- Napreden AI iskalnik za hitro iskanje primerov
- Dostop do celotne evropske in slovenske sodne prakse
- Samodejno označevanje ključnih relevantnih odstavkov
Podobni dokumenti
Ogledaj podobne dokumente za vaš primer.Prijavi se in poglej več podobnih dokumentov
Ustreznost rešitve
Z nami najdeš vse. Preizkusi zdaj!
Samo zamislim si kaj bi rada da piše v sodbi, to vpišem v iskalnik, in dobim kar sem iskala. Hvala!
Tara K., odvetnica
Ustreznost rešitve
Datum
16.01.2025
Številka
07121-1/2025/39
Kategorije
Delovna razmerja, Pogodbena obdelava podatkov, Prenos osebnih podatkov v tretje države ali mednarodne organizacije
Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaše zaprosilo za mnenje glede potencialne kršitve predpisov s področja varstva osebnih podatkov ob uvedbi določene rešitve v vašem podjetju.
Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22; v nadaljevanju: ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, 51/07 – ZUstS-A; ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.
IP kot nadzorni organ na področju varstva osebnih podatkov v okviru mnenja ne more presojati skladnosti konkretne rešitve, ki ste jo opisali v vašem zaprosilu za mnenje, s predpisi s področja varstva osebnih podatkov.
Osebni podatki delavcev se lahko zbirajo, obdelujejo, uporabljajo in posredujejo tretjim osebam samo, če je to določeno z ZDR-1 ali drugim zakonom ali če je to potrebno zaradi uresničevanja pravic in obveznosti iz delovnega razmerja ali v zvezi z delovnim razmerjem.
Prenose osebnih podatkov v tretje države in mednarodne organizacije ureja Poglavje V Splošne uredbe, ki temelji na predpostavki, da se raven varstva osebnih podatkov zaradi prenosa v tretjo državo ne sme zmanjšati v primerjavi z varstvom, ki ga zagotavlja Splošna uredba.
Upravljavec lahko na različne načine izkaže, da je raven varstva osebnih podatkov v tretji državi ustrezna: s sklepom o ustreznosti, ustreznimi zaščitnimi ukrepi ali na podlagi odstopanj v posebnih primerih.
Odgovornost za zakonito obdelavo osebnih podatkov je primarno na strani upravljavca in ostaja njegova odgovornost tudi po njihovem posredovanju pogodbenemu obdelovalcu. Ob tem pa IP opozarja, da ima v določenem delu obdelovalec podobne obveznosti kot upravljavec osebnih podatkov in je neposredno odgovoren za zakonito obdelavo osebnih podatkov v okviru svojih pooblastil. Pravila zakonite obdelave osebnih podatkov mora poznati in jih v praksi tudi ustrezno izvrševati.
Obrazložitev
IP uvodoma poudarja, da lahko podaja neobvezujoča mnenja in pojasnila, ne sme pa izven konkretnih nadzornih ali drugih upravnih postopkov preverjati primernosti izbrane pravne podlage ali namenov oziroma obsega obdelave osebnih podatkov v konkretnem primeru. IP kot nadzorni organ na področju varstva osebnih podatkov v okviru mnenja tako ne more presojati skladnosti konkretnega ravnanja, ki ga opisujete v vašem zaprosilu za mnenje, s predpisi s področja varstva osebnih podatkov.
IP pojasnjuje, da mora vsaka obdelava osebnih podatkov potekati transparentno in skladno z določbami Splošne uredbe. Ta v prvem odstavku 6. člena določa, da je obdelava osebnih podatkov zakonita le in kolikor je za konkretni namen obdelave izpolnjen eden od naslednjih pogojev:
(a) posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov;
(b) obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe;
(c) obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca;
(d) obdelava je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe;
(e) obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu;
(f) obdelava je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok.
Ob tem je treba upoštevati, da se zadnja točka (f) ne more uporabljati za obdelavo s strani javnih organov pri opravljanju njihovih nalog.
