Informacijski pooblaščenec Republika Slovenija
SLO | ENG

Pogodbena obdelava

+ -

Na kratko

  • Kadar obdelavo osebnih podatkov v imenu upravljavca izvaja obdelovalec (ZVOP-1 je uporabljal izraz »pogodbeni obdelovalec«), mora za to obstajati pisna pogodba ali drug ustrezen akt.
  • Pogodba je potrebna, da obe stranki poznata svoje obveznosti in odgovornosti, ki iz tega izhajajo.
  • Uredba opredeljuje minimalni obseg sestavin, ki jih mora vsebovati pisni dogovor.
  • Upravljavci so odgovorni za skladnost z Uredbo in imenujejo le tiste obdelovalce, ki lahko zagotavljajo »zadostna jamstva«, da se zadosti zahtevam Uredbe in da se ustrezno varujejo tudi pravice posameznikov.
  • Obdelovalci lahko ravnajo z osebnimi podatki le na podlagi dokumentiranih navodil upravljavca. Po Uredbi imajo tudi obdelovalci določene neposredne odgovornosti, ki so lahko predmet samostojnih sankcij.
  • RELEVANTNE DOLOČBE UREDBE:
    člen: 28
    uvodna določba: 81

Kaj je novega?

  • Uredba zahteva, da so pogodbe v pisni obliki, 28. člen pa določa tudi minimalni obseg sestavin pogodbe o pogodbeni obdelavi (po ZVOP-1 je obstajala zahteva, da se v pogodbi opredeli tehnične in organizacijske ukrepe za zavarovanje (varnost) osebnih podatkov).
  • Zahteve po Uredbi se nanašajo na širši nabor pogodbenih sestavin, ki sledijo zahtevam po zagotavljanju in izkazovanju skladnosti z Uredbo.
  • Uredba dopušča uporabo standardnih pogodbenih določil, ki jih določi Evropska komisija ali nadzorni organi (npr. Informacijski pooblaščenec).
  • Upravljavec mora izbrati ustreznega obdelovalca, ki osebne podatke obdeluje skladno z Uredbo. Skladnost pri izbiri se lahko dokaže s tudi tem, da je izbrani obdelovalec pridružen določenemu kodeksu oziroma je pridobil ustrezen certifikat skladnosti obdelave. Kodeksi in certifikati lahko vsebujejo tudi standardna pogodbena določila (ta na EU ravni še niso pripravljena – spremljajte našo rubriko »AKTUALNO«).
  • Obdelovalec lahko najame pod-obdelovalca (podizvajalca posameznih obdelav) le s pisnim dovoljenjem upravljavca.

Tako obdelovalec kot upravljavec, sta lahko odgovorna za škodo zaradi kršitve varstva osebnih podatkov, za kršitve pa so predpisane tudi globe.

Zakaj je dogovor o pogodbeni obdelavi potreben?

Pisni dogovor (v obliki pogodbe ali drugega ustreznega pravnega akta) zagotovi, da se oba, upravljavec in obdelovalec, zavedata svojih pravic in obveznosti v zvezi z obdelavo osebnih podatkov. Tak akt jima pomaga, da zagotovita skladnost z Uredbo, hkrati pa pomaga tudi upravljavcu pri izkazovanju skladnosti. Uporaba pisnih pogodb dviguje tudi zaupanje posameznikov, da se njihovi osebni podatki obdelujejo zakonito in varno.

Katere sestavine mora vsebovati pogodba o pogodbeni obdelavi?

Iz pogodbe mora biti razvidno čigave in katere podatke, za kakšen namen in koliko časa jih bo obdelovalec obdeloval v imenu upravljavca. Iz pogodbe mora biti razviden tudi domet pravic in obveznosti upravljavca v zvezi z osebnimi podatki, saj upravljavec ne more prenesti na obdelovalca več pravic, kot jih ima sam, hkrati pa omejitve za upravljavca predstavljajo tudi omejitve za obdelovalca. 

Uredba predpisuje minimalni obseg sestavin pogodbe ali drugega pravnega akta, ki mora zlasti določati, da obdelovalec:

  • lahko osebne podatke obdeluje samo po dokumentiranih navodilih upravljavca,
  • zagotovi, da so osebe, ki so pooblaščene za obdelavo osebnih podatkov, zavezane k zaupnosti ali jih k zaupnosti zavezuje ustrezen zakon;
  • sprejme vse ukrepe, potrebne za varnost osebnih podatkov (ukrepe opiše v internem pravilniku o varnosti osebnih podatkov);
  • zaposli drugega obdelovalca le, če je prej pridobil posebno ali splošno pisno dovoljenje upravljavca in da zagotovi, da veljajo med obdelovalcem in pod-obdelovalcem enake obveznosti kot med upravljavcem in obdelovalcem in da je med njima sklenjena pisna pogodba.
  • upravljavcu pomaga pri izpolnjevanju njegovih obveznosti, da odgovori na zahteve za uresničevanje pravic posameznika, na katerega se nanašajo osebni podatki;
  • upravljavcu pomaga pri zagotavljanju varnosti obdelave osebnih podatkov, uradnem obveščanju o kršitvah in oceni učinkov na varstvo osebnih podatkov;
  • po zaključku storitve obdelave izbriše ali vrne vse osebne podatke upravljavcu (razen kadar hrambo predpisuje zakon);
  • da upravljavcu na voljo vse informacije, potrebne za dokazovanje izpolnjevanja obveznosti iz člena 28 Uredbe, ter upravljavcu ali drugemu revizorju, ki ga pooblasti upravljavec, omogoči izvajanje revizij, tudi pregledov, in pri njih sodeluje.

Ali se lahko uporablja standardna pogodbena določila?

Uredba omogoča uporabo standardnih pogodbenih določil, ki jih določi Komisija ali ki jih sprejme nadzorni organ (Informacijski pooblaščenec). Trenutno standardna pogodbena določila še niso na voljo.

Standardna pogodbena so lahko vključena v kodeks ravnanja ali certifikacijski mehanizem za skladnost, ki izkazuje skladno obdelavo osebnih podatkov. Trenutno pa tovrstne sheme še niso na voljo.

Kakšne so odgovornosti obdelovalca po Uredbi?

Obdelovalec lahko ravna zgolj po dokumentiranih navodilih upravljavca. Če obdelovalec sam določi sredstva in namene obdelave osebnih podatkov (izven navodil upravljavca), potem se šteje, da podatke obdeluje kot upravljavec in nosi enake obveznosti kot upravljavec (obstoj in izkazovanje pravne podlage, minimalni obseg podatkov, …).

Poleg pogodbenih obveznosti do upravljavca je obdelovalec po Uredbi neposredno odgovoren da:

  • ne angažira pod-obdelovalcev brez predhodnega pisnega dovoljenja upravljavca;
  • sodeluje z nadzornimi organi (kot npr. Informacijski pooblaščenec);
  • zagotavlja varnost obdelave osebnih podatkov;
  • vodi evidence dejavnosti obdelav;
  • upravljavca obvesti o kršitvi;
  • po potrebi imenuje pooblaščeno osebo za varstvo osebnih podatkov;
  • imenuje predstavnika znotraj EU, kadar je to potrebno;

Če obdelovalec ne izpolni svojih obveznosti po Uredbi ali pa deluje v neskladju s pogodbo z upravljavcem, lahko odgovarja odškodninsko v razmerju do upravljavca in posameznikov, lahko pa je podvržen tudi globam in popravljalnim ukrepom nadzornega organa.