Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Iskalnik po mnenjih GDPR

+ -
Datum: 25.04.2019
Naslov: Pogodbe o kliničnem preizkušanju
Številka: 0712-1/2019/976
Vsebina: Pogodbena obdelava podatkov
Pravni akt: Mnenje

Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaše zaprosilo za mnenje glede sklepanja amandmajev k pogodbam o kliničnem preizkušanju.

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba o varstvu podatkov), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju: ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju: ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.

 

IP uvodoma poudarja, da v okviru mnenja ne more presojati ustreznosti določene rešitve z vidika skladnosti z obstoječimi predpisi. Presojo o ustreznosti lahko izvede le v okviru konkretnega inšpekcijskega postopka.

 

IP uvodoma pojasnjuje, da v skladu s 4. členom Splošne uredbe o varstvu podatkov pojem »upravljavec« pomeni fizično ali pravno osebo, javni organ, agencijo ali drugo telo, ki samo ali skupaj z drugimi določa namene in sredstva obdelave, pojem »obdelovalec« pa pomeni fizično ali pravno osebo, javni organ, agencijo ali drugo telo, ki obdeluje osebne podatke v imenu upravljavca. Obdelava pomeni vsako dejanje ali niz dejanj, ki se izvaja v zvezi z osebnimi podatki ali nizi osebnih podatkov z avtomatiziranimi sredstvi ali brez njih, kot je zbiranje, beleženje, urejanje, strukturiranje, shranjevanje, prilagajanje ali spreminjanje, priklic, vpogled, uporaba, razkritje s posredovanjem, razširjanje ali drugačno omogočanje dostopa, prilagajanje ali kombiniranje, omejevanje, izbris ali uničenje.

Splošna uredba o varstvu podatkov v 28. členu določa, da obdelavo s strani obdelovalca ureja pogodba ali drug pravni akt v skladu s pravom Unije ali pravom države članice, ki določa obveznosti obdelovalca do upravljavca, v katerem so določeni vsebina in trajanje obdelave, narava in namen obdelave, vrsta osebnih podatkov, kategorije posameznikov, na katere se nanašajo osebni podatki, ter obveznosti in pravice upravljavca. V 28. členu je določen minimalni obseg vsebin, ki jih mora vsebovati pravni akt, lahko pa seveda vsebuje tudi dodatne elemente v zvezi z obdelavo podatkov. Med temi vsebinami so tudi ukrepi iz 32. člena Splošne uredbe o varstvu podatkov, ki se nanašajo na varnost obdelave osebnih podatkov.

 

Namen 28. člena je ureditev razmerja med upravljavcem in obdelovalcem ter zagotavljanje skladnosti obdelave osebnih podatkov z določbami Splošne uredbe o varstvu podatkov. Vsekakor ni namen člena, da se tovrstna pogodba oziroma pravni akt sklene vsakič znova za ista oziroma podobna dejanja obdelave, ampak da se medsebojni odnos uredi za vse bodoče primere obdelav podatkov s strani obdelovalca za določene namene.

 

Enako velja tudi v primeru, če ste tako vi kot podjetje, s katerim sodelujete, oba upravljavca osebnih podatkov in torej ne gre za odnos upravljavec – obdelovalec, ampak odnos med dvema upravljavcema. Tudi v tem primeru bi bilo po mnenju IP smiselno in ustrezno, da se medsebojni odnos glede postopkov in ukrepov za zavarovanje osebnih podatkov uredi enotno za vse bodoče primere obdelav podatkov.

 

 

S spoštovanjem.

 

 

Pripravil:

Matej Sironič,                                                  

Svetovalec pooblaščenca

za varstvo osebnih podatkov

 

 

Informacijski pooblaščenec:

Mojca Prelesnik, univ. dipl. prav.,

pooblaščenka