Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Iskalnik po mnenjih GDPR

+ -
Datum: 16.05.2019
Naslov: Pogodbeni obdelovalec, način pošiljanja
Številka: 0712-1/2019/1169
Vsebina: Delovna razmerja, Pogodbena obdelava podatkov, Zavarovanje osebnih podatkov
Pravni akt: Mnenje

Informacijski pooblaščenec (v nadaljevanju IP) je prejel vaš dopis, v katerem opisujete več situacij in dilem.

Za stranke pripravljate npr. obračune plač. Ker gre za atipične obračune plač na podlagi dogovora med delodajalcem iz tujine, delavcem in vami, vi pripravite plačilno listo za to fizično osebo ter izvedete vse potrebne napovedi za pravilno plačilo davkov in prispevkov iz naslova prejetih dohodkov na podlagi tako sklenjene pogodbe o zaposlitvi. Z delodajalcem imate sklenjeno pogodbo o opravljanju storitev, z delavcem pa običajno le pooblastila, ki jih potrebujete, da zanj kot fizično osebo lahko oddajate potrebne napovedi, v nekaterih primerih pa tudi zanjo (zopet na podlagi njenega izrecnega pooblastila) dobite vročene odločbe in včasih razčiščujete kakšne zaplete s pristojnimi organi. Zanima vas, ali je ureditev pravnega razmerja na opisan način pravilna z vidika varstva osebnih podatkov.

 

Zanima vas še, na kakšen način lahko plačilne liste in kopije napovedi (v katerih so osebni podatki) pošljete delodajalcu tega delavca (plačilno listo in navodila za plačilo obveznih dajatev iz tega naslova) ter delavcu (npr. plačilno listo ter kopije oddanih napovedi). Osebne podatke je stranka poslala po »navadnem« emailu (email ni bil šifriran, stranka ni uporabila posebne varne povezave). Zanima vas, ali lahko tudi vi v tem primeru nazaj pošiljate pripravljene dokumente, ki vsebujejo iste osebne podatke, samo v neki drugi obliki, na enak način – torej z »navadnim« emailom ali je treba obvezno uporabiti posebno varno povezavo ali npr. poslano plačilno listo / napovedi zaščititi z geslom.

 

Zanima vas še, ali je treba redno pošto, ki vsebuje osebne podatke fizičnih oseb, vedno pošiljati priporočeno s povratnico. Kadar takšne podatke pošiljate po pošti, stranko vedno povprašate, na kakšen način želi, da jih pošljete.

 

Pri pripravi določenih davčnih napovedi sodelujete tudi z nekaterimi bankami/zavarovalnicami/BPH in za njihove stranke, na podlagi soglasja konkretne stranke (fizične osebe), pripravljate in oddajate napovedi iz naslova kapitala. V večini primerov vam podatke za napoved posreduje sama stranka (fizična oseba) preko »navadnega« emaila ali z »navadno« pošto. Pogodbeno razmerje imate urejeno tako z npr. banko kot s konkretno fizično osebo in vse pogodbe vsebujejo tudi člen o varovanju osebnih podatkov. Fizične osebe vam za oddajo napovedi dodatno posredujejo tudi pooblastilo. Ko so napovedi oddane, njihove kopije pošljete tudi strankam. Tudi glede tega vas zanima, ali ste dolžni kopije oddanih napovedi tem strankam pošiljati preko posebne varne povezave oz. zaščitene z geslom.

 

Včasih stranke zahtevajo, da kopije odločb, ki so vam vročene na podlagi oddanih napovedi pošljete direktno določenemu bančniku, da ta zanje uredi plačilo davčne. Zanima vas, ali zadostuje, da vam stranka da soglasje za takšno pošiljanje npr. v emailu (kjer zapiše, naj se pošlje na email določene osebe ta odločba, da bo uredila potrebno plačilo odmerjene davčne obveznosti) ali je potreben ločen dokument (npr. izjava, posebna pogodba). Zanima vas še, ali je lahko to dovoljenje dano na splošno za vse tako prejete odločbe ali je potrebno dati dovoljenje za vsako odločbo posebej. Poleg tega vas zanima, ali lahko stranka v tem dovoljenju zapiše tudi, na kakšen način želi, da se njeni podatki pošiljajo dalje npr. določenemu bančniku (npr. v dovoljenju označi, da po navadnem emailu, po varni povezavi, zaščiteno z geslom, z redno pošto, s priporočeno pošto …).

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju – Splošna uredba), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1 - v nadaljevanju ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 - v nadaljevanju ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem. Ob tem IP poudarja, da izven postopka inšpekcijskega nadzora konkretnih obdelav osebnih podatkov ne more presojati.

 

 V zvezi s prvim vprašanjem je treba razlikovati razmerje med vami in delodajalcem ter med vami in delavcem, ko vas on sam pooblasti za določeno “opravilo”.

