Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Iskalnik po mnenjih GDPR

+ -
Datum: 15.11.2019
Naslov: (pod)Obdelava podatkov
Številka: 0712-1/2019/2594
Vsebina: Pogodbena obdelava podatkov
Pravni akt: Mnenje

Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaše zaprosilo za mnenje in sicer ste pojasnili, da ste majhno podjetje, ki se ukvarja s podporo določenega informacijskega sistema, ki obsega funkcionalnosti od proizvodnje kot tudi obračuna plač in personalnih map. S strankami imate sklenjene vzdrževalne pogodbe; do podatkov, to je sistema, dostopate samo in le po zahtevi stranke, bodisi na daljavo ali direktno pri stranki, dostopate pa  izključno do relevantnih podatkov - to npr. pomeni, da lahko gledate samo delovne naloge, ali izdane račune, lahko pa seveda tudi podatke za obračun plač, kadar recimo za enega delavca nastopijo težave pri obračunu.

 
Po vaši interpretaciji ne sodite v obdelovalce po GDPR, saj nimate pogodbe za obdelavo osebnih podatkov, nimate konstantnega dostopa (dostop vam mora vedno odobriti stranka) niste razvijalec zadevnega programa in si tudi kot malo podjetje ne morete privoščiti takšnih stvari, kot da bi morali vsako zaposlitev prijaviti  strankam, ki jo pa mora odobriti.


Prosite nas za interpretacijo, ali po GDPR res sodite ned obdelovalce osebnih podatkov,  ker vam stranke pošiljajo v podpis pogodbe. Menite, da sodite bolj v uporabnike kot v obdelovalce, ker nimate konstantnega stika z osebnimi podatki kogarkoli.



Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju na podlagi 58. člena Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba), 7. točke prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07, uradno prečiščeno besedilo, v nadaljevanju ZVOP-1) ter 2. člena Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.

 

IP uvodoma pojasnjuje, da odločanje o tem, ali gre za pogodbenega obdelovalca ali ne, elementi, ki jih navajate (da nimate pogodbe, da do podatkov dostopate le na zahtevo stranke, da niste razvijalec zadevnega programa…), niso odločilni. Kot izhaja iz vašega opisa vas namreč stranke najamejo za določene storitve (podpora delovanja določenega informacijskega sistema), med te storitev pa neizogibno v določenih primerih na podlagi vašega opisa sodi tudi obdelava osebnih podatkov, saj med obdelavo štejemo tudi dostop do osebnih podatkov  (npr. podatkov, ki so potrebni za obračun plačen konkretnih zaposlenih, dostop do personalnih map ipd.). Samo dejstvo, da je vaš dostop do podatkov pri stranki vezan na zahtevo stranke in da dostopate samo do potrebnih podatkov ni sporen in je stvar dogovora med vami in stranko, a še ne pomeni, da ne gre za pogodbeno obdelavo osebnih podatkov.

Stranke vas najemajo, da za njih podpirate delovanje določene programske opreme, s katero se obdelujejo osebni podatki v zbirkah vaših strank, v njihovem imenu in za njihov račun, zato vam poverijo obdelavo osebnih podatkov, četudi ta obdelava ne poteka stalno in samo na njihovo zahtevo.

 

Glede na navedeno ste po mnenju IP obdelovalec in morate z vašimi strankami, ki nastopajo v vlogi upravljavcev osebnih podatkov, skleniti pogodbe o obdelavi osebnih podatkov, ki ustrezajo zahtevam iz člena 28 Splošne uredbe.

 

Navedeno pa še ne pomeni, da morate vaše stranke obveščati o vsakem novozaposlenem pri vas niti da morajo vaše stranke to odobriti, saj Splošna uredba tega ne zahteva (člen 28 Splošne uredbe). Stranke bi morale odobriti morebitne podobdelovalce (torej primarno druga podjetja, ki bi delala za vas in imela stik  osebnimi podatki iz zbirk stranke, »podizvajalce«), vaših zaposlenih pa se ne šteje za podobdelovalce.

 

Več informacij o pogodbeni obdelavi osebnih podatkov lahko najdete v naših smernicah:

 

https://www.ip-rs.si/publikacije/prirocniki-in-smernice/smernice-o-pogodbeni-obdelavi/

 

 

S spoštovanjem,

 

 

Mojca Prelesnik, univ. dipl. prav.,

Informacijska pooblaščenka

 

 

Pripravil:                                                                                                                                

mag. Andrej Tomšič,
namestnik informacijske pooblaščenke