Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Iskalnik po mnenjih GDPR

+ -
Datum: 12.03.2019
Naslov: Pogodbena obdelava pri uporabi licenčnih programov
Številka: 0712-3/2018/2572
Vsebina: Prenos osebnih podatkov v tretje države ali mednarodne organizacije, Pogodbena obdelava podatkov
Pravni akt: Mnenje

Obrnili ste se na Informacijskega pooblaščenca RS (v nadaljevanju IP) s svojim zaprosilom za mnenje, v katerem postavljate več vprašanj v zvezi z obdelavo osebnih podatkov v manjšem podjetju.

 

  1. Ali je skladno s pravili varstva osebnih podatkov, če delodajalec zbira potrditve delavcev, da so prejeli plačilne liste – na način, da vodi seznam na istem listu, tako se lahko delavec, ob prevzemu svoje plačilne liste seznani tudi z osebnim imenom in datumom drugega delavca, ki je plačilno listo prevzel. Na enak način se vodijo evidence o skupnih izobraževanjih.
  2. Ali pomeni hramba podatkov pri ponudniku oblačnih storitev prenos osebnih podatkov in se v takem primeru zahteva sklenitev pogodbe o pogodbeni obdelavi osebnih podatkov?
  3. Ali je pogodbeni izvajalec, ki opravlja vzdrževanje strežnika in ima pri svojem delu dostop največ do IP naslovov službenih računalnikov, pogodbeni obdelovalec osebnih podatkov (ali je treba z njim podpisati pogodbo o obdelavi osebnih podatkov in ali so predmet obdelave dejansko vsi osebni podatki v elektronski obliki)?
  4. Ali je treba pogodbe o obdelavi sklepati le z obdelovalci, ki imajo dejansko dostop do osebnih podatkov, ali z vsemi ponudniki informacijskih rešitev. Kako bi ravnali v primeru, če bi od družbe A odkupili licenčni program, v primeru napak v tem programu pa bi servisno storitev izvedla družba B, ki bi imela tudi dejansko vpogled v osebne podatke zaposlenih. Je pogodbo o obdelavi osebnih podatkov treba skleniti z obema?
  5. Kako ravnati v primeru, ko ne veste, ali prodajalec licenčnega programa dejansko tudi dostopa do vaših osebnih podatkov, ker to v pogodbi o prodaji licence ne piše?

 

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba o varstvu podatkov), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašimi vprašanji.

 

Ad. (a)

 

IP pojasnjuje, da je v navedenih primerih možnost seznanitve delavca z podpisom in datumom prevzema plačilne liste drugega delavca lahko vprašljiva z vidika varnosti osebnih podatkov. Delodajalec ima namreč v zakonu pravno podlago, da zbira podatke delavcev, vprašanje pa je, ali je  skladno s pravili varnosti osebnih podatkov, da se imajo s temi podatki enostavno možnost seznaniti drugi delavci, ki podatkov o datumu in prevzemu plačilne liste drugega delavca sicer ne potrebujejo za izvajanje svojega dela (za svoje delo bi takšno zbirko lahko na primeru uporabljal zaposleni, ki bi podatke vnesel v elektronsko zbirko).

 

Splošna uredba v 32. členu zahteva, da se »ob upoštevanju najnovejšega tehnološkega razvoja in stroškov izvajanja ter narave, obsega, okoliščin in namenov obdelave, pa tudi tveganj za pravice in svoboščine posameznikov, ki se razlikujejo po verjetnosti in resnosti, upravljavec in obdelovalec z izvajanjem ustreznih tehničnih in organizacijskimi ukrepov zagotovita ustrezno raven varnosti glede na tveganje…«. V nadaljevanju istega člena Splošna uredba še poudari, da se »pri določanju ustrezne ravni varnosti upoštevajo zlasti tveganja, ki jih pomeni obdelava, zlasti zaradi nenamernega ali nezakonitega uničenja, izgube, spremembe, nepooblaščenega razkritja ali dostopa do osebnih podatkov, ki so poslani, shranjeni ali kako drugače obdelani.

 

Glede na navedeno opredelitev iz Splošne uredbe je treba torej pri določanju ustreznih varnostnih ukrepov upoštevati tveganja za pravice in svoboščine posameznikov. IP meni, da v primeru izročanja plačilnih list na način, ki ga opisujete, ne gre za visoko stopnjo varnostnega tveganja za pravice in svoboščine posameznikov, saj se zaposleni med sabo načeloma poznajo, še zlasti v manjšem kolektivu. Zato, ko se zaposleni seznanijo s podatkom o datumu in podpisu sodelavca na seznamu prevzema plačilnih list, običajno ne predstavlja velikega tveganja. Podobno je po mnenju IP tudi na internih izobraževanjih, kjer zaposleni, ki so udeleženi, tako ali tako prepoznajo sodelavce že na samem dogodku. Drugače bi pa lahko bilo v primeru, če okoliščine, ki izhajajo iz seznamov razkrivajo določeno podrobnost o posamezniku, ki ga lahko potisne v diskriminacijo ali zanj predstavlja drugo znatno neugodnost (in na ta način posega v njegove pravice in svoboščine). V teh primerih je namreč treba zagotoviti zaupnost in strožje varovati podatke pred nepooblaščenimi dostopi. Ali se na seznamu nahajajo podatki, ki bi za posameznika lahko pomenili nedopusten poseg v njegove pravice in svoboščine, pa je mogoče ugotoviti le na podlagi tehtanja vseh okoliščin konkretnega primera. IP pa to lahko stori le v konkretnem inšpekcijskem postopku. Odgovornost za pravilno oceno tveganja pa nosi upravljavec, ki določi način zbiranja in obdelave osebnih podatkov.

