Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Iskalnik po mnenjih GDPR

+ -
Datum: 21.02.2019
Naslov: Prehod na Microsoft Office 365
Številka: 0712-1/2019/166
Vsebina: Moderne tehnologije, Prenos osebnih podatkov v tretje države ali mednarodne organizacije
Pravni akt: Mnenje

Informacijski pooblaščenec (v nadaljevanju IP) je po elektronski pošti prejel vaš dopis v katerem navajate, da želi vaše podjetje opraviti prehod na oblačno storitev Office 365. Zanima vas skladnost z zahtevami Splošne uredbe o varstvu podatkov.

 

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju na podlagi 58. člena Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba o varstvu podatkov oz. Uredba), 7. točke prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07, uradno prečiščeno besedilo, v nadaljevanju ZVOP-1) ter 2. člena Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.

 

Pred prehodom na omenjeno storitev, je potrebno predelati tri področja, ki izhajajo iz varstva osebnih podatkov.

 

Prvo področje je pogodbena obdelava. Splošna uredba o varstvu podatkov (Uredba (EU) 2016/679, v nadaljevanju Uredba) v 28. členu določa pogoje glede ureditve pogodbene obdelave. Zunanji ponudnik oblačnih storitev namreč za upravljavca podatkov (v tem primeru vaše podjetje) predstavlja pogodbenega obdelovalca.

 

Kadar se obdelava izvaja v imenu upravljavca, naj ta sodeluje zgolj z obdelovalci, ki zagotavljajo zadostna jamstva za izvedbo ustreznih tehničnih in organizacijskih ukrepov na tak način, da obdelava izpolnjuje zahteve iz Uredbe, ter zagotavlja varstvo pravic posameznika, na katerega se nanašajo podatki.

 

Obdelavo s strani obdelovalca mora urejati pogodba ali drug pravni akt v skladu z Uredbo, ki določa obveznosti obdelovalca do upravljavca, v katerem so določeni vsebina in trajanje obdelave, narava in namen obdelave, vrsta osebnih podatkov, kategorije posameznikov na katere se nanašajo osebni podatki, ter obveznosti in pravice upravljavca.

 

Namesto pogodbe je načeloma dovolj tudi sprejetje splošni pogojev uporabe, vendar mora biti iz teh pogojev razvidno, da pogodbeni obdelovalec podatkov ne bo obdeloval za druge namene, oz. bo zadovoljil zahteve iz 28. člena Uredbe.

 

Drugo področje so posebne vrste osebnih podatkov. Kljub temu, da iz vašega dopisa ni mogoče razbrati, ali se bodo obdelovale posebne vrste osebnih podatkov, je potrebno opozoriti, da je pri prenosu le teh prek telekomunikacijskih omrežji potrebno upoštevati zahteve ZVOP-1 in Uredbe, ki določajo, da morajo biti občutljivi podatki pri prenosu ustrezno zavarovani. Pri pošiljanju občutljivih podatkov po elektronski pošti, ali storitvah, ki ne omogočajo varne povezave, IP dopušča, da se občutljivi podatki zavarujejo na način, da dokumente ali mape dodatno šifrirate in zavarujete s posebnih geslom za odpiranje (navedeno omogoča npr. brezplačna programska oprema 7zip).

 

Tretje področje je iznos podatkov v tretje države. Glede na to, da gre pri teh storitvah za iznos podatkov iz EU v ZDA, je potrebna previdnost. Uredba v primeru iznosa osebnih podatkov v tretje države zahteva dodatne obveznosti, v kolikor obdelovalec ni vključen v sporazum »Privacy Shield«. Seznam podjetji si lahko ogledate na spletni strani (https://www.privacyshield.gov/list). Podjetje Microsoft je vključeno v sporazum, zato dodatne zahteve niso predvidene.

 

IP v okviru nezavezujočih mnenj ne more zavzeti dokončnega stališča o tem ali je pogodbena obdelava osebnih podatkov, ki jo izvaja podjetje, kot je Microsoft, v posameznih primerih, vedno  in v celoti skladna z zahtevami ZVOP-1 in Uredbe. Takšne presoja je prepuščena upravljavcu, da to pretehta sam glede na vse okoliščine konkretnega primera.

 

 

 

Lep pozdrav,

 

 

                                                                                               Mojca Prelesnik, univ.dipl.prav.,                                                 

                                                                                               Informacijska pooblaščenka

 

 

Pripravil:                                                                                                                                

Darko Mohar,

Projektni sodelavec