Pogodbena obdelava

Na kratko

Kadar obdelavo osebnih podatkov v imenu upravljavca izvaja obdelovalec, mora za to obstajati pisna pogodba ali drug ustrezen akt.
Pogodba je potrebna, da obe stranki poznata svoje obveznosti in odgovornosti, ki iz tega izhajajo.
Splošna uredba opredeljuje minimalni obseg sestavin, ki jih mora vsebovati pisni dogovor.
Upravljavci so odgovorni za skladnost s Splošno uredbo in imenujejo le tiste obdelovalce, ki lahko zagotavljajo »zadostna jamstva«, da se zadosti zahtevam Splošne uredbe in da se ustrezno varujejo tudi pravice posameznikov.
Obdelovalci lahko ravnajo z osebnimi podatki le na podlagi dokumentiranih navodil upravljavca. Po Splošni uredbi imajo tudi obdelovalci določene neposredne odgovornosti, ki so lahko predmet samostojnih sankcij.
RELEVANTNE DOLOČBE SPLOŠNE UREDBE:
členi: 28, 29
uvodna določba: 81
RELEVANTNE DOLOČBE ZVOP-2:
ZVOP-2 pogodbene obdelave ne ureja posebej ali drugače, vendar pa številne obveznosti upravljavcev po ZVOP-2 veljajo tudi za obdelovalce.
OBVEZNO BRANJE: Smernice o (pogodbeni) obdelavi osebnih podatkov po Splošni uredbi o varstvu podatkov

Katere so ključne zahteve Splošne uredbe in ZVOP-2 glede pogodbene obdelave?

Splošna uredba zahteva, da so pogodbe v pisni obliki, 28. člen pa določa tudi minimalni obseg sestavin pogodbe o pogodbeni obdelavi .
Zahteve po Splošni uredbi se nanašajo na širši nabor pogodbenih sestavin, ki sledijo zahtevam po zagotavljanju in izkazovanju skladnosti s Splošno uredbo.
Splošna uredba dopušča uporabo standardnih pogodbenih določil, ki jih določi Evropska komisija ali nadzorni organi (npr. Informacijski pooblaščenec).
Upravljavec mora izbrati ustreznega obdelovalca, ki osebne podatke obdeluje skladno s Splošno uredbo. Skladnost pri izbiri se lahko dokaže s tudi tem, da je izbrani obdelovalec pridružen določenemu kodeksu oziroma je pridobil ustrezen certifikat skladnosti obdelave. Kodeksi in certifikati lahko vsebujejo tudi standardna pogodbena določila (ta na EU ravni še niso pripravljena – spremljajte našo rubriko »AKTUALNO«).
Obdelovalec lahko najame pod-obdelovalca (podizvajalca posameznih obdelav) le s pisnim dovoljenjem upravljavca.
Po določbi 29. člena Splošne uredbe obdelovalec in katera koli oseba, ki ukrepa pod vodstvom upravljavca ali obdelovalca in ima dostop do osebnih podatkov, teh podatkov ne sme obdelati brez navodil upravljavca, razen če to od njega zahteva pravo Unije ali pravo države članice.
ZVOP-2 določb glede pogodbene obdelave v smislu ureditve medsebojnega razmerja ter pravic in obveznosti upravljavcev in obdelovalcev posebej ali drugače ne ureja in glede tega velja Splošna uredba, se pa morajo obdelovalci zavedati, da tudi zanje veljajo tako določbe Splošne uredbe določbe ZVOP-2 (npr. glede zavarovanja osebnih podatkov, ki so predmet postopka, glede dnevnikov obdelave in varnosti osebnih podatkov na področju posebnih obdelav itd.).

Tako obdelovalec kot upravljavec, sta lahko odgovorna za škodo zaradi kršitve varstva osebnih podatkov, za kršitve pa so predpisane tudi globe.

Zakaj je dogovor o pogodbeni obdelavi potreben?

Pisni dogovor (v obliki pogodbe ali drugega ustreznega pravnega akta) zagotovi, da se oba, upravljavec in obdelovalec, zavedata svojih pravic in obveznosti v zvezi z obdelavo osebnih podatkov. Tak akt jima pomaga, da zagotovita skladnost s Splošno uredbo, hkrati pa pomaga tudi upravljavcu pri izkazovanju skladnosti. Uporaba pisnih pogodb dviguje tudi zaupanje posameznikov, da se njihovi osebni podatki obdelujejo zakonito in varno.

Katere sestavine mora vsebovati pogodba o pogodbeni obdelavi?

Iz pogodbe mora biti razvidno čigave in katere podatke, za kakšen namen in koliko časa jih bo obdelovalec obdeloval v imenu upravljavca. Iz pogodbe mora biti razviden tudi domet pravic in obveznosti upravljavca v zvezi z osebnimi podatki, saj upravljavec ne more prenesti na obdelovalca več pravic, kot jih ima sam, hkrati pa omejitve za upravljavca predstavljajo tudi omejitve za obdelovalca.

