Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Iskalnik po mnenjih GDPR

+ -
Datum: 14.12.2018
Naslov: Pogodbena obdelava
Številka: 0712-3/2018/2576
Vsebina: Pogodbena obdelava podatkov
Pravni akt: Mnenje

Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaše zaprosilo za mnenje glede nekaterih vprašanj v zvezi s pogodbeno obdelavo osebnih podatkov za vaše naročnike.

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba o varstvu podatkov), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju: ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju: ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.

 

Razmerje med upravljavcem in obdelovalcem Splošna uredba o varstvu podatkov ureja v 28. členu, kjer določa, da obdelavo s strani obdelovalca ureja pogodba ali drug pravni akt v skladu s pravom Unije ali pravom države članice, ki določa obveznosti obdelovalca do upravljavca, v katerem so določeni vsebina in trajanje obdelave, narava in namen obdelave, vrsta osebnih podatkov, kategorije posameznikov, na katere se nanašajo osebni podatki, ter obveznosti in pravice upravljavca. Ta pogodba ali drug pravni akt zlasti določa, da obdelovalec:

  1. osebne podatke obdeluje samo po dokumentiranih navodilih upravljavca, vključno glede prenosov osebnih podatkov v tretjo državo ali mednarodno organizacijo, razen če to od njega zahteva pravo Unije ali pravo države članice, ki velja za obdelovalca; v slednjem primeru obdelovalec o tej pravni zahtevi pred obdelavo podatkov obvesti upravljavca, razen če zadevno pravo prepoveduje takšno obvestilo na podlagi pomembnih razlogov v javnem interesu;
  2. zagotovi, da so osebe, ki so pooblaščene za obdelavo osebnih podatkov, zavezane k zaupnosti ali jih k zaupnosti zavezuje ustrezen zakon;
  3. sprejme vse ukrepe, potrebne v skladu s členom 32;
  4. spoštuje pogoje iz odstavkov 2 in 4 za zaposlitev drugega obdelovalca;
  5. ob upoštevanju narave obdelave pomaga upravljavcu z ustreznimi tehničnimi in organizacijskimi ukrepi, kolikor je to mogoče, pri izpolnjevanju njegovih obveznosti, da odgovori na zahteve za uresničevanje pravic posameznika, na katerega se nanašajo osebni podatki, iz poglavja III;
  6. upravljavcu pomaga pri izpolnjevanju obveznosti iz členov 32 do 36 ob upoštevanju narave obdelave in informacij, ki so dostopne obdelovalcu;
  7. v skladu z odločitvijo upravljavca izbriše ali vrne vse osebne podatke upravljavcu po zaključku storitev v zvezi z obdelavo ter uniči obstoječe kopije, razen če pravo Unije ali pravo države članice predpisuje shranjevanje osebnih podatkov;
  8. da upravljavcu na voljo vse informacije, potrebne za dokazovanje izpolnjevanja obveznosti iz tega člena, ter upravljavcu ali drugemu revizorju, ki ga pooblasti upravljavec, omogoči izvajanje revizij, tudi pregledov, in pri njih sodeluje.

 

V zvezi s točko (h) obdelovalec nemudoma obvesti upravljavca, če po njegovem mnenju navodilo krši to uredbo ali druge določbe Unije ali predpisov držav članic o varstvu podatkov.

Pravni akt mora torej vsebovati vsaj zgoraj naštete vsebine, saj 28. člen določa njegov minimalni obseg, lahko pa seveda vsebuje tudi dodatne elemente v zvezi z obdelavo podatkov.

 

Za zakonito obdelavo osebnih podatkov (torej tudi za njihovo posredovanje) je treba imeti ustrezno pravno podlago. Splošna uredba o varstvu podatkov določa pravne podlage v prvem odstavku 6. člena, ki določa, da je obdelava zakonita le in kolikor je izpolnjen vsaj eden od naslednjih pogojev:

(a) posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov;

(b) obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe;

(c) obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca;

(d) obdelava je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe;

(e) obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu;

(f) obdelava je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok.«.

Ob tem je treba upoštevati, da se zadnja točka (f) ne more uporabljati za obdelavo s strani javnih organov pri opravljanju njihovih nalog.

 

Na podlagi zgoraj navedenega IP pojasnjuje, da bi vam vaši naročniki lahko posredovali telefonske številke naročnikov, v kolikor bi za njihovo obdelavo obstajala ena izmed naštetih pravnih podlag. Pod enakimi pogoji bi jih lahko vi pridobili tudi sami. Upravljavec osebnih podatkov je namreč tisti, ki določa namene in sredstva obdelave osebnih podatkov, obdelovalec pa tisti, ki osebne podatke po naročilu in v imenu upravljavca obdeluje, pri tem pa ni določeno in po mnenju IP tudi ni bistveno, kdo je tisti, ki osebne podatke dejansko pridobi, pod pogojem, da na strani upravljavca obstaja ustrezna pravna podlaga za obdelavo (za izvedbo te obdelave pa lahko najame pogodbenega obdelovalca). Ob tem IP opozarja na načelo najmanjšega obsega podatkov, ki določa, da morajo biti pod pogojem, da obstaja pravna podlaga, osebni podatki, ki se obdelujejo, ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo. Navedeno načelo pomeni, da je potrebno obdelovati samo toliko osebnih podatkov, kolikor je nujno potrebno za dosego posameznega zakonitega namena obdelave. Iz vaših navedb, ne izhaja, da bi bila pridobitev telefonske številke dolžnika neobhodno potrebna za uspešno izpeljavo postopka izterjave dolga, saj se dolžnika lahko kontaktira tudi na drugačen način. Prav tako ni mogoče razbrati, katera druga pravna podlaga bi lahko obstajala za takšno obdelavo (npr. točka b ali f člena 6(1) Splošne uredbe.

IP pojasnjuje, da lahko posamezne primere obdelave podatkov konkretno presoja le v okviru inšpekcijskega postopka. Presoja glede zakonitosti obdelave oziroma obstoja pravne podlage za posamezno obdelavo je na vsakem upravljavcu (oz. obdelovalcu) posebej. V zvezi z vprašanjem, ali je opisan način izmenjave podatkov z nekaterimi naročniki primeren, konkretnih odgovorov IP ne more podati v splošnem mnenju, ampak zgolj v konkretnem postopku inšpekcijskega nadzora. IP pa poudarja, da je vselej  treba zagotoviti varnost osebnih podatkov v skladu s Splošno uredbo o varstvu podatkov. Varnost osebnih podatkov se nanaša na to, kako s tehničnimi in organizacijskimi postopki in ukrepi preprečiti, da bi osebni podatki prišli v roke nepooblaščenim osebam, se nepooblaščeno uporabljali, brisali, spreminjali ali izgubili. Brez varnosti osebnih podatkov ni varstva osebnih podatkov, saj je varnost osebnih podatkov eno temeljnih načel širšega pojma varstvo osebnih podatkov. IP je v pomoč upravljavcem in obdelovalcem izdal tudi Smernice o zavarovanju osebnih podatkov, ki so dostopne ne spletni strani:

https://www.ip-rs.si/fileadmin/user_upload/Pdf/smernice/Smernice_o_zavarovanju_OP.pdf

 

S spoštovanjem.

 

 

Pripravil:

Matej Sironič,                                                  

Svetovalec pooblaščenca

za varstvo osebnih podatkov

 

 

Informacijski pooblaščenec:

Mojca Prelesnik, univ. dipl. prav.,

pooblaščenka