Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Iskalnik po mnenjih GDPR

+ -
Datum: 10.12.2018
Naslov: Pogodbena obdelava
Številka: 0712-3/2018/2530
Vsebina: Pogodbena obdelava podatkov
Pravni akt: Mnenje

Obrnili ste se na Informacijskega pooblaščenca RS (v nadaljevanju IP), v katerem sprašujete:

  1. Ali detektiv šteje za vašega pogodbenega obdelovalca, ker za vas izvaja detektivske dejavnosti (predvsem preizkus alkoholiziranosti, nadzor nad bolniškim staležem).
  2. Ali izvajalec tečajev angleškega jezika in izvajalec izpitov angleškega jezika šteje za vašega pogodbenega obdelovalca. Pojasnjujete, da tečaje in izpite izvajate redno zaradi zahtev delovnega procesa.
  3. Kako je pa v primeru zavarovalnice? Za obdelavo osebnih podatkov bi šlo po vašem mnenju šele takrat, ko nastane škodni primer. Zanima vas, kdaj je primeren čas za sklenitev pogodbe o obdelavi osebnih podatkov – ali je to ob sklenitvi zavarovalne police (vendar takrat še ne veste, kateri podatki bodo posredovani na zavarovalnico) ali ob nastanku škodnega primera? Ali je pa mogoče tudi zavarovalnica upravljavec?
  4. Vaša družba je ustanoviteljica športnega društva, katerega člani ste lahko zaposleni. Športno društvo za identifikacijo članov (v športnih objektih, kjer ima društvo najete kapacitete in storitve) uporablja izkaznico, ki jo izda za vsakega člana posebej. Na izkaznici se med drugim nahaja tudi fotografija člana. Ker pa je dejavnost ustanoviteljice (družbe) takšna, da imate zaposleni izkaznice s fotografijo zaradi potreb delovnega procesa, se fotografije od družbe (upravljavec) prenesejo na športno društvo (upravljavec). Do sedaj je bil prenos fotografije urejen na način, da je vsak posameznik ob podpisu pristopne izjave v članstvo društva, podal tudi izjavo, da društvo lahko pridobi njegovo fotografijo od družbe (delodajalca). Zanima vas, če pravilno razumete, da mora privolitev za posredovanje fotografije iz evidence obdelave delodajalca na društvo, pridobiti družba, in ne društvo? In še, ali je privolitev v tem primeru ustrezna pravna podlaga za posredovanje podatkov, ali je primerneje kaj drugega?

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba o varstvu podatkov), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašimi vprašanji.

 

Ad. 1. 2. 3.

IP praviloma NE šteje da gre za pogodbeno obdelavo, če se obdelava izvaja na podlagi zakona, ki velja za upravljavca. IP tudi ne šteje, da gre za pogodbeno obdelavo osebnih podatkov, ko je obdelava sicer nujni del storitve, vendar pa naročnik ne naroči določene dejavnosti obdelave, temveč storitev kot tako. Ko detektiv izvaja dejavnosti na podlagi zakona (ZDD-1), po mnenju IP deluje kot samostojni upravljavec osebnih podatkov. Enako velja za izvajalca tujega jezika, kjer je obdelava osebnih podatkov zgolj »nujni del« storitve izobraževanja. Tudi zavarovalnica nastopa kot samostojni upravljavec, saj podatke svojih zavarovancev obdeluje na podlagi zakona. Ko ne gre za razmerje upravljavec-obdelovalec, posebna pogodba o obdelavi osebnih podatkov v smislu člena 28 Splošne Uredbe, ni potrebna.

 

Ad. 4

IP namesto društva ne more presojati o pravni podlagi za opisano obdelavo osebnih podatkov. Glede na podane informacije, pa lahko neobvezno pojasnimo, da ni videti, da bi prenos fotografije od delodajalca k športnemu društvu, ki je verjetno samostojen upravljavec,  lahko šteli kot obdelavo, ki je »potrebna za izvajanje pravic in obveznosti iz delovnega razmerja oziroma v zvezi z delovni razmerjem«. IP meni, da se posredovanje fotografije športnemu društvu s strani delodajalca morda lahko šteje za primer, kjer bi bila privolitev delavca lahko dopustna pravna podlaga za posredovanje fotografije. Na drugi strani pa bi morda lahko športno društvo v svojih aktih predpisalo način pridobivanja in uporabe fotografije članov za članske izkaznice, iz česar bi lahko posledično izhajala ustrezna pravna podlaga za obdelavo osebnih podatkov. Končna presoja in odločitev pa je odgovornost društva.