 

Ad. (b)

IP v nobenem primeru ne more podajati stališča, ali so konkretne poslovne rešitve, aplikacije ipd. skladne z zahtevami Splošne uredbe. Več o zahtevah pri izbiri ponudnikov oblačnih storitev najdete v smernicah IP na to temo, ki so dostopne na spletu in so v bistvenem še vedno aktualne upoštevajoč nekatere spremembe (pogodbena obdelava je po novem urejena v 28. členu Splošne uredbe, področje prenosov osebnih podatkov v tretje države pa v poglavju V): https://www.ip-rs.si/fileadmin/user_upload/Pdf/smernice/Smernice_Varstvo_osebnih_podatkov_in_racunalnistvo_v_oblaku_2016.pdf. Več o prenosih osebnih podatkov v tretje države na: https://www.ip-rs.si/varstvo-osebnih-podatkov/obveznosti-upravljavcev/iznos-osebnih-podatkov-v-tretje-drzave/ .

 

Ad. (c)

 

Obdelovalec osebnih podatkov v smislu člena 28 Splošne uredbe je tista oseba, ki obdeluje osebne podatke v imenu upravljavca. Za obdelavo osebnih podatkov se šteje tudi vsaka avtomatizirana dejavnost v zvezi z osebnimi podatkov. Sama hramba osebnih podatkov se tudi šteje za obdelavo osebnih podatkov. Vzdrževanje strežnikov praviloma vzdrževalcu omogoča dostop do nekaterih osebnih podatkov, ki se hranijo na strežniku, prav tako je pri vzdrževalnih posegih velika verjetnost, da se vzdrževalec seznani z omejenim naborom osebnih podatkov, zato je obdelava osebnih podatkov v zelo omejenem obsegu pri tem pogosto neizbežna. Skladno z dosedanjo prakso izvajanja inšpekcijskega nadzora in s tolmačenjem ZVOP-1 ter Splošne uredbe v delih, ki ureja pogodbeno obdelavo osebnih podatkov, IP vzdrževanje strežnikov in druge računalniške opreme, kjer se hranijo tudi osebni podatki, praviloma šteje kot pogodbeno obdelavo osebnih podatkov. Zato je pri vzdrževanju informacijskega sistema ali tudi zgolj strežnikov s strani zunanje pravne ali fizične osebe treba skleniti pogodbo o obdelavi osebnih podatkov v skladu z 28. členom Splošne uredbe.

 

Ad. (d)

 

Upravljavec osebnih podatkov je tisti, ki določa sredstva in namene obdelave osebnih podatkov. Obdelovalec je tista oseba, ki v imenu upravljavca obdeluje osebne podatke. V zvezi z nakupom in uporabo licenčnih programov je ključno ali bo razvijalec programa in/ali prodajalec programa (lahko gre za isti subjekt, lahko za dva ločena subjekta) osebne podatke, ki izhajajo iz uporabe programa, kakorkoli obdeloval. Pri nakupu bolj znanih programskih rešitev in operacijskih sistemov, razvijalec programa ob aktivaciji licence pogosto pridobi določene podatke o uporabniku programa. Vendar v tem primeru nastopa kot samostojen upravljavec, ne pogodbeni obdelovalec, saj sam določi v pogojih uporabe licenčnega programa, katere podatke bo od uporabnika (kupca) pridobival in za kakšen namen jih bo obdeloval, kupec pa poda privolitev za te namene obdelave, če želi uporabljati programsko opremo. Če je prodajalec licence ni isti subjekt kot razvijalec programske opreme, praviloma nima položaja ločenega upravljavca (saj ne zbira osebne podatke skozi uporabo programske opreme), prav tako nima statusa pogodbenega obdelovalca, saj ne obdeluje osebnih podatkov v imenu in za račun upravljavca.

 

Ena od možnosti je, da razvijalec in prodajalec programske opreme (če gre za isti subjekt) nudi najem licenčne programske opreme, ki ni zgolj izdelek, ampak tudi storitev namenjena obdelavi osebnih podatkov. Tak primer bi bil nakup programske opreme in strežniškega prostora v računalniškem oblaku. V tem primeru bi ponudnik programske »rešitve« (oprema + storitev) nastopal bodisi kot pogodbeni obdelovalec bodisi kot pogodbeni obdelovalec in hkrati upravljavec.

 

Vsekakor je mogočih več možnosti odvisno od tega za kakšen tip licenčne programske opreme gre, kaj je namen te opreme, se namesti lokalno pri upravljavcu ali se uporablja kot storitev v računalniškem oblaku, gre samo za nakup in uporabo programske opreme ali je zraven vključena tudi storitev vzdrževanja ipd. .

 

Ad. (e)

 

Pred namestitvijo programske opreme, s katero se obdelujejo osebni podatki, se morate prepričati, kdo ima dostop in v katerih primerih tretja oseba obdeluje osebne podatke v vašem imenu ter kam podatki potujejo. Pred uporabo programa morate torej opredeliti navedena razmerja oz. pretok osebnih podatkov. Kakšen dostop je omogočen je lahko razvidno že iz licenčne pogodbe, sicer pa ste že v okviru svoje odgovornosti za varno obdelavo osebnih podatkov, dolžni preprečiti vse nepooblaščene dostope – o vseh uporabnikih osebnih podatkov (komu podatke posredujete), pa ste dolžni tudi obvestiti posameznike, katerih osebni podatki se obdelujejo.

 

 

Lep pozdrav.