Informacijski pooblaščenec Republika Slovenija
    SLO | ENG
dekorativna slika

Iskalnik po mnenjih GDPR

+ -
Datum: 24.06.2020
Naslov: Mnenje glede vzdrževalcev strojne računalniške opreme in pogodbene obdelave osebnih podatkov
Številka: 07121-1/2020/1136
Vsebina: Pogodbena obdelava podatkov
Pravni akt: Mnenje

Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaše vprašanje in sicer vas zanima, ali se zunanji izvajalec - vzdrževalec strojne računalniške opreme, šteje za pogodbenega obdelovalca in je potrebno z njim skleniti pogodbo o obdelavi osebnih podatkov kot to predpisuje Splošna uredba o varstvu podatkov (GDPR)? Kot ste pojasnili gre za situacijo, ko organizacija sodeluje z zunanjim pogodbenim izvajalcem -  računalniškim podjetjem, ki za to organizacijo opravlja storitve vzdrževanje  računalniške opreme (predvsem strojne opreme - strežniki, računalniške enote,...) zaposlenih  in strežnikov organizacije, na katerih se hranijo osebni podatki zaposlenih, strank in drugih uporabnikov. Izvajalec v okviru opravljanja storitev za organizacijo opravlja redne mesečne preventivne preglede opreme, opravlja tehnično vzdrževanje, odpravlja motnje na računalniški opremi (cca. 50 posameznih storitev na leto). Izvajalec opravlja storitve na zahtevo organizacije oz. zaposlenih preko oddaljenega dostopa in fizično na sedežu organizacije. Izvajalec sicer osebnih podatkov sam ne iznaša, kopira ali hrani, zagotovo pa ima pri opravljanju storitev možnost dostopa in vpogleda v osebne podatke organizacije, ki se hranijo na strežniku ali posamezni opremi. Kot pojasnjujete posamezni izvajalci serviserji računalniške opreme pogosto ne pristajajo, da so pogodbeni obdelovalci organizacije, saj menijo, da ne obdelujejo osebnih podatkov ter tudi zavračajo sklenitev pogodbe o obdelavi osebnih podatkov  z obveznimi sestavinami, kot jo predpisuje Splošna uredba o varstvu podatkov (GDPR).

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju na podlagi 58. člena Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba), 7. točke prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07, uradno prečiščeno besedilo, v nadaljevanju ZVOP-1) ter 2. člena Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.

 

IP je na temo pogodbene obdelave izdal smernice, ki so dostopne na:

 

https://www.ip-rs.si/publikacije/prirocniki-in-smernice/smernice-o-pogodbeni-obdelavi/

 

Kot pojasnjujemo v smernicah, je pri ugotavljanju, ali gre za pogodbeno obdelavo treba presojati naslednje kriterije:

 

    • Ali subjekt lahko sam določa namen in sredstva obdelave osebnih podatkov?
    • Ali je upravljavec zbirke osebnih podatkov subjektu poveril v izvajanje opravila obdelave, ki bi jih sicer lahko izvajal upravljavec sam?
    • Kakšna je intenzivnost obdelave, vezanost na navodila in nadzor upravljavca nad dejanji subjekta?
    • Ali ima subjekt zakonska pooblastila oziroma pravno podlago, ki bi ga deloma ali v celoti postavila za upravljavca v zvezi z osebnimi podatki upravljavca?
    • Ali je primarni namen najema storitev subjekta katero od dejanj obdelave osebnih podatkov (npr. hramba) ali pa je obdelava osebnih podatkov zgolj posledica najetja storitve subjekta?

 

Vsaj te kriterije je vedno treba presojati skupaj. V vlogi obdelovalca bo nastopala tista pravna oziroma fizična oseba, ki bo obdelavo osebnih podatkov izvrševala: 1. izključno v imenu in za račun upravljavca osebnih podatkov, 2. bo pri tem črpala podlago za obdelavo osebnih podatkov iz upravičenj upravljavca ter 3. bo v zvezi s samimi dejanji obdelave vezana na navodila upravljavca.

 

V primeru vzdrževalcev strojne opreme – kolikor ta ne vključuje tudi dejanj, ki bolj očitno sodijo med obdelavo osebnih podatkov, kot je vzdrževanje podatkovnih baz, kar običajno ne sodi med vzdrževanje strojne opreme – se glede zgoraj navedenih kriterijev da sklepati, da ne gre za klasične (pogodbene) obdelovalce osebnih podatkov, temveč gre za zagotavljanje storitev, kjer bi sicer lahko prišlo do razkritja osebnih podatkov, ni pa to primarni namen storitve (kot bi npr. veljalo za varnostno kopiranje baz osebnih podatkov in podobno). V pretežnem delu se pri vzdrževanju strojne opreme izvajalci ne seznanijo z osebnimi podatki niti ni to njihov namen, seveda pa ni mogoče popolnoma izključiti, da bi se.

 

Glede na navedeno menimo, da (zgolj) vzdrževanje strojne opreme, praviloma ne sodi med pogodbeno obdelavo osebnih podatkov – sama možnost, da bi se izvajalec storitve seznanil, še ne pomeni, da gre za pogodbenega obdelovalca, temveč je kot rečeno treba vlogo izvajalca presojati skozi vse zgoraj navedene kriterije. Stranki lahko kljub temu podpišeta pogodbo, ki ima zahtevane elemente po členu 28 Splošne uredbe, vsekakor pa je nujno, da se stranka in izvajalec dogovorita glede vidikov varnosti podatkov, kar je lahko urejeno tudi v splošnih pogojih nudenja storitve, pogodbi oziroma v drugače urejenem civilno-pravnem razmerju.

 

 

S spoštovanjem,

 

 

 

Mojca Prelesnik, univ. dipl. prav.,

Informacijska pooblaščenka

 

Pripravil:                                                                                                                              

mag. Andrej Tomšič,
namestnik informacijske pooblaščenke