 

O b r a z l o ž i t e v:

 

 

Ad. 1, 2, 3

 

Obdelovalci so tiste organizacije oziroma posamezniki, ki v imenu in po naročilu določenega upravljavca osebnih podatkov (stranka,  naročnik,  druga organizacija, podjetje, tudi organ iz javnega sektorja) in v skladu z njegovimi zahtevami za določeno nalogo oziroma namen zanj obdelujejo osebne podatke posameznikov. Pri tem IP poudarja, da gre pri pogodbeni obdelavi za prenos posamezne dejavnosti obdelave osebnih podatkov in ne za status subjekta kot takega (obdelovalec/upravljavec). Glede na navedeno je treba tehtati vse okoliščine konkretne obdelave, kdaj gre za obdelavo osebnih podatkov v imenu naročnika. Praviloma IP ne šteje za pogodbeno obdelavo, če se obdelava izvaja na podlagi zakona, ki velja za upravljavca in ki opredeljuje njegovo dejavnost/storitev. Tak primer je lahko banka, revizijska hiša pri izvajanju zunanje revizije ali odvetnik. Naslednji primer, ko IP ne šteje, da gre za pogodbeno obdelavo osebnih podatkov je, ko je obdelava sicer nujni del storitve, vendar pa naročnik ne naroči določene dejavnosti obdelave, temveč storitev kot tako (primer je taksi služba). V teh primerih ponudniki storitve, nastopajo kot samostojni upravljavci osebnih podatkov in ne kot obdelovalci osebnih podatkov. Pravni temelj za obdelavo osebnih podatkov za zagotavljanje osnovnih storitev je v navedenih primerih običajno področna zakonodaja in ne pogodba o obdelavi osebnih podatkov.

 

V primeru detektivske dejavnosti, IP ugotavlja, da Zakon o detektivski dejavnosti (Uradni list RS, št. 17/11; v nadaljevanju ZDD-1) daje podlago detektivom za izvajanje detektivskih dejavnosti. ZDD-1 v zadnji alineji drugega odstavka 26. člena določa, da detektiv pridobiva informacije tudi o zlorabah pravice do zadržanosti z dela zaradi bolezni ali poškodbe, zlorabah uveljavljanja pravice do povračila stroškov prevoza na delo in z dela, dela pod vplivom alkohola ali prepovedanih drog ter o drugih disciplinskih kršitvah in kršilcih. Po drugem odstavku 27. člena ZDD-1 detektiv lahko opravlja storitve za naročnika samo v okviru dejavnosti, določenih v tem ali drugem zakonu. ZDD-1 predpisuje tudi nekatere dolžnosti, upravičenja in prepovedi za detektive pri izvajanju njihove dejavnosti. Glede na opredeljeno po mnenju IP ZDD-1 opredeljuje, pod kakšnimi pogoji je dopusten poseg v zasebnost in varstvo osebnih podatkov posameznikov s strani detektivov. Zakon daje tudi specifična upravičenja in s tem tudi pravno podlago za obdelavo osebnih podatkov. Temeljni namen pogodbe o obdelavi osebnih podatkov je v oblikovanju pravne podlage za obdelovalca, da lahko izvaja upravičenja upravljavca. Ker pa detektiv obdeluje osebne podatke na samostojnem pravnem temelju (ZDD-1, v povezavi s točko (c) prvega odstavka člena 6 Splošne uredbe) za obdelavo ne potrebuje temelja v pogodbi po členu 28 Splošne uredbe. Glede na navedeno IP meni, da detektiv za naročnika praviloma obdeluje osebne podatke kot upravljavec zbirk osebnih podatkov

 