 

Razmerje med vami in delodajalcem

 

IP uvodoma pojasnjuje, da v skladu s 4. členom Splošne uredbe pojem »upravljavec« pomeni fizično ali pravno osebo, javni organ, agencijo ali drugo telo, ki samo ali skupaj z drugimi določa namene in sredstva obdelave, pojem »obdelovalec« pa pomeni fizično ali pravno osebo, javni organ, agencijo ali drugo telo, ki obdeluje osebne podatke v imenu upravljavca.

 

Pogodbeni obdelovalci so tiste organizacije oziroma posamezniki, ki po naročilu določenega upravljavca osebnih podatkov in v skladu z njegovimi zahtevami za določeno nalogo oz. namen zanj obdelujejo osebne podatke posameznikov. IP poudarja, da je bistvenega pomena dejstvo, da lahko obdelovalec osebne podatke obdeluje zgolj za namene, za katere ga je pooblastil upravljavec in torej osebnih podatkov ne obdeluje za lastne namene. V vlogi obdelovalca bo tako nastopala tista pravna oziroma fizična oseba, ki bo obdelavo osebnih podatkov izvrševala izključno v imenu in za račun upravljavca osebnih podatkov, bo pri tem črpala podlago za obdelavo osebnih podatkov iz upravičenj upravljavca ter bo v zvezi s samimi dejanji obdelave vezana na navodila upravljavca.

 

Za določitev medsebojnega razmerja so torej bistvene vloge posameznih subjektov pri pridobivanju podatkov, določanju namenov in sredstev obdelave ter izvrševanju pravic posameznikov, katerih podatki se obdelujejo. Za razlikovanje med upravljavcem in obdelovalcem osebnih podatkov je tako ključno, da je obdelovalec samostojna, od upravljavca ločena pravna entiteta, in da osebne podatke vselej obdeluje le v imenu in za račun upravljavca. Gre torej za primere, ko upravljavec, ki bi posamezne aktivnosti v zvezi z osebnimi podatki lahko izvedel sam, sprejme odločitev, da jih bo iz različnih razlogov zaupal obdelovalcu. Ker slednji dela v imenu in za račun upravljavca, je eden pomembnih elementov razmerja med njima tudi nadzor upravljavca nad obdelavo osebnih podatkov, ki jo zanj izvaja obdelovalec.

 

IP ni znana vsebina pogodbe o poslovnem sodelovanju med vami in delodajalcem, ki jo navajate v vašem zaprosilu, domneva pa, da gre za splošno pogodbo o sodelovanju, ne pa pogodbo, ki vsebuje določbe o obdelavi osebnih podatkov v smislu 28. člena Splošne uredbe. V tem členu se namreč ureja razmerje med upravljavcem in obdelovalcem, določeno pa je, da obdelavo s strani obdelovalca ureja pogodba ali drug pravni akt v skladu s pravom Unije ali pravom države članice, ki določa obveznosti obdelovalca do upravljavca, v katerem so določeni vsebina in trajanje obdelave, narava in namen obdelave, vrsta osebnih podatkov, kategorije posameznikov, na katere se nanašajo osebni podatki, ter obveznosti in pravice upravljavca. Ta pogodba ali drug pravni akt zlasti določa, da obdelovalec:

  1. osebne podatke obdeluje samo po dokumentiranih navodilih upravljavca, vključno glede prenosov osebnih podatkov v tretjo državo ali mednarodno organizacijo, razen če to od njega zahteva pravo Unije ali pravo države članice, ki velja za obdelovalca; v slednjem primeru obdelovalec o tej pravni zahtevi pred obdelavo podatkov obvesti upravljavca, razen če zadevno pravo prepoveduje takšno obvestilo na podlagi pomembnih razlogov v javnem interesu;
  2. zagotovi, da so osebe, ki so pooblaščene za obdelavo osebnih podatkov, zavezane k zaupnosti ali jih k zaupnosti zavezuje ustrezen zakon;
  3. sprejme vse ukrepe, potrebne v skladu s členom 32;
  4. spoštuje pogoje iz odstavkov 2 in 4 za zaposlitev drugega obdelovalca;
  5. ob upoštevanju narave obdelave pomaga upravljavcu z ustreznimi tehničnimi in organizacijskimi ukrepi, kolikor je to mogoče, pri izpolnjevanju njegovih obveznosti, da odgovori na zahteve za uresničevanje pravic posameznika, na katerega se nanašajo osebni podatki, iz poglavja III;
  6. upravljavcu pomaga pri izpolnjevanju obveznosti iz členov 32 do 36 ob upoštevanju narave obdelave in informacij, ki so dostopne obdelovalcu;
  7. v skladu z odločitvijo upravljavca izbriše ali vrne vse osebne podatke upravljavcu po zaključku storitev v zvezi z obdelavo ter uniči obstoječe kopije, razen če pravo Unije ali pravo države članice predpisuje shranjevanje osebnih podatkov;
  8. da upravljavcu na voljo vse informacije, potrebne za dokazovanje izpolnjevanja obveznosti iz tega člena, ter upravljavcu ali drugemu revizorju, ki ga pooblasti upravljavec, omogoči izvajanje revizij, tudi pregledov, in pri njih sodeluje.

