- Napreden AI iskalnik za hitro iskanje primerov
- Dostop do celotne evropske in slovenske sodne prakse
- Samodejno označevanje ključnih relevantnih odstavkov
Podobni dokumenti
Ogledaj podobne dokumente za vaš primer.Prijavi se in poglej več podobnih dokumentov
Izpolnjevanje zahtev MDR (vigilanca) in pogodbeni obdelovalci
Z nami najdeš vse. Preizkusi zdaj!
Samo zamislim si kaj bi rada da piše v sodbi, to vpišem v iskalnik, in dobim kar sem iskala. Hvala!
Tara K., odvetnica
Izpolnjevanje zahtev MDR (vigilanca) in pogodbeni obdelovalci
Datum
18.10.2024
Številka
07121-1/2024/1272
Kategorije
Prenos osebnih podatkov v tretje države ali mednarodne organizacije, Skupni upravljavci, Pogodbena obdelava podatkov
Pri Informacijskem pooblaščencu (IP) smo dne 3. 10. 2024 prejeli vaše zaprosilo za mnenje. Ste proizvajalec medicinskega pripomočka za diagnostiko na primarni zdravstveni ravni. Vaš produkt je ustrezno registriran in izpolnjuje tudi druge stroge standarde, ki so predpisani za njegovo proizvodnjo in prodajo z Uredbo (EU) 2017/745 o medicinskih pripomočkih (MDR).
Z vidika spoštovanja določb MDR ste kot proizvajalec naprave, v okviru sistema vodenja kakovosti pripomočka, zavezani izpolnjevati tudi predpisane obveznosti glede zagotavljanja določenega obveščanja v primeru vigilance naprave (v primeru hujših zapletov v roku 24 ur od nastanka vigilance). Da bi zagotovili kar se da hiter pretok informacij in ukrepanje, so v sistem vigilance vključeni tudi vaši zastopniki na tujih trgih, ki morajo imeti sledljivost za vse prodane naprave in dolžnost sodelovati s proizvajalci, da bi dosegli ustrezno raven sledljivosti pripomočkov. Identifikacija v dobavni verigi je z navedenim členom uredbe predpisana za vsak gospodarski subjekt, kot tudi za vsako zdravstveno ustanovo ali zdravstvenega delavca, ki so mu/jim je dobavil pripomoček. Ta sledljivost pa je ključnega pomena za zagotavljanje učinkovitih in hitrih vigilančnih postopkov.
Želite uvesti nekaj izboljšav trenutnega sistema sledljivosti vaših naprav na tujih trgih. To bi naredili z novim kontrolnim panelom, s katerim bi vsem zastopnikom na tujih trgih omogočili boljši pregled nad ključnimi informacijami o napravah na trgu. Uporabniki se nahajajo povsod po svetu. Na kontrolnem panelu bi tako prikazali le podatke ključne za zagotavljanje lokalne podpore in vigilance ter zastopnikom olajšali (pohitrili) delo v primerjavi z zdajšnjimi postopki. Kontrolni panel bi iz baze obstoječih podatkov prikazoval naslednje informacije:
-serijska številka naprave in z njo povezana verzija trenutne programske opreme modulov;
-uporabniški računi na posamezni konkretni napravi - uporabnikov e-mail, ime in priimek ter telefonska številka;
-funkcija za spremembo gesla v primeru pozabe (le na zahtevo stranke);
Vse navedene podatke se hrani v EU.
V zvezi s tem vas zanima:
1.Ali se za obdelavo osebnih podatkov šteje tudi le vpogled vanje oziroma njihov prikaz;
2.Ali se prikazovanje hashiranih podatkov o uporabnikovi e-pošti, njegovem osebnem imenu in telefonski številki, poleg prikazane serijske številke naprave in z njo povezanih verzij programske opreme modulov, na "kontrolnem panelu" (aplikaciji) šteje za obdelavo osebnih podatkov;
3.Če imajo prodajni zastopniki na tujih trgih vpogled v podatke, navedene v predhodni točki 2, ali potem ti v tem primeru nastopajo v vlogi vašega obdelovalca;
4.V primeru, da je odgovor na predhodno vprašanje v točki 3 pritrdilen, ali gre v tem primeru za iznos podatkov v tretjo državo, če je zastopnik registriran in posluje v tisti državi, ki ni članica EU (npr. ZDA, Avstralija), njim vidni oz. prikazovani podatki na panelu pa so hranjeni v EU ali v državi, kjer posluje zastopnik;
5.V primeru, da pride v enem izmed predhodnih vprašanj, do iznosa podatkov v tretjo državo, ali lahko pri zagotavljanju skladnosti z zahtevami glede varstva podatkov in pravicami posameznikov, na katere se nanašajo osebni podatki, ki ustrezajo obdelavi znotraj EU, uporabite standardna pogodbena določila Komisije, če ni sprejet sklep o ustreznosti;
6.Ali uporaba standardnih pogodbenih klavzul Komisije v primeru pritrdilnega odgovora na predhodno vprašanje ustrezno naslavlja tudi vidik informacijske varnosti.
Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22, ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba), 76. člena Zakona o varstvu osebnih podatkov na področju obravnavanja kaznivih dejanj (ZVOPOKD) ter 2. členom Zakona o informacijskem pooblaščencu (ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašimi vprašanji. Pojasnjujemo še, da se lahko IP do konkretnih obdelav osebnih podatkov dokončno opredeljuje le v nadzornih postopkih.
I. – II. Tudi vpogled v osebne podatke in prikazovanje osebnih podatkov v aplikaciji predstavlja obdelavo osebnih podatkov.
III. Če tuji zastopniki zgolj dostopajo do osebnih podatkov izključno za lastne namene, ne gre za pogodbeno obdelavo osebnih podatkov, temveč so tuji zastopniki uporabniki in s tem samostojni upravljavci. Bolj konkretne presoje IP ne more opraviti, ker niso znane konkretne relacije med vami in njimi (kaj in kdo komu posreduje, zakaj in na kateri podlagi ter, kdo do česa dostopa, zakaj in na kateri podlagi).
IV. Omogočanje dostopa do osebnih podatkov ali njihove hrambe zunanjemu uporabniku v tretji državi predstavlja prenos osebnih podatkov (44. člen Splošne uredbe), ne glede na lokacijo hrambe podatkov in ne glede na to, v kakšni vlogi je uporabnik (skupni upravljavec, samostojni upravljavec, pogodbeni obdelovalec).
V. Če sklepa o ustreznosti za določeno tretjo državo ni (45. člen Splošne uredbe), je treba zagotoviti ukrepe po 46. členu (posebni zaščitni ukrepi), saj je razbrati, da v tem primeru ne pride v poštev nobeno od odstopanj v posebnih primerih (49. člen Splošne uredbe). Konkretnega pristopa k izpolnjevanju obveznosti vam IP ne more predlagati.
VI. Standardna določila o varstvu podatkov se nanašajo tudi na vidik varnosti osebnih podatkov (32. člen in f točka prvega odstavka 5. člena Splošne uredbe). IP ni pristojen za presojanje standardnih določil, ki jih sprejme Komisija.
Obrazložitev:
V skladu z 2. točko 4. člena Splošne uredbe (definicija obdelave) je tudi vpogled vrsta obdelave osebnih podatkov, zaradi česar je tudi to ravnanje podvrženo pravilom varstva osebnih podatkov. Enako velja za prikazovanje osebnih podatkov na kontrolnem panelu, saj gre najmanj za »priklic« ali »omogočanje dostopa do podatkov«. Vpogled v podatke (četudi se hranijo v EU) s strani drugega upravljavca predstavlja prenos. Skladno s smernicami Evropskega odbora za varstvo podatkov sodi uporaba enosmernih zgoščevalnih algoritmov, s katerimi nastane povzetek informacije (angl. hash ali digest) med metode za psevdonimizacijo osebnih podatkov in ne med metode za anonimizacijo osebnih podatkov; rezultat tovrstnih pretvorb so tako psevdonimizirani podatki, katerih obdelava pomeni obdelavo osebnih podatkov.
Pogodbena obdelava bi se izvajala, če bi tuji zastopnik v vašem imenu (za vas) in po vaših navodilih prevzel določena dejanja obdelave izključno za doseganje namenov vašega podjetja. Ker pojasnjujete, da bi tuji zastopniki vpogledovali v osebne podatke (ki imajo izvor v vašem podjetju) za to, da bi izpolnjevali neke lastne ali predpisane obveznosti, gre načeloma za razmerje upravljavca - uporabnika, pri čemer je za to posredovanje podatkov lahko podlaga na primer v f točki prvega odstavka 6. člena Splošne uredbe. Uporabnik je tudi upravljavec po tem, ko prejme podatke, pri čemer mora imeti za obdelavo svojo pravno podlago. Če bi tuji zastopniki v aplikacijo tudi vnašali osebne podatke ali pa če bi se vpogledovanje izvajalo tudi za njihove lastne namene, je možno, da bi šlo za skupno upravljanje (26. člen Splošne uredbe) ali za pogodbeno obdelavo, če bi se vnašanje podatkov izvajalo izključno za vaše podjetje in za namene, ki ste jih določili. Glede pogodbene obdelave so na spletni strani IP na voljo tudi smernice, in sicer pod zavihkom »publikacije«.
Glede prenosa osebnih podatkov v tretje države so na voljo tudi podrobne smernice IP na naslednji povezavi:
Na primer za ZDA je bil sprejet sklep o ustreznosti iz 45. člena, podatke se lahko na podlagi tega sklepa prenaša podjetjem, ki so na seznam Data privacy Farmework:
(https://www.dataprivacyframework.gov/list).
Izbor ukrepa za varstvo osebnih podatkov pri prenosu je odvisen od vrste okoliščin konkretnega primera, ki jih mora primarno presoditi vsak upravljavec sam. Pri uporabi standardnih določil o varstvu osebnih podatkov kot zaščitnega ukrepa je treba v praksi zagotoviti tudi njihovo dejansko implementacijo in izvajanje.
Prijazen pozdrav.
Pripravil:
dr. Urban Brulc, univ. dipl. prav., samostojni svetovalec IP
dr. Jelena Virant Burnik, informacijska pooblaščenka
---
[1]Mnenje št. 5/2014 o anonimizacijskih tehnikah, dostopno na: https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2014/wp216_sl.pdf.