Skupni upravljavci

Na kratko

Splošna uredba opredeljuje upravljavca kot fizično ali pravno osebo, javni organ, agencijo ali drugo telo, ki samo ali skupaj z drugimi določa namene in sredstva obdelave. Obdelava lahko v določenih primerih torej poteka tako, da je udeleženih več upravljavcev, ki skupaj določijo namen in način obdelave osebnih podatkov, npr. primeri, ko zakon naloge upravljavcev razdeli med več subjektov, skupne nagradne igre, informacijske baze ali promocije izdelkov, skupno izvajanje videonadzora, vzpostavitev skupnih platform, itd. V takih primerih govorimo o skupnih upravljavcih.

Nameni in sredstva obdelave niso za vse skupne upravljavce vedno nujno enaki, morajo pa biti s strani skupnih upravljavcev skupno določeni. Lahko jih določa tudi zakon.
Delitev odgovornosti morajo skupni upravljavci določiti z dogovorom, ki mora jasno odražati vloge in odgovornosti vsakega skupnega upravljavca, še posebej glede vprašanja izvrševanja pravic posameznikov in obveščanja posameznikov o obdelavi osebnih podatkov. Pri tem morajo upoštevati morebitne delitve odgovornosti, ki jih opredeljuje zakon.
Bistveno vsebino dogovora je treba dati na voljo posameznikom, na katere se nanašajo osebni podatki.
Ne glede na določbe dogovora, se lahko posamezniki v zvezi z izvrševanjem svojih pravic obrnejo na katerega koli skupnega upravljavca ali kontaktno točko (če je odločena).
Posameznik lahko proti kateremukoli skupnemu upravljavcu uveljavlja odškodnino za celotno nastalo škodo.
RELEVANTNI ČLENI UREDBE
- Uvodne določbe: 79, 92, 146
- Členi: 4 (7), 26, 82
OBVEZNO BRANJE

Kdaj govorimo o skupnih upravljavcih?

Splošna uredba v 26. členu določa, da so skupni upravljavci dva ali več upravljavcev, ki skupaj določijo namene in načine obdelave. Dva ali več upravljavcev morajo torej skupaj določiti namene (razloge, obseg in cilje), kakor tudi načine (sredstva in metode) obdelave osebnih podatkov. Ob tem je pomembno, da imajo skupni upravljavci pravno podlago za obdelavo osebnih podatkov, ki pa ni za vse upravljavce nujno enaka. Pri obdelavi morajo upoštevati tudi splošna načela Splošne uredbe, npr. načelo omejitve namena in preprečiti uporabo podatkov za druge (nezdružljive) namene.

Skupni upravljavci nimajo nujno vedno enakih vlog ali enakovredno porazdeljenih odgovornosti. Tako so lahko skupni upravljavci vključeni v določene stopnje obdelave osebnih podatkov in v različnem obsegu. Tudi nameni in sredstva niso vedno nujno enaki, morajo pa biti skupno določeni. V primeru upravljavcev v javnem sektorju te namene običajno določa zakon.

a) Sodelovanje pri določitvi namenov in sredstev obdelave

Pri ugotavljanju obstoja skupnih upravljavcev je treba preučiti, ali več kot ena stranka sprejme odločitev o določitvi namenov in sredstev, značilnih za upravljavca. V primeru obdelav, ki jih določa zakon je treba preučiti, kako namene in naloge upravljavstva med posamezne deležnike razdeli zakon.

Skupna upravljavca morata sodelovati pri določitvi namenov in sredstev obdelave osebnih podatkov, kar lahko poteka na podlagi skupne odločitve, ali temelji na med seboj povezanih odločitvah dveh ali več subjektov. Odločitve so skladno s sodno prakso Sodišča EU povezane, če druga drugo dopolnjujejo in so potrebne zato, da obdelava poteka tako, da konkretno vplivajo na določitev namenov in sredstev obdelave. Pomembno merilo pri tem je, da obdelava ne bi bila mogoča brez sodelovanja vseh strani v smislu, da je obdelava vsakega subjekta neločljivo povezana. Pri tem se naj upošteva celotna veriga obdelave osebnih podatkov. Če posamezen upravljavec v določeni fazi sam odloča o namenih in sredstvih obdelave, ga je v tem delu treba šteti za samostojnega upravljavca.

