Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Iskalnik po mnenjih GDPR

+ -
Datum: 11.03.2020
Naslov: Obdelava osebnih podatkov, oblačna hramba in prenosi
Številka: 07121-1/2020/265
Vsebina: Moderne tehnologije, Pogodbena obdelava podatkov, Pravne podlage, Prenos osebnih podatkov v tretje države ali mednarodne organizacije, Zavarovanje osebnih podatkov
Pravni akt: Mnenje

Informacijski pooblaščenec (v nadaljevanju IP) je po pošti prejel vaš dopis, v katerem pojasnjujete, da v zvezi z vašim »IoT« izdelkom uporabljate storitve določenega podjetja za pametno povezovanje vašega izdelka z oblačnimi storitvami, to podjetje pa nato hrani vse podatke na Google Cloud. Zanima vas sledeče:

  1. kdo je upravljavec in kdo obdelovalec;
  2. ali morate z navedenim podjetjem ali Googlom skleniti pogodbo v skladu s Splošno uredbo;
  3. ali gre v konkretnem primeru za prenos podatkov v tretje države in ali potrebujete za to dovoljenje IP ali je dovolj že dovoljenje uporabnika za prenos;
  4. ali ste dolžni posameznike obvestiti, da se podatki shranjujejo na Google Cloud;
  5. ali ste dolžni hraniti privolitve posameznikov vi ali kateri drug subjekt in v kakšni obliki.

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju na podlagi 58. člena Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba), 7. točke prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07, uradno prečiščeno besedilo, v nadaljevanju ZVOP-1) ter 2. člena Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.

 

K 1. vprašanju

 

Upravljavec“ pomeni fizično ali pravno osebo, javni organ, agencijo ali drugo telo, ki samo ali skupaj z drugimi določa namene in sredstva obdelave (točka 7 člena 4 Splošne uredbe). „Obdelovalec“ pomeni fizično ali pravno osebo, javni organ, agencijo ali drugo telo, ki obdeluje osebne podatke v imenu upravljavca (točka 8 člena 4 Splošne uredbe). Obdelovalec je torej tisti subjekt, ki po naročilu določenega upravljavca osebnih podatkov in v skladu z njegovimi zahtevami za določeno nalogo oziroma namen zanj obdelujejo osebne podatke posameznikov.

 

Pri določanju, kdo je upravljavec in kdo obdelovalec osebnih podatkov, je ključno, kakšna je vloga določenega subjekta pri pridobivanju podatkov, izvrševanju pravic do vpogleda, brisanja podatkov posameznikov, nabora osebnih podatkov, določanja namenov in sredstev obdelave, dejanskega dostopa do baze osebnih podatkov, ki se obdelujejo ipd. Če ima subjekt dostop do osebnih podatkov, ki se obdelujejo, določa namene in sredstva obdelave ter izvršuje pravice uporabnikov, potem ima odgovornosti upravljavca osebnih podatkov in ne le pogodbenega obdelovalca. Kadar o namenih in sredstvih obdelave odloča več entitet, lahko govorimo tudi o več upravljavcih oziroma o skupnem upravljavcu. Obdelovalec pa pravzaprav le izvaja določene naloge v imenu in na račun upravljavca, ki bi jih drugače izvajal sam upravljavec osebnih podatkov, pa se je ta odločil, da za to pooblasti pogodbenega partnerja.

 

IP sicer v okviru neobvezujočega mnenja ne more podati konkretne ocene glede vlog v opisanem primeru, ne glede na to pa gre na podlagi vašega dopisa sklepati, da vaše podjetje nastopa kot upravljavec osebnih podatkov, saj samo določa namene in sredstva zbiranja podatkov s pomočjo »pametnega« izdelka. Podjetje, ki nudi storitev povezovanja podatkov, bi lahko nastopalo kot obdelovalec podatkov, v kolikor izvaja naloge le v imenu upravljavca in po njegovem naročilu. Podobno gre sklepati za Google Cloud, ki ponuja oblačne storitve, ta glede na opisano dejansko stanje najverjetneje predstavlja podobdelovalca osebnih podatkov (gre za obdelovalca, ki mu drugi obdelovalec poveri določene naloge v zvezi z obdelavo osebnih podatkov). Vsekakor pa ste dokončno oceno, glede na zgornjo razlago, dolžni opraviti sami.

 

K 2. Vprašanju

Člen 28 določa, da morata upravljavec in obdelovalec skleniti pogodbo, v kateri določita obveznosti obdelovalca do upravljavca, vsebino in trajanje obdelave, naravo in namen obdelave, vrste osebnih podatkov, kategorije posameznikov, na katere se nanašajo osebni podatki, ter obveznosti in pravice upravljavca. Člen določa obvezne klavzule, ki jih mora takšna pogodba o obdelavi vsebovati. Več o pogodbeni obdelavi in o obveznih klavzulah pogodbe o obdelavi si lahko preberete v Smernicah IP o (pogodbeni) obdelavi osebnih podatkov:

https://www.ip-rs.si/fileadmin/user_upload/Pdf/smernice/Smernice_o_pogodbeni_obdelavi_web.pdf.

 

Navedeni člen tudi določa, da obdelovalec ne sme zaposliti drugega obdelovalca (oz. podobdelovalca) brez predhodnega posebnega ali splošnega pisnega dovoljenja upravljavca. V primeru splošnega pisnega dovoljenja obdelovalec upravljavca obvesti o vseh nameravanih spremembah glede zaposlitve dodatnih obdelovalcev ali njihove zamenjave, s čimer se upravljavcu omogoči, da nasprotuje tem spremembam.