 

IP še enkrat poudarja, da v okviru mnenja ne more presojati ustreznosti določene rešitve z vidika skladnosti z obstoječimi predpisi. Presojo o ustreznosti lahko izvede le v okviru konkretnega inšpekcijskega ali upravnega postopka. Presoja glede zakonitosti obdelave oziroma obstoja pravne podlage za posamezno obdelavo je na vsakem upravljavcu (oz. obdelovalcu) posebej. Na podlagi podatkov, ki ste jih navedli v vašem zaprosilu, IP sicer meni, da je najverjetneje, da je vaše podjetje obdelovalec osebnih podatkov. Vaše podjetje namreč najverjetneje obdeluje osebne podatke v imenu in za račun upravljavca (delodajalca). Seveda pa mora tudi za posredovanje osebnih podatkov med upravljavcem in obdelovalcem obstajati ena izmed pravnih podlag, ki jih Splošna uredba opredeljuje v 6. členu. V vašem primeru je to najverjetneje pogodba o sodelovanju, ki ste jo sklenili z delodajalcem.

 

Ob tem IP še opozarja na načelo najmanjšega obsega podatkov, ki določa, da morajo biti pod pogojem, da obstaja pravna podlaga, osebni podatki, ki se obdelujejo, ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo. Navedeno načelo pomeni, da je potrebno obdelovati samo toliko osebnih podatkov, kolikor je nujno potrebno za dosego posamičnega zakonitega namena obdelave.

 

IP sklepno svetuje, da natančno preučite dejansko stanje in naravo vašega medsebojnega odnosa z delodajalcem v smislu pojasnil, ki jih IP podaja v tem mnenju.

 

Razmerje med vami in delavcem

 

V zvezi z vašim vprašanjem o razmerju med delavcem in vašim podjetjem IP splošno pojasnjuje, da ste glede na zgornja pojasnila v tem primeru najverjetneje v vlogo upravljavca. Sicer pa Splošna uredba v prvem odstavku 6. člena določa različne pravne podlage za zakonito obdelavo osebnih podatkov. Obdelava je tako zakonita le in kolikor je za konkretni namen obdelave in konkretne osebne podatke izpolnjen eden od naslednjih pogojev:

  1. posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov;
  2. obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe;
  3. obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca;
  4. obdelava je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe;
  5. obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu;
  6. obdelava je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok.

Ob tem je treba upoštevati, da se zadnja alinea ne more uporabljati za obdelavo s strani javnih organov pri opravljanju njihovih nalog.

 

Pooblastilo posameznika v smislu pogodbe o naročilu (mandatne pogodbe) bi lahko pomenilo pravno podlago za obdelavo osebnih podatkov v smislu točke b) prvega odstavka 6. člena Splošne uredbe.

 

Način pošiljanja

 

V zvezi z načinom pošiljanja obračuna plač in drugih osebnih podatkov po elektronski pošti IP pojasnjuje, da niti Splošna uredba niti ZVOP-1 ne določata konkretne izvedbe pošiljanja, zato je odločitev o tem – ob upoštevanju načel dobre varnostne prakse – prepuščena vam. V zvezi z dobro varnostno prakso in odgovori na vaša vprašanja v zvezi s tem, vam svetujemo, da si preberete smernice o zavarovanju osebnih podatkov, ki jih ima IP objavljene na svoji spletni strani: https://www.ip-rs.si/fileadmin/user_upload/Pdf/smernice/Smernice_o_zavarovanju_OP.pdf. Upravljavec oz. pogodbeni obdelovalec pa mora zagotoviti ustrezno varnost pri prenosu osebnih podatkov, ki so del »pošiljke«. Ker se lahko v pošiljkah nahajajo (tudi) posebne vrste osebnih podatkov (npr. podatek o članstvu v sindikatu), mora biti datoteka, ki vsebuje takšne podatke, šifrirana. Tudi če v datoteki ne bi bilo osebnih podatkov posebne vrste, je priporočljivo, da se datoteka šifrira, ker to ne zahteva posebnega znanja, stroškov in časa, nedvomno pa vpliva na višji nivo varnosti (npr. ena možnost je, da se datoteko stisne, označi možnost šifriranja, nato pa zaklene z geslom).

 

V upanju, da ste dobili odgovore na svoja vprašanja, vas lepo pozdravljamo.

 

 

Pripravila:
mag. Nuša Kavšek, univ. dipl. prav.

svetovalka IP za varstvo osebnih podatkov

       

 

Mojca Prelesnik, univ. dipl. prav.
informacijska pooblaščenka