Zahteve glede pogodbenih obdelovalcev

Datum

02.03.2023

Številka

07120-1/2023/100

Kategorije

Pogodbena obdelava podatkov

Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaše zaprosilo za mnenje glede pogodbenih obdelovalcev.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22; v nadaljevanju: ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, 51/07 – ZUstS-A; ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

Odgovornost za zakonito obdelavo osebnih podatkov je primarno na strani upravljavca in ostaja njegova odgovornost tudi po njihovem posredovanju pogodbenemu obdelovalcu.

Kadar se obdelava izvaja v imenu upravljavca, ta sodeluje zgolj z obdelovalci, ki zagotovijo zadostna jamstva za izvedbo ustreznih tehničnih in organizacijskih ukrepov na tak način, da obdelava izpolnjuje zahteve iz Splošne uredbe in zagotavlja varstvo pravic posameznika, na katerega se nanašajo osebni podatki.

Upravljavec je samostojen v odločitvi, ali bo določene obdelave izvajal sam ali pa jih bo poveril zunanjim izvajalcem (obdelovalcem) ter pod kakšnimi pogoji, pri tem pa ga kot obvezni zavezujejo pogoji iz 28. člena Splošne uredbe.

Obrazložitev

IP uvodoma poudarja, da lahko podaja neobvezujoča mnenja in pojasnila, ne sme pa izven konkretnih inšpekcijskih postopkov preverjati primernosti izbrane pravne podlage ali namenov oziroma obsega obdelave osebnih podatkov v konkretnem primeru.

IP pojasnjuje, da razmerje med upravljavcem in obdelovalcem ureja 28. člen Splošne uredbe, kjer je določeno, da obdelavo s strani obdelovalca ureja pogodba ali drug pravni akt v skladu s pravom Unije ali pravom države članice, ki določa obveznosti obdelovalca do upravljavca, v katerem so določeni vsebina in trajanje obdelave, narava in namen obdelave, vrsta osebnih podatkov, kategorije posameznikov, na katere se nanašajo osebni podatki, ter obveznosti in pravice upravljavca. Ta pogodba ali drug pravni akt zlasti določa, da obdelovalec:

(a)osebne podatke obdeluje samo po dokumentiranih navodilih upravljavca, vključno glede prenosov osebnih podatkov v tretjo državo ali mednarodno organizacijo, razen če to od njega zahteva pravo Unije ali pravo države članice, ki velja za obdelovalca; v slednjem primeru obdelovalec o tej pravni zahtevi pred obdelavo podatkov obvesti upravljavca, razen če zadevno pravo prepoveduje takšno obvestilo na podlagi pomembnih razlogov v javnem interesu;

(b)zagotovi, da so osebe, ki so pooblaščene za obdelavo osebnih podatkov, zavezane k zaupnosti ali jih k zaupnosti zavezuje ustrezen zakon;

(c)sprejme vse ukrepe, potrebne v skladu s členom 32;

(d)spoštuje pogoje iz odstavkov 2 in 4 za zaposlitev drugega obdelovalca;

(e)ob upoštevanju narave obdelave pomaga upravljavcu z ustreznimi tehničnimi in organizacijskimi ukrepi, kolikor je to mogoče, pri izpolnjevanju njegovih obveznosti, da odgovori na zahteve za uresničevanje pravic posameznika, na katerega se nanašajo osebni podatki, iz poglavja III;

(f)upravljavcu pomaga pri izpolnjevanju obveznosti iz členov 32 do 36 ob upoštevanju narave obdelave in informacij, ki so dostopne obdelovalcu;

(g)v skladu z odločitvijo upravljavca izbriše ali vrne vse osebne podatke upravljavcu po zaključku storitev v zvezi z obdelavo ter uniči obstoječe kopije, razen če pravo Unije ali pravo države članice predpisuje shranjevanje osebnih podatkov;

(h)da upravljavcu na voljo vse informacije, potrebne za dokazovanje izpolnjevanja obveznosti iz tega člena, ter upravljavcu ali drugemu revizorju, ki ga pooblasti upravljavec, omogoči izvajanje revizij, tudi pregledov, in pri njih sodeluje.

Tak pisni dogovor zagotavlja, da se tako upravljavec kot obdelovalec zavedata svojih pravic in obveznosti v zvezi z obdelavo osebnih podatkov. Odgovornost za zakonito obdelavo osebnih podatkov je primarno na strani upravljavca in ostaja njegova odgovornost tudi po njihovem posredovanju pogodbenemu obdelovalcu. Ob tem pa IP opozarja, da ima v določenem delu obdelovalec podobne obveznosti kot upravljavec osebnih podatkov in je neposredno odgovoren za zakonito obdelavo osebnih podatkov v okviru svojih pooblastil. Pravila zakonite obdelave osebnih podatkov mora poznati in jih v praksi tudi ustrezno izvrševati.