b) Skupaj določeni nameni

Za skupne upravljavce gre, kadar subjekti, vključeni v obdelavo, le-to izvajajo za enake ali skupne namene. Kadar subjekti nimajo enakega namena za obdelavo osebnih podatkov, je mogoče skupno upravljanje vzpostaviti tudi, ko vključeni subjekti sledijo namenom, ki so tesno povezani ali se dopolnjujejo. To velja recimo v primeru, kadar iz postopka obdelave izhaja vzajemna korist, pri čemer vsak od vključenih subjektov sodeluje pri določitvi namenov in sredstev obdelave. Za tak primer je Sodišče EU označilo obdelavo spletnega mesta z uporabo socialnega vtičnika z namenom oglaševanja izdelkov na družabnem omrežju (zadeva Fashion ID, C-40/17).

c) Skupaj določena sredstva

Za skupno upravljanje je tudi pomembno, da imata dva ali več subjektov vpliv na sredstva obdelave. Glede na to, da so različni subjekti lahko udeleženi v obdelavi v različnih fazah in stopnjah obdelave, je mogoče tudi to, da skupni upravljavci v različnem obsegu opredelijo sredstva obdelave, odvisno od tega, kdo je sposoben opraviti določen način obdelave podatkov. Primer je uporaba različnih platform, standardiziranih orodij, oz. drugih infrastruktur, ki jo je vzpostavila ena od strank, zato da jo uporabljajo druge, vendar so tudi te odločale o tem, kako jo vzpostaviti. Pri obdelavah, ki jih določa zakon je lahko prav vpliv posameznih deležnikov na sredstva obdelave eden od ključnih elementov za presojo delitve vlog.

Vzpostavitev videonadzora dostopa v uradne službene oz. poslovne prostore poslovne stavbe, ki so ga uvedli lastniki poslovnih prostorov na način, da se uporablja skupna infrastruktura in nastaja skupna zbirka osebnih podatkov, videonadzor pa skladno z dogovorom izvaja eden od lastnikov poslovnih prostorov.

Primeri skupnih upravljavcev:

Vodenje skupne evidence vstopov v poslovno stavbo za vse najemnike oz. lastnike poslovnih prostorov s strani varnostne službe, in sicer zaradi varnosti ljudi in premoženja, varovanja tajnih podatkov ter reda v poslovnih prostorih.

Državni organi so lahko skupni upravljavci pri uporabi informacijskih rešitev (platform), ki jih eden izmed njih v okviru svojih pristojnosti razvije za namen izmenjave podatkov med različnimi organi. Državni organi skupaj določijo namene na temelju svojih pristojnosti za svoj del skupne obdelave, saj zasledujejo medsebojno povezana oz. dopolnjujoča se namena, določena z zakonom - učinkovito izmenjavo podatkov ter vzpostavitev informacijskih rešitev, ki bo organom omogočala učinkovito izmenjavo podatkov.

Vzpostavitev videonadzora dostopa v večstanovanjsko stavbo, ki so ga uvedli etažni lastniki na način, da se uporablja skupna infrastruktura in nastaja skupna zbirka osebnih podatkov, videonadzor pa skladno z dogovorom izvaja eden od etažnih lastnikov.

Kdaj ne gre za skupno upravljanje?

Da bi ugotovili, ali gre v konkretnem primeru za skupne upravljavce, ali pa morda za ločene (samostojne) upravljavce, ali celo pogodbenega obdelovalca, je treba opraviti analizo konkretne obdelave in razjasniti vloge posameznih udeleženih subjektov.

Kadar upravljavci ne delujejo enotno in ne obdelujejo podatkov za skupno določene namene in na skupno določene načine, ne gre za skupne, ampak za ločene, samostojne upravljavce (npr. obdelujejo iste podatke, vendar vsak za svoje namene).

