Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Iskalnik po mnenjih GDPR

+ -
Datum: 09.01.2020
Naslov: Razmerje občina - koncesionar
Številka: 0712-1/2019/2995
Vsebina: Občine, Pogodbena obdelava podatkov
Pravni akt: Mnenje

Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaše zaprosilo za mnenje glede razmerja med občino (koncedentom) in koncesionarjem, in sicer vas zanima, ali ima koncesionar vlogo upravljavca ali pogodbenega obdelovalca?

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba o varstvu podatkov), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju: ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju: ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.

 

IP uvodoma pojasnjuje, da v skladu s 4. členom Splošne uredbe o varstvu podatkov pojem »upravljavec« pomeni fizično ali pravno osebo, javni organ, agencijo ali drugo telo, ki samo ali skupaj z drugimi določa namene in sredstva obdelave, pojem »obdelovalec« pa pomeni fizično ali pravno osebo, javni organ, agencijo ali drugo telo, ki obdeluje osebne podatke v imenu upravljavca.

 

Pogodbeni obdelovalci so tiste organizacije oziroma posamezniki, ki po naročilu določenega upravljavca osebnih podatkov in v skladu z njegovimi zahtevami za določeno nalogo oz. namen zanj obdelujejo osebne podatke posameznikov. IP poudarja, da je bistvenega pomena dejstvo, da lahko obdelovalec osebne podatke obdeluje zgolj za namene, za katere ga je pooblastil upravljavec in torej osebnih podatkov ne obdeluje za lastne namene. V vlogi obdelovalca bo tako nastopala tista pravna oziroma fizična oseba, ki bo obdelavo osebnih podatkov izvrševala izključno v imenu in za račun upravljavca osebnih podatkov, bo pri tem črpala podlago za obdelavo osebnih podatkov iz upravičenj upravljavca ter bo v zvezi s samimi dejanji obdelave vezana na navodila upravljavca.

 

Za določitev medsebojnega razmerja so torej bistvene vloge posameznih subjektov pri pridobivanju podatkov, določanju namenov in sredstev obdelave ter izvrševanju pravic posameznikov, katerih podatki se obdelujejo. Za razlikovanje med upravljavcem in obdelovalcem osebnih podatkov je tako ključno, da je obdelovalec samostojna, od upravljavca ločena pravna entiteta, in da osebne podatke vselej obdeluje le v imenu in za račun upravljavca. Gre torej za primere, ko upravljavec, ki bi posamezne aktivnosti v zvezi z osebnimi podatki lahko izvedel sam, sprejme odločitev, da jih bo iz različnih razlogov zaupal obdelovalcu. Ker slednji dela v imenu in za račun upravljavca, je eden pomembnih elementov razmerja med njima tudi nadzor upravljavca nad obdelavo osebnih podatkov, ki jo zanj izvaja obdelovalec.

 

IP poudarja, da v okviru mnenja ne more presojati ustreznosti določene rešitve z vidika skladnosti z obstoječimi predpisi. Presojo o ustreznosti lahko izvede le v okviru konkretnega inšpekcijskega ali upravnega postopka. Presoja glede zakonitosti obdelave oziroma obstoja pravne podlage za posamezno obdelavo je na vsakem upravljavcu (oz. obdelovalcu) posebej. IP sicer meni, da zgoraj navedeni pogoji v primeru, ki ga navajate v vašem zaprosilu, po vsej verjetnosti niso izpolnjeni in koncesionar nastopa kot samostojni upravljavec osebnih podatkov, zato tudi ne obstaja obveznost oziroma potreba po sklenitvi pogodbe ali drugega akta o obdelavi osebnih podatkov iz 28. člena Splošne uredbe o varstvu podatkov. Koncesionar namreč predvsem ne obdeluje osebnih podatkov v imenu občine in za njen račun, ampak v svojem imenu in za svoj račun kot samostojni pravni subjekt. Kot tak samostojno opravlja dejavnosti, ki so mu bile zaupane s koncesijsko pogodbo, ter v tej pogodbi določenem obsegu. Teh dejavnosti pa v veliki večini primerov ne more opravljati brez obdelave osebnih podatkov uporabnikov njegovih storitev. V tem delu torej koncesionar po mnenju IP nastopa kot upravljavec osebnih podatkov uporabnikov njegovih storitev. IP priporoča, da se ob podelitvi koncesije oziroma sklenitvi pogodbe o koncesiji to tudi izrecno opredeli. 

 

Dejstvo, ali je koncesionar v javni ali zasebni lasti, po mnenju IP na samo presojo razmerja med občino in koncesionarjem glede obdelave osebnih podatkov nima vpliva.

 

Ob tem IP dodaja, da Zakon o lokalni samoupravi (ZLS; Uradni lis RS, št. 94/07 – uradno prečiščeno besedilo, 76/08, 79/09, 51/10, 40/12 – ZUJF, 14/15 – ZUUJFO, 11/18 – ZSPDSLS-1 in 30/18) v 61. členu določa, da občina zagotavlja opravljanje javnih služb, ki jih v skladu z zakonom določi s svojim splošnim aktom, in javnih služb, za katere je tako določeno z zakonom (lokalne javne službe). Opravljanje lokalnih javnih služb zagotavlja občina na več načinov, in sicer:

-        neposredno v okviru občinske uprave;

-        z ustanavljanjem javnih zavodov in javnih podjetij;

-        z dajanjem koncesij;

-        na drug način, določen v skladu z zakonom.

 

Koncesija je torej eden od načinov izvajanja javnih služb. Ob tem IP pojasnjuje, da mora občina, ki je dolžna zagotavljati opravljanje obvezne lokalne javne službe, koncesionarju, ki opravlja storitve v zvezi s to javno službo namesto nje, posredovati osebne podatke, ki so za to potrebni in primerni. Ob tem IP opozarja na načelo najmanjšega obsega podatkov, ki določa, da morajo biti pod pogojem, da obstaja pravna podlaga, osebni podatki, ki se obdelujejo, ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo. Navedeno načelo pomeni, da je potrebno obdelovati samo toliko osebnih podatkov, kolikor je nujno potrebno za dosego zakonitega namena obdelave (v konkretnem primeru torej opravljanje javne službe).

 

 

S spoštovanjem.

 

 

Pripravil:

Matej Sironič,                                                  

Svetovalec pooblaščenca za varstvo osebnih podatkov

 

 

Mojca Prelesnik, univ. dipl. prav.,

Informacijska pooblaščenka