Splošna uredba predpisuje minimalni obseg sestavin pogodbe ali drugega pravnega akta, ki mora zlasti določati, da obdelovalec:

lahko osebne podatke obdeluje samo po dokumentiranih navodilih upravljavca,
zagotovi, da so osebe, ki so pooblaščene za obdelavo osebnih podatkov, zavezane k zaupnosti ali jih k zaupnosti zavezuje ustrezen zakon;
sprejme vse ukrepe, potrebne za varnost osebnih podatkov (ukrepe opiše v internem pravilniku o varnosti osebnih podatkov);
zaposli drugega obdelovalca le, če je prej pridobil posebno ali splošno pisno dovoljenje upravljavca in da zagotovi, da veljajo med obdelovalcem in pod-obdelovalcem enake obveznosti kot med upravljavcem in obdelovalcem in da je med njima sklenjena pisna pogodba.
upravljavcu pomaga pri izpolnjevanju njegovih obveznosti, da odgovori na zahteve za uresničevanje pravic posameznika, na katerega se nanašajo osebni podatki;
upravljavcu pomaga pri zagotavljanju varnosti obdelave osebnih podatkov, uradnem obveščanju o kršitvah in oceni učinkov na varstvo osebnih podatkov;
po zaključku storitve obdelave izbriše ali vrne vse osebne podatke upravljavcu (razen kadar hrambo predpisuje zakon);
da upravljavcu na voljo vse informacije, potrebne za dokazovanje izpolnjevanja obveznosti iz 28. člena Splošne uredbe, ter upravljavcu ali drugemu revizorju, ki ga pooblasti upravljavec, omogoči izvajanje revizij, tudi pregledov, in pri njih sodeluje.

Ali se lahko uporablja standardna pogodbena določila (vzorčne pogodbe)?

Splošna uredba omogoča uporabo standardnih pogodbenih določil, ki jih določi Evropska komisija ali ki jih sprejme nadzorni organ (Informacijski pooblaščenec) in odobri Evropski odbora za varstvo osebnih podatkov (EDPB). Informacijski pooblaščenec je kot drugi evropski nadzorni organ za varstvo osebnih podatkov pripravil standardna pogodbena določila za ureditev pogodbenega razmerja med upravljavci in obdelovalci podatkov. Standardna pogodbena določila so bila potrjena s strani Evropskega odbora za varstvo osebnih podatkov (EDPB), kot to zahteva Splošna uredba o varstvu podatkov (GDPR).

Standardna pogodbena določila sledijo zahtevam člena 28 Splošne uredbe o varstvu osebnih podatkov in jih lahko upravljavci z ustreznimi prilagoditvami glede na konkretno situacijo uporabijo kot vzročno pogodbo, ko najemajo storitve pogodbenih obdelovalcev, kot so npr. računovodski servisi, ponudniki IT storitev, klicnih centrov in drugih obdelav osebnih podatkov ter za najemanje storitev pod-obdelovalcev.

Standardna pogodbena določila so dostopna so na tej povezavi (.doc / .pdf).

Določil se ne sme enačiti s standardnimi pogodbenimi določili v smislu določb 2(c) in 2(d) odstavka 46. člena Splošne uredbe o varstvu podatkov in se na ta določila ne sme zanašati kot na orodje za prenos podatkov v tretje države po Poglavju V Splošne uredbe.

Za prenos podatkov v tretje države na podlagi že veljavnih standardnih pogodbenih klavzul ni (več) potrebno pridobiti posebnega dovoljenja Informacijskega pooblaščenca. Lahko pa se zaščitni ukrepi zagotovijo tudi z drugimi pogodbenimi določili (torej ne s standardnimi pogodbenimi določili), vendar je v tem primeru potrebno pridobiti dovoljenje nadzornega organa (Informacijskega pooblaščenca), ki dovoljenje izda po pridobitvi mnenja Evropskega odbora za varstvo podatkov (po postopku iz 63. člena Splošne uredbe).

Za zakonit prenos osebnih podatkov v tretjo državo mora biti poleg tega vedno zadoščeno tudi vsem ostalim pogojem za zakonito obdelavo osebnih podatkov po Splošni uredbi (npr. sklenitev pogodbe o pogodbeni obdelavi po 28. členu Splošne uredbe). V pogodbo med upravljavcem in obdelovalcem je poleg standardnih pogodbenih klavzul tako potrebno vključiti tudi druge obvezne pogodbene sestavine, ki jih mora vsebovati pogodba skladno s 28. členom Splošne uredbe, vendar te določbe ne smejo biti v nasprotju s standardnimi pogodbenimi klavzulami.

Standardna pogodbena določila so lahko vključena v kodeks ravnanja ali certifikacijski mehanizem za skladnost, ki izkazuje skladno obdelavo osebnih podatkov.

Kakšne so odgovornosti obdelovalca po Splošni uredbi in ZVOP-2?

Obdelovalec lahko ravna zgolj po dokumentiranih navodilih upravljavca. Če obdelovalec sam določi sredstva in namene obdelave osebnih podatkov (izven navodil upravljavca), potem se šteje, da podatke obdeluje kot upravljavec in nosi enake obveznosti kot upravljavec (obstoj in izkazovanje pravne podlage, minimalni obseg podatkov, …).

Poleg pogodbenih obveznosti do upravljavca je obdelovalec po Splošni uredbi neposredno odgovoren da:

ne angažira pod-obdelovalcev brez predhodnega pisnega dovoljenja upravljavca;
sodeluje z nadzornimi organi (kot npr. Informacijski pooblaščenec);
zagotavlja varnost obdelave osebnih podatkov;
vodi evidence dejavnosti obdelav;
upravljavca obvesti o kršitvi;
po potrebi imenuje pooblaščeno osebo za varstvo osebnih podatkov;
imenuje predstavnika znotraj EU, kadar je to potrebno;
spoštuje zahteve ZVOP-2, ki poleg upravljavcev zavezujejo tudi obdelovalce.

Če obdelovalec ne izpolni svojih obveznosti po Splošni uredbi ali pa deluje v neskladju s pogodbo z upravljavcem, lahko odgovarja odškodninsko v razmerju do upravljavca in posameznikov, lahko pa je podvržen tudi globam in popravljalnim ukrepom nadzornega organa.