- Napreden AI iskalnik za hitro iskanje primerov
- Dostop do celotne evropske in slovenske sodne prakse
- Samodejno označevanje ključnih relevantnih odstavkov
Podobni dokumenti
Ogledaj podobne dokumente za vaš primer.Prijavi se in poglej več podobnih dokumentov
Pogodbena razmerja o storitvah varnostno-nadzornih centrov z vidika ZVOP-2
Z nami najdeš vse. Preizkusi zdaj!
Samo zamislim si kaj bi rada da piše v sodbi, to vpišem v iskalnik, in dobim kar sem iskala. Hvala!
Tara K., odvetnica
Pogodbena razmerja o storitvah varnostno-nadzornih centrov z vidika ZVOP-2
Datum
14.02.2023
Številka
07121-1/2023/172
Kategorije
Pogodbena obdelava podatkov, Varnost osebnih podatkov
Informacijski pooblaščenec (v nadaljevanju IP) je po elektronski pošti prejel vaš dopis, v katerem uvodoma pojasnjujete, da je IP že podal mnenje št. 07120-1/2021/499, da mora imetnik licence zasebnega varovanja kot glavni varnostno-nadzorni center (VNC) naročniku storitev sporočiti, koga je najel za zagotavljanje storitev nadomestnega VNC-ja, v kolikor storitev zajema obdelavo osebnih podatkov. Sprašujete nas, ali novi Zakon o varstvu osebnih podatkov (ZVOP-2) vsebuje kakšne spremembe, ki bi lahko vplivale na drugačno tolmačenje pogodb o storitvah VNC, kot jih je IP navedel v omenjenem mnenju. Prav tako vas zanima naše stališče z vidika ZVOP-2 glede varstva osebnih podatkov v pogodbenih razmerjih med imetniki licenc in naročniki storitev zasebnega varovanja, konkretno glavnim oz. nadomestnim VNC-jem. Za konec vas zanima še, kako je z izvajanjem nadzora Informacijskega pooblaščenca v zvezi z varovanjem osebnih podatkov v okviru predstavljene problematike.
Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22, ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A, ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.
Predhodno izdano mnenje IP v zvezi z vprašanjem pogodbene obdelave pri izvajanju storitev zasebnega varovanja (konkretno v zvezi z glavnim in nadomestnim VNC-jem) ostaja tudi po uveljavitvi ZVOP-2 nespremenjeno. ZVOP-2 namreč v osnovno materijo pogodbene obdelave ni posegel oziroma z njo ni spremenil določb 28. člena Splošne uredbe. Posebej pa opozarjamo na novo obveznost vodenja dnevnika obdelav (pod pogoji, ki jih določa ZVOP-2).
IP poudarja, da je treba v pogodbi o obdelavi osebnih podatkov natančno opredeliti vso zahtevano vsebino, kot jo določa tretji odstavek 28. člena Splošne uredbe, s čimer se ustrezno uredi tudi zagotavljanje varstva in varnosti osebnih podatkov.
Obrazložitev
O morebitnih spremembah ZVOP-2 na področju pogodbene obdelave
Uvodoma zaradi jasnosti in konsistentnosti povzemamo stališče IP iz mnenja št. 07120-1/2021/499 z dne 20. 9. 2021. IP je v omenjenem mnenju najprej poudaril, da je treba konceptualno ločiti med pogodbo o varovanju in pogodbo o obdelavi osebnih podatkov, ki jo je potrebno skleniti v skladu z 28. členom Splošne uredbe. IP je poudaril, da je treba ti dve pogodbi gledati kot na dva instrumenta z različnimi cilji in nameni.
Pri tem poudarjamo, v kolikor ni to jasno izhajalo že iz predhodnega mnenja IP, da lahko IP podaja mnenje zgolj glede obvezne vsebine pogodbe o obdelavi osebnih podatkov, ne pa tudi pogodbe o varovanju (torej osnovne pogodbe). Medtem ko se sicer pogodba o obdelavi osebnih podatkov lahko sklene kot del pogodbe o varovanju, pa se v praksi zaradi kompleksnosti materije načeloma priporoča urejanje v dveh ločenih aktih.
IP je še zapisal, da je treba pogodbo o obdelavi podatkov, kot jo opredeljuje 28. člen Splošne uredbe, skleniti, kadar bi se stranki dogovorili, da obdelovalec osebnih podatkov po naročilu upravljavca osebnih podatkov in v skladu z njegovimi zahtevami za določeno nalogo oz. namen zanj obdelujejo osebne podatke posameznikov. Najem video nadzornih storitev, ki vključujejo obdelavo osebnih podatkov, je eno tipičnih razmerij pogodbene obdelave med upravljavcem in obdelovalcem. Njuno medsebojno razmerje je torej treba urediti na zgoraj opisan način, s pogodbo o obdelavi osebnih podatkov.
Če torej storitev, ki se opredeljuje s pogodbo o varovanju, zajema obdelavo osebnih podatkov (in ne zgolj storitev zasebnega varovanja, ki ne vključujejo obdelave osebnih podatkov) in nastopa naročnik storitev v vlogi upravljavca osebnih podatkov, imetnik licence pa v vlogi obdelovalca osebnih podatkov, mora biti naročnik storitev vsekakor ne le obveščen o morebitnem drugem obdelovalcu, temveč mora s tem celo pisno soglašati.
Kot je IP že zapisal, obdelovalec ne sme zaposliti drugega obdelovalca brez predhodnega posebnega ali splošnega pisnega dovoljenja upravljavca.
