Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Iskalnik po mnenjih GDPR

+ -
Datum: 29.11.2019
Naslov: Zahteva upravljavca po pridobitvi potrdil o nekaznovanosti zaposlenih pri pogodbenemu obdelovalcu
Številka: 0712-1/2019/2751
Vsebina: Delovna razmerja, Pogodbena obdelava podatkov, Zavarovanje osebnih podatkov
Pravni akt: Mnenje

Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaš dopis, v katerem nas prosite za mnenje glede glede sorazmernosti ukrepa, da od vašega pogodbenega obdelovalca osebnih podatkov (skrbniki/vzdrževalci vaših strežnikov) zahtevate, da vam za vsakega njihovega zaposlenega, ki dostopa do osebnih podatkov zaposlenih vseh družb vaše skupine, med drugim tudi do občutljivih osebnih podatkov zaposlenih (pogodbeni obdelovalec bo imel tudi zunanji dostop do strežnikov), kot tudi vseh njenih naročnikov, posredujejo potrdilo o nekaznovanosti za kazniva dejanja ter prekrške oz. potrdilo, da trenutno niso v kazenskem postopku. Pojasnili ste, da vas kot družbo, ki se ukvarja tudi z dejavnostjo zasebnega varovanja zavezujejo tudi stroga določila Zakona o zasebnem varovanju, predvsem 14. člen (varovanje podatkov), 15. člen (odgovornost za škodo in zavarovanje odgovornosti) in 16. člen (varnostni zadržki – varnostno osebje in povezane osebe morajo biti varnostno preverjeni in ne smejo imeti varnostnih zadržkov). Navajate, da ima v skladu z 39. členom Zakona o gospodarskih družbah ter Zakonom o poslovni skrivnosti omenjeni pogodbeni obdelovalec v obdelavi podatke, ki jih kot družba uvrščate v skupino občutljivih podatkov (kritična infrastruktura v obliki IT sistema celotne družbe) in podatkov, ki predstavljajo visoko stopnjo varnostnega tveganja v odgovornosti do poslovanja družbe ter do strank.


Rezultati ocene učinka kažejo, da je nujno potrebno področje pogodbene obdelave z zunanjim podjetjem varnostno oz. preventivno urediti na takšen način in pojasnjujete, da bi s tem kot odgovorni upravljavec čim več, da do zlorab ne bo prišlo ter bo lahko vaše pogodbeno sodelovanje potekalo z zmanjšano verjetnostjo varnostnih incidentov oz. kršitev varnosti osebnih podatkov.

 

Vaš pogodbeni obdelovalec je mnenja, da je vaša zahteva nesorazmerna in pretirana, zato nas sprašujete, če bo tudi naše mnenje, da je tovrstna zahteva nesorazmerna, ali se boste s sklenitvijo pogodbe o obdelavi osebnih podatkov dovolj zaščitili glede obdelave naših podatkov s strani zunanjih pogodbenih obdelovalcev?


Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju na podlagi 58. člena Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba), 7. točke prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07, uradno prečiščeno besedilo, v nadaljevanju ZVOP-1) ter 2. člena Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.

 

IP uvodoma pojasnjuje, da na vaše vprašanje, ali se boste s podpisom pogodbe dovolj zaščitili ali ne, ne glede na to, ali bi pridobili potrdila o nekaznovanosti ali, ne moremo odgovoriti, saj na moremo prevzeti odgovornosti za varnost podatkov namesto vas; nenazadnje lahko do zlorab osebnih podatkov pride tudi v primeru pridobitve potrdil. Člen 32 Splošne uredbe namreč določa, da je odgovornost upravljavca, da ob upoštevanju najnovejšega tehnološkega razvoja in stroškov izvajanja ter narave, obsega, okoliščin in namenov obdelave, pa tudi tveganj za pravice in svoboščine posameznikov, ki se razlikujejo po verjetnosti in resnosti, upravljavec in obdelovalec z izvajanjem ustreznih tehničnih in organizacijskimi ukrepov zagotovita ustrezno raven varnosti glede na tveganje.

 

 

IP je v preteklih mnenjih zavzel stališče, da je delodajalec v primeru, ko so izpolnjeni pogoji iz 46. člena ZDR, torej če je to določeno z zakonom ali če je to potrebno zaradi uresničevanja pravic in obveznosti iz delovnega razmerja ali v zvezi z delovnim razmerjem, od kandidatov za zaposlitev lahko zahteva predložitev potrdila o nekaznovanosti. Potrdilo o nekaznovanosti lahko gospodarska družba za tista delovna mesta, za katera je to utemeljeno zaradi narave dela, pridobi v skladu z navedenim členom ZDR, torej ima za pridobitev konkretnega osebnega podatka podlago v zakonu, kar je v skladu z določbami Splošne uredbe. Potrdilo o nekaznovanosti se mora nanašati na nekaznovanost za kazniva dejanja s področja varstva premoženja oziroma informacij. Pridobivanje splošnih potrdil o nekaznovanosti (tudi za kazniva dejanja, ki niso v nikakršni zvezi z objekti varstva pri delodajalcu) bi bilo prekomerno. Predložitev potrdila tako lahko zahteva od tistih delavcev, ki delajo na delovnih mestih, na katerih po izvedenih ocenah obstaja večje tveganje za ogrožanje varovanih dobrin (premoženja delodajalca) - in ne za vse zaposlene.

 

Navedeno je primerno smiselno uporabiti tudi, ko gre za zaposlene pri (pogodbenemu) obdelovalcu, ob tem pa dodajamo še naslednje.

 

Upravljavec je samostojen v odločitvi, ali bo določene obdelave izvajal sam ali pa jih bo poveril zunanjim izvajalcem (obdelovalcem) ter pod kakšnimi pogoji; pri tem ga kot obvezni zavezujejo pogoji iz člena 28, če bi se odločil poveriti obdelavo osebnih podatkov zunanjemu obdelovalcu. Pogoja, da bi morali vsi upravljavci pridobiti potrdila o nekaznovanosti zaposlenih pri obdelovalcih – ali pa obratno, da to ni potrebno – Splošna uredba ne vsebuje, temveč je to prepuščeno odločitvi upravljavca. Kolikor meni, da je glede na ocenjena tveganja v konkretnem primeru to potrebno, temu kot nadzorni organ ne moremo oporekati in je to stvar dogovora med upravljavcem in obdelovalcem.

 

Navedeno smiselno velja za katerikoli (seveda zakonito dopusten) tehnični ali organizacijski ukrep glede varnosti, ki bi ga zahteval upravljavec od pogodbenega obdelovalca, npr. razpolaganje z certifikati, ki izkazujejo usposobljenost osebja, vodenje določenih zapisnikov. Z drugimi besedami, obdelovalec ne more oporekati določenim varnostnim postopkom in ukrepom, ki jih od njega zahteva upravljavec, dokler so seveda zakoniti (zahteva po pridobitvi dokazil o nekaznovanosti s tega vidika ni nezakonita), seveda pa tudi ni zavezan pristati k nudenju svojih storitev pod vsakimi pogoji, kakor jih tudi vi niste dolžni sprejeti, zato je zadevno vprašanje stvar dogovora med vami in upravljavcem.

 

S spoštovanjem,

 

 

Mojca Prelesnik, univ. dipl. prav.,

Informacijska pooblaščenka

 

 

Pripravil:                                                                                                                                

mag. Andrej Tomšič,
namestnik informacijske pooblaščenke