Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Iskalnik po mnenjih GDPR

+ -
Datum: 27.09.2019
Naslov: Pogodbena obdelava
Številka: 0712-1/2019/2204
Vsebina: Pogodbena obdelava podatkov
Pravni akt: Mnenje

Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaše zaprosilo za mnenje glede razmerja med vami in ponudnikom storitve plačevanja preko mobilne aplikacije, in sicer vas zanima, kakšno je vaše medsebojno razmerje glede obdelave osebnih podatkov ter ali je treba skleniti pogodbo o obdelavi osebnih podatkov.

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba o varstvu podatkov), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju: ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju: ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.

 

IP uvodoma pojasnjuje, da v skladu s 4. členom Splošne uredbe o varstvu podatkov pojem »upravljavec« pomeni fizično ali pravno osebo, javni organ, agencijo ali drugo telo, ki samo ali skupaj z drugimi določa namene in sredstva obdelave, pojem »obdelovalec« pa pomeni fizično ali pravno osebo, javni organ, agencijo ali drugo telo, ki obdeluje osebne podatke v imenu upravljavca.

 

Pogodbeni obdelovalci so tiste organizacije oziroma posamezniki, ki po naročilu določenega upravljavca osebnih podatkov in v skladu z njegovimi zahtevami za določeno nalogo oz. namen zanj obdelujejo osebne podatke posameznikov. IP poudarja, da je bistvenega pomena dejstvo, da lahko obdelovalec osebne podatke obdeluje zgolj za namene, za katere ga je pooblastil upravljavec in torej osebnih podatkov ne obdeluje za lastne namene. V vlogi obdelovalca bo tako nastopala tista pravna oziroma fizična oseba, ki bo obdelavo osebnih podatkov izvrševala izključno v imenu in za račun upravljavca osebnih podatkov, bo pri tem črpala podlago za obdelavo osebnih podatkov iz upravičenj upravljavca ter bo v zvezi s samimi dejanji obdelave vezana na navodila upravljavca.

 

IP poudarja, da v okviru mnenja ne more presojati ustreznosti določene rešitve z vidika skladnosti z obstoječimi predpisi. Presojo o ustreznosti lahko izvede le v okviru konkretnega inšpekcijskega ali upravnega postopka. Presoja glede zakonitosti obdelave oziroma obstoja pravne podlage za posamezno obdelavo je na vsakem upravljavcu (oz. obdelovalcu) posebej. Na podlagi podatkov, ki ste jih navedli v vašem zaprosilu, IP sicer meni, da ste tako vaše podjetje kot ponudnik storitve plačevanja preko mobilne aplikacije po vsej verjetnosti oba upravljavca osebnih podatkov. Ponudnik storitve plačevanja namreč najverjetneje ne obdeluje osebnih podatkov v vašem imenu in za vaš račun, prav tako ne črpa pravne podlage za obdelavo iz vaših upravičenj. Če je temu tako, potem v razmerju do vas ni obdelovalec osebnih podatkov v smislu Splošne uredbe o varstvu podatkov.

 

Ob tem IP opozarja, da morata oba upravljavca samostojno zagotoviti ustrezne ukrepe za zagotavljanje varnosti obdelav osebnih podatkov.

 

S spoštovanjem.

 

 

Pripravil:

Matej Sironič,                                                  

Svetovalec pooblaščenca

za varstvo osebnih podatkov

 

 

Mojca Prelesnik, univ. dipl. prav.,

Informacijska pooblaščenka