V naslednjih primerih, ki jih je izpostavil Evropski odbor za varstvo podatkov v Smernicah 7/2020, ne bo šlo za skupne upravljavce:

a) izmenjava enakih podatkov ali niza podatkov med dvema subjektoma brez skupaj določenih namenov ali sredstev obdelave, npr. prenos podatkov med ločenimi upravljavci;

Primer: posredovanje podatkov o zaposlenih glede plač davčnemu organu zaradi opravljanja davčnega nadzora.

b) uporaba skupne podatkovne zbirke ali skupne infrastrukture, če vsak subjekt neodvisno določi svoje namene;

Primer: trženjske aktivnosti v skupini podjetij, ki uporabljajo skupno podatkovno zbirko za upravljanje strank, pri čemer vsak subjekt vnaša podatke za svoje stranke in podatke obdeluje za svoje namene, do podatkov drug drugega pa ne more dostopati niti jih npr. ne hrani, niti podatkov drug drugega ne obdelujeta za lastne namene (npr. za namene delovanja skupne infrastrukture).

c) zaporedna obdelava osebnih podatkov, pri čemer ima vsak subjekt v svojem delu neodvisen namen in sredstva obdelave.

Primer: upravljavci obdelujejo podatke za svoje namene, vendar morajo statističnemu organu po zakonu posredovati nekatere podatke. Zaradi odločitve statističnega organa morajo pri tem uporabiti določen sistem za obdelavo oz. razkrivanje podatkov. Statistični organ bo prejete podatke obdelal v svoje namene oz. bo edini upravljavec obdelave za namen analize in statistike.

Kadar upravljavec določi namen in sredstva obdelave osebnih podatkov, zaposli pa drugega subjekta za izvedbo obdelave v njegovem imenu, govorimo o pogodbeni obdelavi.

Katere elemente naj vsebuje medsebojni dogovor?

Skupni upravljavci morajo na pregleden način z medsebojnim dogovorom določiti dolžnosti vsakega od njih z namenom izpolnjevanja obveznosti v skladu s Splošno uredbo. Dogovor naj odraža vlogo oz. odgovornosti vsakega od skupnih upravljavcev in njegovo razmerje do posameznikov, na katere se nanašajo osebni podatki. Zlasti je treba dogovoriti, kdo in kako bo uresničeval pravice posameznikov po Splošni uredbi (pravica dostopa, popravka, omejitve, izbrisa, ugovora, prenosljivosti, avtomatizirana obdelava) ter posameznike obveščal glede obdelave osebnih podatkov. Izjema velja v primerih, ko je zakonodajalec že vnaprej določil obveznosti skupnih upravljavcev. V primerih, ko namene in naloge skupnih upravljavcev določi zakon, je smiselno, da skupni upravljavcu v dogovoru določijo tehnično izvedbene podrobnosti delitve in izvedbe dolžnosti vsakega do njih, ki jih običajno zakon ne določi.

Oblika dogovora ni posebej predpisana, vendar mora biti dogovor zavezujoč za vsakega od skupnih upravljavcev. Dogovor mora jasno odražati vloge in odgovornosti vsakega upravljavca. IP priporoča, da se sklene samostojni pisni dogovor ali pa se vsebina dogovora zapiše v Politiki zasebnosti posameznih upravljavcev. Obveznosti za skupne upravljavce naj bodo navedene pregledno – v jasnem in preprostem jeziku.

Kot smo že vzpostavili v Priporočilih IP glede skupnih upravljavcev, naj dogovor o skupnem upravljanju vsebuje vsaj:

- uvod (upravljavci, ki sklepajo dogovor, njihovi kontaktni podatki, pravna podlaga dogovora, sklic na določbe Splošne uredbe o skupnem upravljanju),

- pomen izrazov (priporoča se sledenje opredelitvam iz Splošne uredbe ter po potrebi vpeljava dodatnih izrazov za namen dogovora),

- obseg obdelave,

- pravno podlago obdelave,

- namene in način obdelave,

- vrste osebnih podatkov, ki bodo predmet obdelave,

- način pridobivanja podatkov,

- rok hrambe podatkov,

- uporabnike ali kategorije uporabnikov osebnih podatkov,

- prenos osebnih podatkov v tretje države ali mednarodne organizacije,

- pravice posameznikov (dostop, popravek, izbris, omejitev obdelave, prenosljivost, ugovor, avtomatizirana obdelava) in način njihovega izvrševanja,

- način obravnavanja pritožb,

- varnost osebnih podatkov (tehnične in organizacijske ukrepe),

- dolžnosti, postopek in način poročanja v primerih kršitev varnosti osebnih podatkov,

- pristojni nadzorni organ in način komuniciranja z njim,

- način reševanja sporov v zvezi z dogovorom,

- skrbnike dogovora,

- navedbo pooblaščenih oseb za varstvo osebnih podatkov in njihove kontakte,

- veljavnost dogovora.