Podobno IP meni tudi glede izvajalca tečaja angleškega jezika, kjer njegova temeljna dejavnost ni obdelava osebnih podatkov za naročnika, temveč nudenje izobraževalnih storitev. Obdelava osebnih podatkov za zagotovitev naročene storitve je v določeni meri nujna za izvedbo osnovne storitve. Podlaga za obdelavo osebnih podatkov za izvajalca tečaja tako ni pogodba o pogodbeni obdelavi osebnih podatkov, temveč zakoniti interesi izvajalca ali pogodba s posameznikom v zvezi z nudenjem storitve izobraževanja (člen 6 (1) b ali f Splošne uredbe). Ker je navedena pravna podlaga povezana s tehtanjem upravičenega posega v pričakovano zasebnost, mora izvajalec tečaja pri tem paziti, da obdeluje podatke le v tisti meri, ki je potrebna za izvedbo tečaja in ne na način, ki ni združljiv z namenom, za katerega je podatke prejel. Delodajalec pa podatke svojih zaposlenih izvajalcu tečaja pošlje na podlagi 48. člena Zakona o delovnih razmerjih (Uradni list RS, št. 21/13, 78/13 – popr., 47/15 – ZZSDT, 33/16 – PZ-F, 52/16 in 15/17 – odl. US; v nadaljevanju ZDR-1), ki določa, da lahko delodajalec podatke svojih zaposlenih posreduje tretji osebi tudi, če je to potrebno zaradi uresničevanja pravic in obveznosti iz delovnega razmerja ali v zvezi z delovnim razmerjem.

 

Podobno velja tudi za zavarovalnice. Slednje namreč nastopajo kot upravljavci osebnih podatkov, saj podatke obdelujejo na podlagi zakona. Čeprav je zavarovalna pogodba sklenjena med zavarovalnico in delodajalcem glede zavarovanja zaposlenih, to ne vpliva na pogodbeno razmerje glede obdelave osebnih podatkov. Zavarovalnica obdeluje osebne podatke kot samostojni upravljavec na podlagi področnih predpisov. Delodajalec, pa obdeluje osebne podatke svojih zaposlenih (tudi) v zvezi z zavarovalno pogodbo v zvezi z delovnim razmerjem na podlagi 48. člena ZDR-1. Ker torej zavarovalnica in delodajalec nastopata kot samostojna upravljavca, ne gre za razmerje upravljavec-obdelovalec in posebna pogodba v smislu pogodbene obdelave osebnih podatkov ni potrebna. 

 

Ad. 4

 

Glede posredovanja fotografije zaposlenega športnemu društvu, komur se zaposleni lahko prostovoljno pridružijo, IP pojasnjuje, da morata oba upravljavca (delodajalec in športno društvo) zagotoviti svojo pravno podlago za obdelavo osebnih podatkov. Podlaga za obdelavo osebnih podatkov, ki jo daje 48. člen ZDR-1, po mnenju IP ne zagotavlja ustrezne pravne podlage delodajalcu, da drugemu subjektu (torej športnemu društvu) posreduje fotografijo zaposlenega. Privolitev kot pravna podlaga je delovnih razmerjih sicer dopustna zgolj izjemoma, kadar delavec zaradi podaje privolitve ne more zapasti v slabši položaj. IP meni, da se posredovanje fotografije športnemu društvu s strani delodajalca lahko šteje za tak primer, kjer bi bila privolitev delavca lahko dopustna pravna podlaga za obdelavo osebnih podatkov. Kljub navedenemu pa IP opozarja, da v mnenju ne more podati dokončnega odgovora glede zakonitosti podlage za obdelavo osebnih podatkov, saj je ta odvisna od vseh okoliščin konkretnega primera, ki se jih lahko presoja le v okviru inšpekcijskega postopka.

 

Glede pravnih podlag za obdelavo osebnih podatkov s strani društva, pa je IP sprejel načelno mnenje, da obdelava osebnih podatkov članov društva poteka na podlagi člena 6(1) (b), saj se po mnenju IP članstvo v društvu lahko šteje za sklenitev pogodbe, pri čemer akti delovanja društva opredeljujejo »pogodbeno razmerje« in s tem tudi določajo, katera obdelava je potrebna za izvajanje pogodbe. Če torej društvo uporablja članske izkaznice s fotografijami, je po mnenju IP primerno, da društvo v svoj temeljni ali drug akt predpiše način pridobivanja in uporabe fotografije za naveden namen. Ko se obdelava osebnih podatkov članov šteje za skladno z zakonitimi dejavnostmi društva, ki so opredeljeni tudi v aktih društva, je podana tudi ustrezna pravna podlaga za obdelavo osebnih podatkov članov društva. O vseh namenih obdelave osebnih podatkov in drugih informacijah v zvezi z varstvom osebnih podatkov, pa morajo biti člani društva transparentno in jasno tudi seznanjeni (obveznosti po členi 12 - 14 Splošne uredbe).

 

Upamo, da smo vam s svojimi pojasnili uspeli pomagati.

 

Lep pozdrav,

 

 

Pripravil:
Anže Novak, univ. dipl. prav.

Asistent svetovalca IP

 

Mojca Prelesnik, univ. dipl. prav.,

Informacijska pooblaščenka