Navedeno mnenje IP ostaja tudi po uveljavitvi ZVOP-2 nespremenjeno. ZVOP-2 namreč v osnovno materijo pogodbene obdelave ni posegel oziroma z njo ni spremenil določb Splošne uredbe, na katere se opira mnenje IP št. 07120-1/2021/499 z dne 20. 9. 2021, torej določbe 28. člena Splošne uredbe.
Drugi odstavek 28. člena Splošne uredbe jasno določa, da »[o]bdelovalec ne zaposli drugega obdelovalca brez predhodnega posebnega ali splošnega pisnega dovoljenja upravljavca. V primeru splošnega pisnega dovoljenja obdelovalec upravljavca obvesti o vseh nameravanih spremembah glede zaposlitve dodatnih obdelovalcev ali njihove zamenjave, s čimer se upravljavcu omogoči, da nasprotuje tem spremembam.«
Navedeno velja, če je v smislu Splošne uredbe naročnika mogoče šteti kot upravljavca osebnih podatkov, imetnika licence kot pogodbenega obdelovalca ter nadomestni VNC kot »drugega obdelovalca« oziroma »podobdelovalca.
Možna rešitev bi tudi bila, da naročnik sklene pogodbo o obdelavi osebnih podatkov tako z glavnim VNC-jem kot tudi z nadomestnim VNC-jem, vendar o praktičnosti te rešitve IP ne more soditi.
V vsakem primeru mora biti upravljavec osebnih podatkov (če je to naročnik zasebnega varovanja) izrecno seznanjen s subjektom, ki bo v njegovem imenu in za njegov račun obdeloval osebne podatke, torej tako glavni VNC kot nadomestni VNC. V to ureditev ZVOP-2, kot že zapisano, ni posegel.
Z vidika celovitosti naj omenimo, da je ZVOP-2 določene obveznosti obdelovalca osebnih podatkov podrobneje uredil, na primer z vidika uresničevanja pravice posameznika do seznanitve z lastnimi osebnimi podatki, dnevnikov obdelav, idr. Posebej glede na področje, ki ga pokriva vaša zbornica, torej storitve zasebnega varovanja, opozarjamo tudi na večjo spremembo na področju videonadzora, kar sicer presega obseg tega mnenja, vendar vam kljub temu priporočamo ogled prenovljenih strani IP v zvezi z videonadzorom: https://www.ip-rs.si/varstvo-osebnih-podatkov/obveznosti-upravljavcev/vzpostavitev-videonadzora.
O varstvu osebnih podatkov v pogodbenih razmerjih
V vašem zaprosilu za mnenje sprašujete tudi glede varstva osebnih podatkov v pogodbenih razmerjih med imetniki licenc in naročniki storitev zasebnega varovanja z vidika ZVOP-2.
Standardi varstva in varnosti osebnih podatkov v razmerju med glavnim oz. nadomestim VNC-jem (obdelovalec oziroma podobdelovalec) ter naročnikom storitev (upravljavec osebnih podatkov) ostajajo v grobem enaki tudi po uveljavitvi ZVOP-2, s pomembno razliko obveznosti vodenja dnevnikov obdelav osebnih podatkov pod pogoji, ki jih določa ZVOP-2. Več o tem si lahko preberete na spletnem naslovu: https://www.ip-rs.si/varstvo-osebnih-podatkov/obveznosti-upravljavcev/zavarovanje-oz-varnost-osebnih-podatkov.
Varstvo osebnih podatkov mora biti zagotovljena na vseh ravneh obdelave osebnih podatkov. Pri tem pa opozarjamo, da je prav pogodba o obdelavi osebnih podatkov (ter med drugim obveznost razkritja in soglašanja z vsemi obdelovalci osebnih podatkov) eden izmed močnejših instrumentov pri zagotavljanju ustreznega varstva osebnih podatkov posameznikov, saj jasno razrešuje vloge in razmerja med udeleženci ter zanje opredeljuje obveznosti in pogoje. Bistveno pri tem je, da se v pogodbi o obdelavi natančno opredeli vso zahtevano vsebino, kot jo določa tretji odstavek 28. člena Splošne uredbe.
O izvajanju nadzora IP
Sprašujete nas tudi, kako je z izvajanjem nadzora Informacijskega pooblaščenca v zvezi z varovanjem osebnih podatkov v okviru predstavljene problematike. V zvezi s tem vam težko podamo specifičen odgovor, saj je vprašanje zastavljeno zelo široko. Lahko pa na splošno zapišemo, da je ZVOP-2 na novo uredil tudi nadzorna pooblastila nadzornega organa (torej Informacijskega pooblaščenca) v 28. členu ZVOP-2 ter nadzorne ukrepe v 29. členu ZVOP-2, kar se oboje nanaša tako na upravljavca kot obdelovalca osebnih podatkov, kot je primerno glede na odgovornosti in obveznosti, ki jih vsak od njiju oziroma njih nosi skladno s Splošno uredbo, ZVOP-2 ter v povezavi s pogodbo o obdelavi osebnih podatkov. V praksi bi to pomenilo, da je zavezanec pri izvajanju nadzora Informacijskega pooblaščenca lahko tako upravljavec kot (pod)obdelovalec osebnih podatkov, odredi pa se lahko vse ukrepe, potrebne za zagotavljanje zakonitosti, ter izreče morebitne sankcije.
V upanju, da ste dobili odgovor na svoje vprašanje, vas lepo pozdravljamo.
Mojca Prelesnik, univ.dipl.prav., informacijska pooblaščenka
Pripravila
mag. Polona Merc, univ. dipl. prav., svetovalka IP za varstvo osebnih podatkov