Upravičenost odstranitve konfiguracijskih datotek ob menjavi pogodbenega obdelovalca

Datum

10.10.2024

Številka

07121-1/2024/1223

Kategorije

Definicija OP, Pogodbena obdelava podatkov

Informacijski pooblaščenec (v nadaljevanju IP) je po elektronski pošti prejel vaše vprašanje, če je dovoljeno, da pogodbeni vzdrževalec IT sistema, ob menjavi oz. prekinitvi sodelovanja s stranko, pobriše celotno omrežno konfiguracijo ter spremeni celotno omrežje, skupaj z SSID imeni brezžičnih omrežij, čeprav je celotna omrežna oprema last stranke.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22, ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A, ZInfP) posredujemo naše nezavezujoče mnenje v zvezi z vašim vprašanjem.

IP ni pristojen za reševanje civilnopravnih vprašanj, niti ni pristojen za presojo vsebine pogodb in pogodbenih obveznosti med dvema subjektoma zasebnega prava, zato vam svetujemo, da se za pravno pomoč glede obveznosti in zakonitosti postopanja prejšnjega vzdrževalca IT sistema obrnete na eno izmed odvetniških družb, ki se s tem področjem ukvarja.

Podatki, ki se nanašajo na konfiguracijo IT sistema, kot so nastavitve omrežja, SSID imena brezžičnih omrežij, ter omrežna konfiguracija nasploh, praviloma ne spadajo med osebne podatke kot jih opredeljuje Splošna uredba.

Obrazložitev

IP uvodoma poudarja, da konkretnega in dokončnega odgovora o zakonitosti obdelave osebnih podatkov v okviru mnenja v nobenem primeru ne more podati, saj lahko IP posamezne primere obdelave podatkov konkretno presoja zgolj v okviru inšpekcijskega ali drugega upravnega postopka.

Ob tem nadalje poudarjamo, da je IP pristojen zgolj za obravnavo vprašanj, ki se nanašajo na obdelavo osebnih podatkov in z obdelavo povezane obveznosti iz Splošne uredbe in ZVOP-2, ne pa tudi za ostala vprašanja, ki se obdelave osebnih podatkov ne dotikajo.

Glede na opisano situacijo, kjer naj bi vaše podjetje prevzelo vzdrževanje IT infrastrukture od prejšnjega vzdrževalca informacijskega sistema, ki je ob prekinitvi pogodbenega sodelovanja odstranil določene omrežne konfiguracije in spremenil omrežne nastavitve, IP poudarja, da so obveznosti in dolžnosti prejšnjega vzdrževalca določene s pogodbenimi določili, sklenjenimi med stranko in prejšnjim vzdrževalcem IT sistema. Ta določila izhajajoča iz sklenjene pogodbe naj bi urejala tudi pravila in postopke, ki se uporabljajo ob morebitnem prenehanju sodelovanja in predaji vzdrževanja drugemu vzdrževalcu.

Ker gre v tem primeru za vprašanja civilnopravne narave, ki zadevajo presojo pogodbenih razmerij med strankama zasebnega prava, je za odgovor na vaše vprašanje ključno pregledati sklenjeno pogodbo ter preveriti njeno skladnost s civilnopravnimi predpisi (npr. Obligacijski zakonik, Stvarnopravni zakonik in po potrebi tudi določbe Zakona o informacijski varnosti ter Zakona o elektronskih komunikacijah).

IP pri tem poudarja, da ni pristojen za reševanje civilnopravnih vprašanj, niti ni pristojen za presojo vsebine pogodb in pogodbenih obveznosti, zato vam svetujemo, da se za pravno pomoč v tem delu obrnete na eno izmed odvetniških družb, ki se s tem področjem ukvarja.

Ob tem velja poudariti, da podatki, ki se nanašajo na konfiguracijo IT sistema, kot so nastavitve omrežja, SSID imena brezžičnih omrežij, ter omrežna konfiguracija nasploh, niti ne spadajo med osebne podatke kot jih opredeljuje Splošna uredba (glej prvi odstavek 4. člena Splošne uredbe) razen če bi ti podatki omogočali neposredno ali posredno identifikacijo posameznika, kar praviloma pri podatkih vezanih na omrežje in IT sistem ne velja. Pri podatkih, ki se nanašajo na konfiguracijo IT sistema, gre torej za podatke, ki so del poslovne infrastrukture podjetja in jih je kot navedeno zgoraj potrebno obravnavati skladno s pravili civilnega prava in pogodbenimi obveznostmi, ki izhajajo iz razmerja med stranko in predhodnim vzdrževalcem.

V skladu z načeli civilnega prava, zlasti obligacijskega prava (Uradni list RS, št. 97/07 – uradno prečiščeno besedilo, 64/16 – odl. US in 20/18 – OROZ631; v nadaljevanju OZ), je vsaka pogodbena stranka dolžna spoštovati svoje obveznosti iz sklenjene pogodbe (glej 9. člen OZ). Če predhodni vzdrževalec brez pravne podlage oz. mimo pogodbenih dogovorov odstrani ali spremeni podatke in konfiguracije IT sistema, bi šlo lahko v določenih primerih lahko za kršitev pogodbenih obveznosti, zaradi česar bi imela stranka praviloma tudi pravico zahtevati povrnitev škode ali njeno odpravo (npr. obnovitev izbrisanih podatkov ali povrnitev stroškov vzpostavitve nove konfiguracije).

V upanju, da ste dobili odgovor na svoje vprašanje, vas lepo pozdravljamo.

Pripravil

Grega Rudolf, mag., svetovalec pooblaščenca za mednarodne odnose

dr. Jelena Virant Burnik, informacijska pooblaščenka