Z dogovorom se lahko določi kontaktna točka za posameznike, na katere se nanašajo osebni podatki.

Glede na konkretno obdelavo naj skupni upravljavci po potrebi vključijo tudi določbe glede priprave ocene učinka v zvezi z varstvom podatkov in pogodbene obdelave osebnih podatkov. Ključne obveznosti upravljavcev si lahko ogledate v infografiki GDPR na kratko.

Katere informacije je treba zagotoviti posameznikom?

Skupna upravljavca morata bistveno vsebino dogovora dati na voljo posamezniku, na katerega se nanašajo osebni podatki. Jasno mora biti, kateri upravljavec je odgovoren za izvrševanje pravic posameznikov in najmanj vsi elementi, ki so določeni v 13. in 14. členu Splošne uredbe v zvezi z obveščanjem posameznikov o obdelavi osebnih podatkov (npr. o namenih, za katere se osebni podatki obdelujejo, pravni podlagi za njihovo obdelavo, uporabnikih osebnih podatkov, prenosu osebnih podatkov v tretje države, obdobju hrambe osebnih podatkov, itd.).

Priporočamo, da se določi kontaktna točka za posameznike za olajševanje izvrševanja njihovih pravic (to je lahko npr. pooblaščena oseba za varstvo podatkov). Posameznik, katerega osebni podatki se obdelujejo, lahko ne glede na dogovor o odgovorni osebi v zvezi z uresničevanjem pravic posameznika (oz. ne glede na določitev kontaktne točke) uresničuje svoje pravice glede vsakega od upravljavcev in proti vsakemu od njih.

Skupni upravljavci se sami odločijo, kateri je v konkretnem primeru najučinkovitejši način za dostop posameznikov do vsebine dogovora, npr. skupaj z informacijami po 13. in 14. členu Splošne uredbe, v politiki zasebnosti, preko kontaktne točke ali pooblaščene osebe za varstvo podatkov, itd.

Več informacij glede obveščanja posameznikov je dostopnih na zavihku Obveščanje posameznikov o obdelavi osebnih podatkov, o pravicah posameznikov pa na zavihku Pravice posameznika.

Odgovornost skupnih upravljavcev za nastalo škodo

Splošna uredba določa, da je vsak upravljavec, vključen v obdelavo, odgovoren za škodo, ki jo povzroči obdelava, ki krši Splošno uredbo. Če bi bil v isto obdelavo vključen več kot en upravljavec ali obdelovalec (ali npr. oba) in so odgovorni za katero koli škodo, nastalo zaradi obdelave, je vsak upravljavec ali obdelovalec odgovoren za celotno škodo. Namen določila je zagotovitev učinkovite odškodnine posamezniku.

Kadar je upravljavec plačal celotno odškodnino za nastalo škodo, je upravičen, da od drugih upravljavcev ali obdelovalcev, vključenih v isto obdelavo, zahteva povračilo tistega dela odškodnine, ki ustreza njihovemu delu odgovornosti za škodo.

Koristni nasveti

Priporočljivo je, da skupni upravljavci izvedejo notranjo analizo glede razdelitve obveznosti in dokumentirajo bistvene dejavnike, ki so na odločitev vplivali.

Pri razdelitvi obveznosti naj skupni upravljavci upoštevajo okoliščine skupne obdelave. Morda katere ob obveznosti ne bo mogoče razdeliti in jih bodo morali izvajati vsi skupni upravljavci (npr. ukrepi za zavarovanje osebnih podatkov). Določene obveznosti bo moral izpolnjevati vsak upravljavec, neodvisno od skupnega upravljanja, npr. vodenje evidenc dejavnosti obdelave, določitev pooblaščene osebe za varstvo podatkov, itd.