Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Iskalnik po mnenjih GDPR

+ -
Datum: 06.05.2019
Naslov: Izvajanje testiranj vozniških sposobnosti
Številka: 0712-1/2019/1034
Vsebina: Pogodbena obdelava podatkov, Pravne podlage
Pravni akt: Mnenje

Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaše zaprosilo za mnenje glede nameravane sklenitve pogodbe z naročnikom za izvajanje testiranj vozniških sposobnosti, in sicer vas zanima, kakšno je vaše razmerje do naročnika glede obdelave osebnih podatkov ter ali je treba skleniti pogodbo o obdelavi osebnih podatkov.

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba o varstvu podatkov), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju: ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju: ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.

 

IP uvodoma pojasnjuje, da v skladu s 4. členom Splošne uredbe o varstvu podatkov pojem »upravljavec« pomeni fizično ali pravno osebo, javni organ, agencijo ali drugo telo, ki samo ali skupaj z drugimi določa namene in sredstva obdelave, pojem »obdelovalec« pa pomeni fizično ali pravno osebo, javni organ, agencijo ali drugo telo, ki obdeluje osebne podatke v imenu upravljavca.

 

Pogodbeni obdelovalci so tiste organizacije oziroma posamezniki, ki po naročilu določenega upravljavca osebnih podatkov in v skladu z njegovimi zahtevami za določeno nalogo oz. namen zanj obdelujejo osebne podatke posameznikov. IP poudarja, da je bistvenega pomena dejstvo, da lahko obdelovalec osebne podatke obdeluje zgolj za namene, za katere ga je pooblastil upravljavec in torej osebnih podatkov ne obdeluje za lastne namene. V vlogi obdelovalca bo tako nastopala tista pravna oziroma fizična oseba, ki bo obdelavo osebnih podatkov izvrševala izključno v imenu in za račun upravljavca osebnih podatkov, bo pri tem črpala podlago za obdelavo osebnih podatkov iz upravičenj upravljavca ter bo v zvezi s samimi dejanji obdelave vezana na navodila upravljavca.

 

Za določitev medsebojnega razmerja so torej bistvene vloge posameznih subjektov pri pridobivanju podatkov, določanju namenov in sredstev obdelave ter izvrševanju pravic posameznikov, katerih podatki se obdelujejo. Za razlikovanje med upravljavcem in obdelovalcem osebnih podatkov je tako ključno, da je obdelovalec samostojna, od upravljavca ločena pravna entiteta, in da osebne podatke vselej obdeluje le v imenu in za račun upravljavca. Gre torej za primere, ko upravljavec, ki bi posamezne aktivnosti v zvezi z osebnimi podatki lahko izvedel sam, sprejme odločitev, da jih bo iz različnih razlogov zaupal obdelovalcu. Ker slednji dela v imenu in za račun upravljavca, je eden pomembnih elementov razmerja med njima tudi nadzor upravljavca nad obdelavo osebnih podatkov, ki jo zanj izvaja obdelovalec.

 

Splošna uredba o varstvu podatkov v 28. členu ureja razmerje med upravljavcem in obdelovalcem, določeno pa je, da obdelavo s strani obdelovalca ureja pogodba ali drug pravni akt v skladu s pravom Unije ali pravom države članice, ki določa obveznosti obdelovalca do upravljavca, v katerem so določeni vsebina in trajanje obdelave, narava in namen obdelave, vrsta osebnih podatkov, kategorije posameznikov, na katere se nanašajo osebni podatki, ter obveznosti in pravice upravljavca. Ta pogodba ali drug pravni akt zlasti določa, da obdelovalec:

  1. osebne podatke obdeluje samo po dokumentiranih navodilih upravljavca, vključno glede prenosov osebnih podatkov v tretjo državo ali mednarodno organizacijo, razen če to od njega zahteva pravo Unije ali pravo države članice, ki velja za obdelovalca; v slednjem primeru obdelovalec o tej pravni zahtevi pred obdelavo podatkov obvesti upravljavca, razen če zadevno pravo prepoveduje takšno obvestilo na podlagi pomembnih razlogov v javnem interesu;
  2. zagotovi, da so osebe, ki so pooblaščene za obdelavo osebnih podatkov, zavezane k zaupnosti ali jih k zaupnosti zavezuje ustrezen zakon;
  3. sprejme vse ukrepe, potrebne v skladu s členom 32;
  4. spoštuje pogoje iz odstavkov 2 in 4 za zaposlitev drugega obdelovalca;
  5. ob upoštevanju narave obdelave pomaga upravljavcu z ustreznimi tehničnimi in organizacijskimi ukrepi, kolikor je to mogoče, pri izpolnjevanju njegovih obveznosti, da odgovori na zahteve za uresničevanje pravic posameznika, na katerega se nanašajo osebni podatki, iz poglavja III;
  6. upravljavcu pomaga pri izpolnjevanju obveznosti iz členov 32 do 36 ob upoštevanju narave obdelave in informacij, ki so dostopne obdelovalcu;
  7. v skladu z odločitvijo upravljavca izbriše ali vrne vse osebne podatke upravljavcu po zaključku storitev v zvezi z obdelavo ter uniči obstoječe kopije, razen če pravo Unije ali pravo države članice predpisuje shranjevanje osebnih podatkov;
  8. da upravljavcu na voljo vse informacije, potrebne za dokazovanje izpolnjevanja obveznosti iz tega člena, ter upravljavcu ali drugemu revizorju, ki ga pooblasti upravljavec, omogoči izvajanje revizij, tudi pregledov, in pri njih sodeluje.