 

Kadar obdelovalec zadolži drugega obdelovalca za izvajanje specifičnih dejavnosti obdelave v imenu upravljavca, za tega drugega obdelovalca veljajo enake obveznosti varstva podatkov, kot so določene v pogodbi med upravljavcem in obdelovalcem, zlasti za zagotovitev zadostnih jamstev za izvajanje ustreznih tehničnih in organizacijskih ukrepov na tak način, da bo obdelava izpolnjevala zahteve iz te uredbe. Kadar ta drugi obdelovalec ne izpolni obveznosti varstva podatkov, prvi obdelovalec še naprej v celoti odgovarja upravljavcu za izpolnjevanje obveznosti drugega obdelovalca (člen 28(4) Splošne uredbe).

 

K 3. vprašanju

IP pojasnjuje, da področje prenosov osebnih podatkov v tretje države sedaj ureja V. poglavje Splošne uredbe, ureditev iz ZVOP-1 pa ni več v veljavi.

 

V zvezi s prenosi osebnih podatkov v tretje države vas napotujemo na smernice IP o tem:

 

Napotujemo vas tudi na našo spletno stran, kjer je ureditev v zvezi s prenosi predstavljena na krajši način:

 

Glede vprašanja, ali pride s hrambo podatkov na platformi Google Cloud do prenosa v tretjo državo, vas IP napotuje, da si preberete od podjetja Splošne pogoje poslovanja (»Google Cloud Terms«) in Izjavo o zasebnosti (»Privacy Notice«). Najverjetneje pa v konkretnem primeru gre za prenos podatkov v tretje države, saj gre za ameriško podjetje, poleg tega ima Google navadno strežnike po različnih državah po svetu. Kakor izhaja iz naših smernic, se osebnih podatki lahko prenašajo na podlagi člena 45, torej sklepa o ustreznosti za določeno državo. Takšen sklep je bil sprejet za ZDA, in sicer gre za tako imenovani sporazum EU-ZDA Zasebnostni ščit, v skladu s katerim se podjetje po določenih pravilih samocertificirajo in se nato uvrstijo na seznam podjetij, v katere se lahko prenaša osebne podatke iz EU po členu 45 (https://www.privacyshield.gov/list).

 

Po mnenju IP soglasje posameznikov v konkretnem primeru ne more biti ustrezna podlaga za prenos podatkov v tretje države (to je mogoče zgolj pod strogimi pogoji kot je to urejeno v členu 49 Splošne uredbe). IP tudi meni, da v konkretnem primeru najverjetneje ne potrebujete odločbe IP za prenos podatkov, namreč kakor smo že pojasnili, se je zakonodaja na tem področju spremenila (glede tega, kdaj je potrebna odločba IP pri prenosih, si preberite na str. 9 smernic o prenosih osebnih podatkov v tretje države). V vsakem primeru pa morate zagotoviti, da se podatki obdelujejo (npr. prenašajo v druge države) zakonito, saj ste v skladu z načelom odgovornosti kot upravljavec osebnih podatkov dolžni biti sposobni izkazati, da se podatki obdelujejo na zakonit, pošten in pregleden način. Kakor je že pojasnjeno zgoraj, vam svetujemo, da si preberete pogodbene pogoje Googlove platforme ter se s svojimi vprašanji obrnete na obdelovalca osebnih podatkov.

 

IP iz previdnost glede na vaš dopis še dodatno pojasnjuje, da morate razlikovati med pravno podlago za obdelavo osebnih podatkov (te podrobno določa člen 6(1) Splošne uredbe, npr. za namen izvajanja pogodbe, privolitev posameznika v obdelavo, zakonska določba) ter podlago za prenos podatkov v tretje države (te pa ureja V. poglavje Splošne uredbe). Gre za dve povsem različni stvari.

 

K 4. vprašanju

Člen 13 in 14 nalagata upravljavcem osebnih podatkov, da posameznikom podajo določene informacije v zvezi z obdelavo osebnih podatkov. Več o obveznosti si lahko preberete na naši spletni strani: https://upravljavec.si/obvescanje-posameznikov/. V skladu s točko (e) člena 13(1) Splošne uredbe je upravljavec dolžan navesti tudi uporabnike ali kategorije uporabnikov osebnih podatkov (med uporabnike sodijo tudi obdelovalci in pododelovalci osebnih podatkov).

 

K 5. vprašanju

Upravljavec osebnih podatkov mora biti sposoben izkazati, da so osebni podatki obdelani na zakonit in pregleden način (člen 5(2) Splošne uredbe). To pomeni, da v kolikor obdelujete osebne podatke posameznikov na podlagi njihove privolitve, morate biti sposobni izkazati, da so vam slednji podali veljavno privolitev. V kakšni obliki bi hranili privolitev posameznikov je na upravljavcu, vsekakor pa je smiselno, da se hrani v tisti obliki kot je bila primarno tudi dana.

 

Dolžnost zagotovitve ustrezne pravne podlage skladno s členom 6(1) Splošne uredbe je dolžnost upravljavca, ne pa obdelovalca.

 

V upanju, da ste dobili odgovore na svoja vprašanja, vas lepo pozdravljamo.

 

 

                                                                                               Mojca Prelesnik, univ.dipl.prav.,                                                  

                                                                                               informacijska pooblaščenka

 

Pripravila:                                                                                                                              

Neja Domnik, mag. prav.,

asistentka svetovalca pri IP