Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Iskalnik po mnenjih GDPR

+ -
Datum: 08.01.2019
Naslov: Pogodba o obdelavi OP
Številka: 0712-3/2018/2746
Vsebina: Delovna razmerja, Pogodbena obdelava podatkov
Pravni akt: Mnenje

Informacijski pooblaščenec (v nadaljevanju IP) je prejel vaš dopis, v katerem navajate, da ste s strani enega od zdravstvenih domov prejeli tipsko pogodbo za izvajanje zdravstvenega varstva pri delu. Navedli so, da gre za zavod, ki ima dovoljenje za izvajanje določene dejavnosti. Res pa gre za obdelavo posebnih podatkov, ki se obdelujejo v sklopu izvajanje te dejavnosti.

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju – Splošna uredba), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1 - v nadaljevanju ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 - v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem. IP v zvezi s tem poudarja, da izven postopka inšpekcijskega nadzora in upravnih postopkov konkretnih obdelav osebnih podatkov ne more presojati, zato ustreznosti posameznih določb pogodb ne komentira.

 

IP uvodoma pojasnjuje pomen osnovnih pojmov, in sicer »obdelava« (osebnih podatkov) pomeni vsako dejanje ali niz dejanj, ki se izvaja v zvezi z osebnimi podatki ali nizi osebnih podatkov z avtomatiziranimi sredstvi ali brez njih, kot je zbiranje, beleženje, urejanje, strukturiranje, shranjevanje, prilagajanje ali spreminjanje, priklic, vpogled, uporaba, razkritje s posredovanjem, razširjanje ali drugačno omogočanje dostopa, prilagajanje ali kombiniranje, omejevanje, izbris ali uničenje (drugi odstavek 4. člena Splošne uredbe, podobno tretji odstavek 6. člena ZVOP-1). »Upravljavec« pomeni fizično ali pravno osebo, javni organ, agencijo ali drugo telo, ki samo ali skupaj z drugimi določa namene in sredstva obdelave; kadar namene in sredstva obdelave določa pravo Unije ali pravo države članice, se lahko upravljavec ali posebna merila za njegovo imenovanje določijo s pravom Unije ali pravom države članice (sedmi odstavek 4. člena Splošne uredbe). »Obdelovalec« pa pomeni fizično ali pravno osebo, javni organ, agencijo ali drugo telo, ki obdeluje osebne podatke v imenu upravljavca (osmi odstavek 4. člena Splošne uredbe). »Skupni upravljavci« pomenijo
dva ali več upravljavcev, ki skupaj določijo namene in načine obdelave. Skupni upravljavci na pregleden način z medsebojnim dogovorom določijo dolžnosti vsakega od njih z namenom izpolnjevanja obveznosti v skladu s to uredbo, zlasti v zvezi z uresničevanjem pravic posameznika, na katerega se nanašajo osebni podatki, in nalogami vsakega od njih glede zagotavljanja informacij iz členov 13 in 14, razen če in kolikor so dolžnosti vsakega od upravljavcev določene s pravom EU ali pravom države članice, ki velja za upravljavce (prvi odstavek 26. člena Splošne uredbe).

 

Glede na zgornje definicije in razpoložljive informacije vam IP pojasnjuje, da iz Pogodbe o izvajanju zdravstvenega varstva pri delu, ki jo prilagate, ne izhaja, da bi šlo za pogodbeno obdelavo (posebnih) osebnih podatkov, ampak se z njo pogodbeni stranki dogovorita, da bo zdravstveni dom kot izvajalec medicine dela opravljal za naročnika zdravstvene ukrepe v zvezi z varnostjo in zdravjem pri delu v skladu z zakonom o varnosti in zdravju pri delu in podzakonskimi predpisi s tega področja. Kot že sami navajate, bo zdravstveni dom (posebne) osebne podatke obdeloval v sklopu izvajanje te dejavnosti. Glede obdelave (posebnih) osebnih podatkov v okviru izvajanja te dejavnosti bo zdravstveni dom najverjetneje sam nastopal v vlogi upravljavca. Zato v vašem primeru ne gre za pogodbeno obdelavo osebnih podatkov v smislu 28. člena Splošne uredbe in pogodba glede tega ni potrebna.

 

Za boljše razumevanje vam priporočamo, da si preberete mnenje v zvezi s tem, ki so ga izdali evropski nadzorni organi, ki je žal dostopno le v angleščini http://ec.europa.eu/justice/article-29/documentation/opinion-recommendation /files/2010/wp169_en.pdf Mnenje bodo nadzorni organi v prihajajočih mesecih prenovili, zato vam priporočamo, da spremljate spletno stran IP, kjer redno objavljamo vse novosti s tega področja. Sicer pa so najbolj relevantne za presojo tega, v kateri vlogi kdo nastopa pri posamezni obdelavi, smernice o pogodbeni obdelavi: https://www.ip-rs.si/fileadmin/user_upload/ Pdf/smernice/Smernice_o_pogodbeni_obdelavi_web.pdf Te vsebujejo tudi zelo uporabne usmeritve za vsakokratno presojo, v kateri vlogi nastopa tisti, ki obdeluje osebne podatke, kot na primer:

 

- Ali subjekt lahko sam določa namen in sredstva obdelave osebnih podatkov?

- Ali je upravljavec zbirke osebnih podatkov subjektu poveril v izvajanje opravila obdelave, ki bi jih sicer lahko izvajal upravljavec sam?

- Kakšna je intenzivnost obdelave, vezanost na navodila in nadzor upravljavca nad dejanji subjekta?

- Ali ima subjekt zakonska pooblastila oziroma pravno podlago, ki bi ga deloma ali v celoti postavila za upravljavca v zvezi z osebnimi podatki upravljavca?

- Ali je primarni namen najema storitev subjekta katero od dejanj obdelave osebnih podatkov (npr. hramba) ali pa je obdelava osebnih podatkov zgolj posledica najetja storitve subjekta?

 

V upanju, da ste dobili odgovore na svoja vprašanja, vas lepo pozdravljamo.

 

 

 

Pripravila:
mag. Nuša Kavšek, univ. dipl. prav.

svetovalka IP za varstvo osebnih podatkov

 

 

Mojca Prelesnik, univ. dipl. prav.
informacijska pooblaščenka