 

IP poudarja, da v okviru mnenja ne more presojati ustreznosti določene rešitve z vidika skladnosti z obstoječimi predpisi. Presojo o ustreznosti lahko izvede le v okviru konkretnega inšpekcijskega ali upravnega postopka. Presoja glede zakonitosti obdelave oziroma obstoja pravne podlage za posamezno obdelavo je na vsakem upravljavcu (oz. obdelovalcu) posebej. Na podlagi podatkov, ki ste jih navedli v vašem zaprosilu, IP sicer meni, da je najverjetneje, da ste tako vaše podjetje kot naročnik oba upravljavca osebnih podatkov. Vaše podjetje namreč najverjetneje ne obdeluje osebnih podatkov v imenu in za račun naročnika. Če je temu tako, potem v razmerju do naročnika niste obdelovalec osebnih podatkov v smislu Splošne uredbe o varstvu podatkov. Seveda pa mora tudi za posredovanje osebnih podatkov med upravljavci obstajati ena izmed pravnih podlag, ki jih Splošna uredba o varstvu podatkov opredeljuje v 6. členu. Prav tako morata oba upravljavca samostojno zagotoviti ustrezne ukrepe za zagotavljanje varnosti obdelav osebnih podatkov.

 

Ob tem IP opozarja na načelo najmanjšega obsega podatkov, ki določa, da morajo biti pod pogojem, da obstaja pravna podlaga, osebni podatki, ki se obdelujejo, ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo. Navedeno načelo pomeni, da je potrebno obdelovati samo toliko osebnih podatkov, kolikor je nujno potrebno za dosego posamičnega zakonitega namena obdelave.

 

V RS so pravila in pogoji za opravljanje vozniškega izpita ter pogoji opravljanja zdravstvenih pregledov in dodatnih usposabljanj voznikov določeni v Zakonu o voznikih (ZVoz-1; Uradni list RS, št. 85/16, 67/17, 21/18 – ZNOrg). Ta  v 15. členu določa, da minister, pristojen za zdravje, med drugim izda predpise o vrsti in obsegu zdravstvenih pregledov, ki jih morajo opraviti kandidati za voznike in vozniki motornih vozil po tem zakonu in predpiše način, postopek izdaje ter obliko in vsebino zdravniških spričeval in potrdil o opravljenem pregledu. Na tej podlagi je bil Pravilnik o zdravstvenih pogojih voznikov motornih vozil (Uradni list RS, št. 14/18), ki v drugem odstavku 4. člena določa, da v primerih, kadar na podlagi zdravstvenega pregleda zdravnik specialist medicine dela, prometa in športa ne more sam ugotoviti telesne in duševne zmožnosti kandidata za voznika in voznika ali če je to določeno v Prilogi 1 pravilnika, lahko zahteva med drugim tudi praktični preizkus vožnje pri organizaciji, ki izvaja programe usposabljanja z ustrezno prilagojenimi vozili, v skladu z zakonom. Programi usposabljanja se torej izvajajo v skladu z zakonom.

 

IP sklepno svetuje, da natančno preučite dejansko stanje in naravo vašega medsebojnega odnosa s prodajalcem vozil v smislu pojasnil, ki jih IP podaja v tem mnenju.

 

V zvezi z vašim vprašanjem o obveznosti pridobitve soglasja (privolitve) kandidata za posredovanje podatkov med vami in naročnikom IP splošno pojasnjuje, da Splošna uredba o varstvu podatkov v prvem odstavku 6. člena določa različne pravne podlage za zakonito obdelavo osebnih podatkov. Obdelava je tako zakonita le in kolikor je za konkretni namen obdelave in konkretne osebne podatke izpolnjen eden od naslednjih pogojev:

  1. posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov;
  2. obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe;
  3. obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca;
  4. obdelava je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe;
  5. obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu;
  6. obdelava je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok.

Ob tem je treba upoštevati, da se zadnja alinea ne more uporabljati za obdelavo s strani javnih organov pri opravljanju njihovih nalog.

Privolitev posameznika torej predstavlja le eno temeljnih pravnih podlag za zakonito obdelavo osebnih podatkov in ne edino. Če gre za obdelavo na podlagi katere druge pravne podlage, torej tudi na podlagi točke c) ali e), potem pridobivanje privolitve ni potrebno.

 

 

S spoštovanjem.

 

 

Pripravil:

Matej Sironič,                                                  

Svetovalec pooblaščenca

za varstvo osebnih podatkov

 

 

Mojca Prelesnik, univ. dipl. prav.,

Informacijska pooblaščenka