IP potrjuje navedbo v vašem zaprosilu za mnenje, da ZVOP-2 ne vsebuje podobne obveznosti, kot jo je vseboval 11. člen prej veljavnega ZVOP-1 glede registriranja pogodbenega obdelovalca za opravljanje dejavnosti. IP pojasnjuje, da Splošna uredba v prvem odstavku 28. člena določa, da kadar se obdelava izvaja v imenu upravljavca, ta sodeluje zgolj z obdelovalci, ki zagotovijo zadostna jamstva za izvedbo ustreznih tehničnih in organizacijskih ukrepov na tak način, da obdelava izpolnjuje zahteve iz te uredbe in zagotavlja varstvo pravic posameznika, na katerega se nanašajo osebni podatki. Uvodna določba 81 Splošne uredbe med drugim določa, da bi za zagotovitev skladnosti z zahtevami iz te uredbe v zvezi z obdelavo, ki jo opravi obdelovalec v imenu upravljavca, moral upravljavec dejavnosti obdelave zaupati samo tistim obdelovalcem, ki zagotavljajo zadostna jamstva, zlasti v smislu strokovnega znanja, zanesljivosti in virov za izvajanje tehničnih in organizacijskih ukrepov, ki bodo izpolnili zahteve iz te uredbe, vključno za varnost obdelave. Zavezanost obdelovalca k odobrenemu kodeksu ravnanja ali odobrenemu mehanizmu potrjevanja se lahko uporabi kot dokaz za izpolnjevanje obveznosti upravljavca.

IP nadalje pojasnjuje, da 32. člen Splošne uredbe določa, da je odgovornost upravljavca, da ob upoštevanju najnovejšega tehnološkega razvoja in stroškov izvajanja ter narave, obsega, okoliščin in namenov obdelave, pa tudi tveganj za pravice in svoboščine posameznikov, ki se razlikujejo po verjetnosti in resnosti, upravljavec in obdelovalec z izvajanjem ustreznih tehničnih in organizacijskimi ukrepov zagotovita ustrezno raven varnosti glede na tveganje. Upravljavec je torej samostojen v odločitvi, ali bo določene obdelave izvajal sam ali pa jih bo poveril zunanjim izvajalcem (obdelovalcem) ter pod kakšnimi pogoji, pri tem pa ga kot obvezni zavezujejo pogoji iz 28. člena Splošne uredbe. Konkretnega pogoja registracije za opravljanje dejavnosti Splošna uredba ne vsebuje, prav tako je, kot rečeno, ne vsebuje ZVOP-2. Določitev posameznih konkretnih pogojev, ki jih morajo izpolnjevati obdelovalci, je prepuščena odločitvi upravljavca. To odločitev sprejme glede na predvidena dejanja obdelave osebnih podatkov in ocenjena tveganja za varnost podatkov v konkretnem primeru. Navedeno tako smiselno velja za katerikoli (seveda zakonito dopusten) tehnični ali organizacijski ukrep glede varnosti, ki bi ga zahteval upravljavec od pogodbenega obdelovalca (npr. razpolaganje s certifikati, ki izkazujejo usposobljenost osebja, …). Bistveno je, da pogodbeni obdelovalci obdelujejo osebne podatke posameznikov po naročilu določenega upravljavca osebnih podatkov in v skladu z njegovimi zahtevami za določen namen. Obdelovalec ne more oporekati določenim varnostnim postopkom in ukrepom, ki jih od njega zahteva upravljavec, dokler so seveda zakoniti, po drugi strani pa seveda tudi ni zavezan pristati k nudenju svojih storitev pod vsakimi pogoji.

IP poudarja, da mora biti varstvo osebnih podatkov zagotovljeno na vseh ravneh obdelave osebnih podatkov. Pri tem pa opozarjamo, da je prav pogodba o obdelavi osebnih podatkov bistveni instrument pri zagotavljanju ustreznega varstva osebnih podatkov posameznikov, saj jasno razrešuje vloge in razmerja med vključenimi subjekti ter zanje opredeljuje obveznosti in pogoje. Bistveno pri tem je, da se v pogodbi o obdelavi natančno opredeli (najmanj) vso zahtevano vsebino, ki jo določa tretji odstavek 28. člena Splošne uredbe.

IP kot nadzorni organ sklepno poudarja, da ne more namesto upravljavca prevzeti odgovornosti za varnost podatkov, ampak je odgovornost za zakonito in pošteno obdelavo osebnih podatkov primarno na samem upravljavcu osebnih podatkov.

Lepo vas pozdravljamo,

Pripravil

Matej Sironič, Svetovalec pooblaščenca za varstvo osebnih podatkov

Mojca Prelesnik, univ. dipl. prav., Informacijska pooblaščenka