Notranji akt namesto pogodbe o obdelavi osebnih podatkov z obdelovalcem

Datum

25.09.2023

Številka

07120-1/2023/431

Kategorije

Pogodbena obdelava podatkov, Varnost osebnih podatkov

Informacijski pooblaščenec (v nadaljevanju IP) je po elektronski pošti prejel vaše vprašanje glede urejanja medsebojnega razmerja z obdelovalcem osebnih podatkov. Zanima vas, ali je dovolj, če na ravni vas kot upravljavca sprejmete notranji akt, v katerem se določijo ukrepi in postopki za zavarovanje osebnih podatkov, ali bi poleg takega akta morali vseeno skleniti pogodbo o obdelavi osebnih podatkov.

***

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22, ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A, ZInfP) posredujemo naše nezavezujoče mnenje v zvezi z vašim vprašanjem.

1.Obdelavo s strani obdelovalca mora urejati pogodba ali drug pravni akt v skladu s pravom Unije ali pravom države članice, ki določa obveznosti obdelovalca do upravljavca.

2.Notranji akt (na strani upravljavca ali obdelovalca), ki določa ukrepe in postopke za zavarovanje osebnih podatkov, je lahko sestavni del sklenjene pogodbe oz. drugega pravnega akta med upravljavcem in obdelovalcem. Lahko pa so ti ukrepi opredeljeni tudi v sami pogodbi ali na drug način.

3.Splošna uredba sicer ne zahteva sklenitve posebne pogodbe o obdelavi osebnih podatkov, kajti obveznosti z obdelovalcem lahko upravljavec uredi tudi z drugim pravnim aktom (dogovorom, sporazumom, itd.) vsekakor pa mora pri tem upoštevati določbo 28. člena Splošne uredbe, ki predpisuje minimalni obseg sestavin pogodbe ali drugega pravnega akta ter zagotoviti, da je pravni način sklenitve tega razmerja pravno zavezujoč za obe stranki, ki tak dogovor/sporazum sprejmeta.

O b r a z l o ž i t e v:

Uvodoma pojasnjujemo, da lahko konkretno presojo glede vašega vprašanja opravimo zgolj v okviru postopka inšpekcijskega nadzora. IP namreč ne sme in ne more prevzeti odgovornosti posameznih subjektov za njihovo poslovanje, podobno kot to velja za druge inšpekcijske organe. Zato poudarjamo, da IP v mnenju ne more namesto upravljavca presojati in odločati, kakšno pogodbo naj kot upravljavec sklene z obdelovalcem osebnih podatkov in kakšne notranje akte naj bi morali sprejeti.

Skrb za zakonito poslovanje tudi v kontekstu zakonite obdelave osebnih podatkov je namreč naloga in odgovornost upravljavca.

Obveznost pravnega urejanja razmerja med upravljavcem in obdelovalcem določa 28. člen Splošne uredbe, kjer je predpisano, da obdelavo s strani obdelovalca mora urejati pogodba ali drug pravni akt v skladu s pravom Unije ali pravom države članice, ki določa obveznosti obdelovalca do upravljavca, v katerem mora biti določena vsebina in trajanje obdelave; narava in namen obdelave; vrsta osebnih podatkov; kategorije posameznikov, na katere se nanašajo osebni podatki ter obveznosti in pravice upravljavca. Ta pogodba ali drug pravni akt mora tudi predpisati, da obdelovalec:

(a) osebne podatke obdeluje samo po dokumentiranih navodilih upravljavca, vključno glede prenosov osebnih podatkov v tretjo državo ali mednarodno organizacijo, razen če to od njega zahteva pravo Unije ali pravo države članice, ki velja za obdelovalca; v slednjem primeru obdelovalec o tej pravni zahtevi pred obdelavo podatkov obvesti upravljavca, razen če zadevno pravo prepoveduje takšno obvestilo na podlagi pomembnih razlogov v javnem interesu;

(b) zagotovi, da so osebe, ki so pooblaščene za obdelavo osebnih podatkov, zavezane k zaupnosti ali jih k zaupnosti zavezuje ustrezen zakon;

(c) sprejme vse ukrepe, potrebne v skladu s členom 32;

(d) spoštuje pogoje iz odstavkov 2 in 4 za zaposlitev drugega obdelovalca;

(e) ob upoštevanju narave obdelave pomaga upravljavcu z ustreznimi tehničnimi in organizacijskimi ukrepi, kolikor je to mogoče, pri izpolnjevanju njegovih obveznosti, da odgovori na zahteve za uresničevanje pravic posameznika, na katerega se nanašajo osebni podatki, iz poglavja III;

(f) upravljavcu pomaga pri izpolnjevanju obveznosti iz členov 32 do 36 ob upoštevanju narave obdelave in informacij, ki so dostopne obdelovalcu;

(g) v skladu z odločitvijo upravljavca izbriše ali vrne vse osebne podatke upravljavcu po zaključku storitev v zvezi z obdelavo ter uniči obstoječe kopije, razen če pravo Unije ali pravo države članice predpisuje shranjevanje osebnih podatkov;

(h) da upravljavcu na voljo vse informacije, potrebne za dokazovanje izpolnjevanja obveznosti iz tega člena, ter upravljavcu ali drugemu revizorju, ki ga pooblasti upravljavec, omogoči izvajanje revizij, tudi pregledov, in pri njih sodeluje.