Čeprav ZVOP-2 razlikuje med javnim in zasebnim sektorjem, je področje delovnega prava specialno urejeno za oba sektorja v posebnih zakonih, predvsem v Zakonu o delovnih razmerjih (ZDR-1; Uradni list RS, št. 21/13, 78/13 – popr., 47/15 – ZZSDT, 33/16 – PZ-F, 52/16, 15/17 – odl. US, 22/19 – ZPosS, 81/19, 203/20 – ZIUPOPDVE, 119/21 – ZČmlS-A, 202/21 – odl. US, 15/22, 54/22 – ZUPŠ-1) in Zakonu o evidencah na področju dela in socialne varnosti (ZEPDSV; Uradni list RS, št. 40/06). Zaradi izrazite neenakosti moči strank v delovnopravnih razmerjih oziroma zaradi varstva delavca, ki je v razmerju do delodajalca zagotovo šibkejša stranka, je zakonodajalec to področje uredil strožje, zaradi česar na tem področju praviloma niti v zasebnem sektorju ne dopušča avtonomije strank v smislu, da bi delodajalec lahko brez podlage v zakonu od delavca zahteval katerekoli osebne podatke ali jih obdeloval na drugi pravni podlagi (npr. privolitev, pogodba, …). Delavec lahko namreč tudi na delovnem mestu utemeljeno pričakuje določeno stopnjo zasebnosti.
ZDR-1 v 48. členu določa, da se lahko osebni podatki delavcev zbirajo, obdelujejo, uporabljajo in posredujejo tretjim osebam samo, če je to določeno s tem ali drugim zakonom ali če je to potrebno zaradi uresničevanja pravic in obveznosti iz delovnega razmerja ali v zvezi z delovnim razmerjem. Nadalje v tretjem odstavku 48. člena določa, da se morajo osebni podatki delavcev, za zbiranje katerih ne obstoji več zakonska podlaga, takoj zbrisati in prenehati uporabljati.
Upoštevajoč določbe ZDR-1 lahko torej delodajalec osebne podatke delavca obdeluje samo, če ima za to podlago v zakonu ali če je to potrebno zaradi uresničevanja pravic in obveznosti iz delovnega razmerja ali v zvezi z delovnim razmerjem. Pri tem so mišljene pravic in obveznosti obeh, tako delavca kot delodajalca. Delodajalec mora natančno izkazati, zakaj je potrebna takšna obdelava (v konkretnem primeru posredovanje) osebnih podatkov delavca. Pri tem mora delodajalec v skladu s 46. členom ZDR-1 varovati in spoštovati delavčevo osebnost ter upoštevati in ščititi delavčevo zasebnost. Delodajalec mora torej paziti tudi na spoštovanje zasebnosti in dostojanstva delavca, odgovornost delodajalca pa narašča z intenzivnostjo posega v zasebnost. Če okoliščine delovnega razmerja tega ne terjajo oziroma če delodajalec ne izkaže, da je obdelava osebnih podatkov delavca potrebna zaradi uresničevanja pravic in obveznosti iz delovnega razmerja ali v zvezi z delovnim razmerjem, jih ne sme obdelovati.
Ob tem IP opozarja na načelo najmanjšega obsega podatkov, ki določa, da morajo biti pod pogojem, da obstaja pravna podlaga, osebni podatki, ki se obdelujejo, ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo. Navedeno načelo pomeni, da je potrebno obdelovati samo toliko osebnih podatkov, kolikor je nujno potrebno za dosego zakonitega namena obdelave.
