme nastopajo ti v delu, kot za vas obdelujejo tudi osebne podatke, kot pogodbeni obdelovalci in gre nedvomno za pogodbeno obdelavo osebnih podatkov.

 

Konkretno predlagamo, da vaše razmerje do družbe, ki za vas, kot je razbrati, izvaja med drugim tudi storitve obdelave osebnih podatkov, opredelite v pogodbi o pogodbeni obdelavi. Podrobneje to ureja 28. člen Splošne uredbe o varstvu podatkov. Več o pogodbeni obdelavi najdete tudi na naši spletni strani: https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/kljucna-podrocja-uredbe/pogodbena-obdelava/

 

 

Lep pozdrav,

 

 

Mojca Prelesnik, univ.dipl.prav.,                                                  

informacijska pooblaščenka

 

 

 

Pripravil:                                                                                                                                  

Tomaž Brodgesell,
informatik