Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Mnenja - VOP

+ -
Datum: 19.07.2018
Naslov: Zahteve pogodbenih obdelovalcev do upravljavcev osebnih podatkov
Številka: 0712-3/2018/1020
Vsebina: Pogodbena obdelava OP
Pravni akt: Mnenje

Informacijski pooblaščenec (v nadaljevanju IP) je po elektronski pošti prejel vaše zaprosilo za mnenje, in sicer vas zanima naše mnenje glede situacije, ko vam kot upravljavcu v pogodbah z obdelovalci, ti poizkušajo zaračunati kot opravljanje storitev:

 

  • pomoč pri zagotavljanju pravic uporabnikom, npr. v zvezi z zahtevami posameznikov za dostop, popravek, izbris …,
  • predložitev dokazov o ukrepih, ki jih je obdelovalec izvedel za skladnost z Uredbo,
  • brisanje oz. vrnitev osebnih podatkov ob koncu zagotavljanja storitev v zvezi z obdelavo,
  • aktivnosti ob izvajanju revizije s strani upravljavca.

 

Dalje pojasnjujete, da vam želijo obdelovalci omejiti izvedbo revizije – samo po predhodnem pisnem obvestilu, kar mora biti sporočeno najmanj 7 dni pred izvedbo ter da je izvedba revizije omejena na največ 1x letno. Menite, da obdelovalci niso upravičeni zaračunavati storitev, ki so njihova obveznost po Uredbi ter omejevati izvedbo revizije, gre pa za primere, s katerimi se bo verjetno srečala večina upravljavcev, zato menite, da bi bilo koristno mnenje IP objaviti na spletni Informacijskega pooblaščenca (Najpogostejša vprašanja in odgovori).

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba o varstvu podatkov), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašimi vprašanji.

 

IP uvodoma pojasnjuje, da Splošna uredba ne posega v finančne vidike izvajanja pogodb med upravljavci in (pogodbenimi) obdelovalci. Obveznosti in pravice upravljavcev in pogodbenih obdelovalcev glede izvajanja Splošne uredbe so opredeljene v Splošni uredbi, s tem da je treba poudariti, da obveznosti obdelovalca nastopijo šele s podpisom pogodbe oz. drugega ustreznega pravnega akta z upravljavcem.

 

Ureditev finančnih vidikov pa je stvar dogovora oz. pogodbe med upravljavcem in obdelovalcem – tako kot obdelovalec ni dolžan izvajati katerekoli storitve za upravljavca brezplačno tudi upravljavec ni dolžan sprejeti finančnih pogojev, ki mu jih nudi pogodbeni obdelovalec. Če upravljavec ne želi sprejeti pogojev, ki jih za nudenje storitev pogodbene obdelave in ostalih obveznosti, ki jih ima obdelovalec po pogodbi oziroma se ne uspeta ustrezno dogovoriti, se lahko odloči bodisi, da bo obdelavo osebnih podatkov izvajal sam ali pa se bo odločil za drugega obdelovalca.

 

Menimo pa, da obdelovalec ne sme omejevati pogostosti opravljanja revizij s strani upravljavca, prav tako se nam ne zdi upravičena zahteva obdelovalca, da ga mora upravljavec pisno obvestiti najmanj 7 dni pred izvedbo revizije, saj tu ne gre za finančne vidike, temveč za obveznosti do upravljavca, ki jih ima obdelovalec s podpisom pogodbe z upravljavcem neodvisno od finančnih vidikov.

 

 

Lep pozdrav,

 

 

Mojca Prelesnik, univ.dipl.prav.,                                                  

informacijska pooblaščenka

 

 

Pripravil:                                                                                                                                  

mag. Andrej Tomšič,
namestnik informacijske pooblaščenke