Vloga obdelovalca pri zagotavljanju storitve SMS obveščanja

Datum

28.07.2023

Številka

07121-1/2023/995

Kategorije

Pogodbena obdelava podatkov, Telekomunikacije in pošta

Pri Informacijskem pooblaščencu (IP) smo dne 19. 7. 2023 prejeli vaše zaprosilo za mnenje glede vloge pogodbenega partnerja, ki bi za vaše podjetje opravljal storitev SMS obveščanja. Navajate, da želite s telekomunikacijskim operaterjem skleniti pogodbo o pošiljanju obvestil preko SMS sporočil, zanima vas, v kakšni vlogi bi nastopal operater telekomunikacijskih storitev ter ali morate z njim skleniti pogodbo, s katero uredite medsebojna razmerja glede varstva osebnih podatkov.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22, ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba), 76. člena Zakona o varstvu osebnih podatkov na področju obravnavanja kaznivih dejanj (Uradni list RS, št. 177/20, ZVOPOKD) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A, ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

1. Pravni status upravljavca in obdelovalca naj bi sledila dejanskim okoliščinam obdelave podatkov, zato določitev upravljavca in obdelovalca v konkretnem primeru praviloma ne temelji na formalnih, temveč dejanskih okoliščinah obdelave.

2. Posameznik ali pravna oseba lahko glede na dejanske okoliščine obdelave osebnih podatkov nastopa v obeh vlogah: glede določenih obdelav osebnih podatkov ima vlogo upravljavca, saj določa sredstva in namene obdelave, glede drugih pa opravlja zgolj vlogo obdelovalca in obdeluje osebne podatke v skladu z navodili upravljavca.

3. V skladu s tretjim odstavkom 28. člena Splošne uredbe morajo biti obveznosti obdelovalca do upravljavca urejene s pogodbo ali drugim pravnim aktom, ki določa vsebino in trajanje obdelave, narava in namen obdelave, vrsto osebnih podatkov, kategorije posameznikov, na katere se nanašajo osebni podatki, ter obveznosti in pravice upravljavca.

Obrazložitev

IP uvodoma pojasnjuje, da izven postopka inšpekcijskega nadzora oziroma drugega upravnega postopka nima zakonskih pooblastil za presojo zakonitosti konkretnih obdelav osebnih podatkov in morebitnih kršitev pravic posameznikov, na katere se podatki nanašajo, niti ne more v konkretnem primeru presojati vloge posameznega podjetja kot upravljavca in obdelovalca podatkov. V nadaljevanju vam zato podajamo zgolj splošna pojasnila in pravna izhodišča v zvezi z vašim dopisom.

V skladu z definicijo iz 8. točke 4. člena Splošne Uredbe je obdelovalec fizična ali pravna oseba, javni organ, agencija ali drugo telo, ki obdeluje osebne podatke v imenu upravljavca. Obdelovalec je torej subjekt, ki dejansko obdelujejo osebne podatke v imenu in za namene, ki jih določi upravljavec.

Upravljavec je po drugi strani tisti subjekt, ki usmerja obdelavo osebnih podatkov s tem da določa namene in sredstva njihove obdelave, zato je v skladu z načelom odgovornosti tudi odgovoren za skladnost obdelave podatkov z Splošno uredbo in nacionalnimi pravili glede varstva podatkov, ki jo mora biti sposoben tudi dokazati. Poleg tega je dolžnost upravljavca, da za obdelavo podatkov izbere obdelovalca, ki bo podatke obdeloval zakonito in pri tem spoštoval vse pravice posameznikov, na katere se podatki nanašajo, ter mu o tem na njegovo zahtevo tudi poročal. Pravni status upravljavca in obdelovalca naj bi sledila dejanskim okoliščinam obdelave podatkov, zato določitev upravljavca in obdelovalca v konkretnem primeru praviloma ne temelji na formalnih, temveč dejanskih okoliščinah obdelave.

Posameznik ali pravna oseba lahko glede na dejanske okoliščine obdelave osebnih podatkov nastopa v obeh vlogah: glede določenih obdelav osebnih podatkov ima vlogo upravljavca, saj določa sredstva in namene obdelave, glede drugih pa opravlja zgolj vlogo obdelovalca in obdeluje osebne podatke v skladu z navodili upravljavca. Kot primer takšnih subjektov z dvojno naravo Smernice 07/2020 o konceptu upravljavca in obdelovalca v GDPR, ki jih je sprejel Evropski odbor za varstvo podatkov, navajajo ponudnike elektronskih komunikacijskih storitev, ki so praviloma v vlogi upravljavca glede osebnih podatkov, ki jih obdelujejo z namenom zagotavljanja storitve (npr. podatki o prometu in podatki za zaračunavanje storitve), ne pa tudi takrat, kadar ponudnik zgolj omogoča prenos elektronskega sporočila po omrežju. V tovrstnih primerih vloga upravljavca glede osebnih podatkov, ki so vsebovani v besedilu sporočila, ostane v rokah pošiljatelja sporočila.

Za presojo, ali so ponudniki elektronskih komunikacijskih storitev glede obdelave osebnih podatkov pri zagotavljanju storitve pošiljanja SMS sporočil v vlogi upravljavca, skupnega upravljavca ali obdelovalca torej ni odločilno, ali nastopajo kot upravljavci glede drugih osebnih podatkov, temveč je ključno zgolj izpolnjevanje kriterijev v skladu s Splošno uredbo: presoja se, kateri subjekt k konkretnem primeru določa sredstva in namene obdelave (upravljavec) in kateri zgolj obdeluje podatke v skladu z navodili upravljavca. V primeru, da menite, da gre za obdelavo, ki je glede namenov in sredstev odvisna od volje upravljavca (torej vas kot naročnika storitve SMS obveščanja), morate v skladu s tretjim odstavkom 28. člena Splošne uredbe pogodbeno (ali na podlagi drugega pravnega akta) urediti razmerje z obdelovalcem, vključno z določitvijo vsebine in trajanja obdelave, narave in namena obdelave, vrste osebnih podatkov, kategorije posameznikov, na katere se nanašajo osebni podatki, ter obveznosti in pravic upravljavca.

IP ob tem izpostavlja, da v skladu z načelom odgovornosti iz drugega odstavka 5. člena Splošne uredbe odgovornost za zagotavljanje skladnosti obdelave podatkov leži na upravljavcu, ki jo mora biti zmožen tudi dokazati.

V upanju, da ste dobili odgovor na vaša vprašanja, vas lepo pozdravljamo.

Pripravila

dr. Pika Šarf, Svetovalka IP za mednarodne odnose

Mojca Prelesnik, univ. dipl. prav., informacijska pooblaščenka