Zadevni pisni dogovor (lahko v obliki pogodbe, sporazuma oz. druge vrste pravnega urejanja) zagotavlja, da se tako upravljavec kot obdelovalec zavedata svojih pravic in obveznosti v zvezi z obdelavo osebnih podatkov. Odgovornost za zakonito obdelavo osebnih podatkov je primarno na strani upravljavca in ostaja njegova odgovornost tudi po njihovem posredovanju pogodbenemu obdelovalcu. Ob tem pa IP opozarja, da ima v zvezi s pogodbeno obdelavo obdelovalec podobne obveznosti kot upravljavec osebnih podatkov in je neposredno odgovoren za zakonito obdelavo osebnih podatkov v okviru svojih pooblastil. Pravila zakonite obdelave osebnih podatkov mora poznati in jih v praksi tudi ustrezno izvrševati.

V zvezi z zagotavljanjem varnosti osebnih podatkov morata upravljavec in obdelovalec v pogodbi oz. drugem pravnem aktu zlasti določiti, da obdelovalec sprejme vse ukrepe, ki so potrebni skladno z 32. členom Splošne uredbe; upravljavcu pomaga pri izpolnjevanju obveznosti zagotavljanja ustrezne ravni varnosti obdelave osebnih podatkov ter način, kako bo upravljavcu omogočil izvajanje njegove nadzorne funkcije. Kot smo že pojasnili v naših smernicah o pogodbeni obdelavi osebnih podatkov (glej zlasti str. 23), lahko v primerih, ko ima bodisi upravljavec osebnih podatkov bodisi obdelovalec ustrezne organizacijske, tehnične in logično tehnične postopke in ukrepe za varnost osebnih podatkov že predpisane v svojem notranjem aktu, namesto ponovnega opisovanja vseh postopkov in ukrepov, v pogodbi zgolj citira ta akt in navede, da je ta akt sestavni del te pogodbe ter da mora obdelovalec zagotoviti varnost osebnih podatkov v skladu z določbami takšnega akta, ki ga je v tem primeru treba priložiti k pogodbi. Z drugimi besedami to pomeni, da konkretizacija ukrepov znotraj pogodbe oz. drugega pravnega akta po 28. členu Splošne uredbe ni nujna, če so tovrstni ukrepi in postopki že jasno izpostavljeni in predpisani v notranjih aktih bodisi upravljavca ali obdelovalca. Vsekakor pa ta pogodba oz. drug pravni akt sprejet med upravljavcem in obdelovalcem, mora v takem primeru opredeliti ta notranji akt, ki podrobneje opredeljuje ukrepe in postopke za zavarovanje osebnih podatkov, in s tem obe stranki (upravljavca in obdelovalca) zavezati k spoštovanju in upoštevanju njegovih določb. Zadevni notranji akt (v stanju, ko je pogodba podpisana) v tem primeru predstavlja sestavni del sklenjene pogodbe med upravljavcem in obdelovalcem.

V tovrstnih primerih je treba še poskrbeti, da se s tem notranjim aktom seznanijo vsi tisti zaposleni pri upravljavcu osebnih podatkov ter pri obdelovalcu, ki odgovarjajo za izvajanje dogovorjenih postopkov in ukrepov ter tiste osebe, ki zaradi narave svojega dela pri upravljavcu osebnih podatkov oz. pri obdelovalcu obdelujejo določene osebne podatke.

Več o pogodbeni obdelavi osebnih podatkov lahko razberete tudi na naši spletni strani in znotraj Smernic o pogodbeni obdelavi osebnih podatkov.

V zvezi z vašim vprašanjem, ali bi bil notranji akt sprejet s strani vaše univerze ustrezen način urejanja obveznosti med upravljavcem (vami) in obdelovalci, poudarjamo, da je urejanje vašega medsebojnega razmerja stvar vaše presoje. Splošna uredba sicer ne zahteva sklenitve posebne pogodbe o obdelavi osebnih podatkov, kajti obveznosti lahko upravljavec uredi tudi z drugim pravnim aktom (dogovorom, sporazumom, itd.) vsekakor pa mora pri tem upoštevati določbo 28. člena Splošne uredbe, ki predpisuje minimalni obseg sestavin pogodbe ali drugega pravnega akta ter zagotoviti, da je pravni način sklenitve tega razmerja pravno zavezujoč za obe stranki, ki tak dogovor oz. sporazum sprejmeta.

V upanju, da ste dobili odgovor na svoje vprašanje, vas lepo pozdravljamo.

Pripravil:

Grega Rudolf, asistent svetovalca pri IP

Mojca Prelesnik, univ.dipl.prav., informacijska pooblaščenka