IP dodatno pojasnjuje, da je o vprašanjih glede relacije delodajalec - zaposleni obširno pisal v smernicah Varstvo osebnih podatkov v delovnih razmerjih. Smernice so dostopne na spletni strani IP:
https://www.ip-rs.si/fileadmin/user_upload/Pdf/smernice/Smernice_-_Varstvo_OP_v_delovnih_razmerjih_verzija_1.1_koncna.pdf
Glede prenosa osebnih podatkov v tretje države (v konkretnem primeru Kitajsko) IP uvodoma izpostavlja, da je v skladu z načelom odgovornosti upravljavec (v konkretnem primeru vaš delodajalec) tisti, ki je dolžan zagotoviti skladnost obdelave osebnih podatkov s Splošno uredbo, kar vključuje tudi zagotavljanje zakonitosti prenosov osebnih podatkov v tretje države.
Prenose osebnih podatkov v tretje države in mednarodne organizacije ureja Poglavje V Splošne uredbe, ki temelji na predpostavki, da se raven varstva osebnih podatkov zaradi prenosa v tretjo državo ne sme zmanjšati v primerjavi z varstvom, ki ga zagotavlja Splošna uredba. Upravljavec lahko na različne načine izkaže, da je raven varstva osebnih podatkov v tretji državi ustrezna: s sklepom o ustreznosti, ustreznimi zaščitnimi ukrepi ali na podlagi odstopanj v posebnih primerih.
Ker za Kitajsko sklep o ustreznosti ni bil sprejet, lahko upravljavec (izvoznik podatkov) na podlagi 46. člena Splošne uredbe podatke prenese v to državo pod pogojem, da je predvidel ustrezne zaščitne ukrepe (za določene zaščitne ukrepe se zahteva tudi predhodno dovoljenje IP) ter da imajo posamezniki, na katere se nanašajo osebni podatki, na voljo izvršljive pravice in učinkovita pravna sredstva. Izvoznik in uvoznik podatkov morata pred prenosom osebnih podatkov na podlagi ustreznih zaščitnih ukrepov oceniti, ali ti tudi dejansko zagotavljajo jamstva, ki ustrezajo ravni varstva v EU in v nasprotnem primeru sprejeti dopolnilne zaščitne ukrepe (glede dopolnilnih zaščitnih ukrepov so relevantna predvsem priporočila Evropskega odbora za varstva podatkov (European Data Protection Board; v nadaljevanju: EDPB), dostopna na:
https://edpb.europa.eu/our-work-tools/our-documents/recommendations/recommendations-012020-measures-supplement-transfer_en
EDPB v priporočilih izvoznikom svetuje, da na podlagi okoliščin vsakega posameznega primera določijo, kateri dopolnilni ukrepi so učinkoviti za prenos v določeno tretjo državo, zato da bo raven varstva primerljiva z zaščito, ki jo nudi Splošna uredba. Dopolnilni ukrepi imajo lahko pogodbeno, tehnično ali organizacijsko naravo ter se lahko medsebojno kombinirajo, zato da se izboljša raven zaščite osebnih podatkov. Primeri dopolnilnih ukrepov so navedeni v Dodatku II navedenih priporočil, vendar seznam ni izčrpen in lahko izvoznik glede na okoliščine primera uporabi tudi druge dopolnilne ukrepe.
Če za določeno državo ni bil sprejet sklep o ustreznosti in obenem tudi ni mogoče sprejeti omenjenih ustreznih zaščitnih ukrepov iz prejšnjih odstavkov, se lahko prenos izvede le v nekaterih posebnih primerih, ki so določeni v 49. členu Splošne uredbe. Prenos se lahko na podlagi pogojev iz tega člena izvede zgolj izjemoma, če prenos v tretjo državo z uporabo drugih mehanizmov varstva na podlagi 45. ali 46. člena Splošne uredbe resnično ni možen (oziroma dokler ni možen).
Splošna uredba določa tudi odstopanje od zgoraj navedenih pravil (t.i. odstopanje od odstopanj), v skladu s katerim je prenos osebnih podatkov v tretjo državo izjemoma dovoljen tudi, če niso izpolnjeni pogoji za uporabo nobenega izmed opisanih mehanizmov. Tovrstni prenosi podatkov so dopustni le izjemoma ob upoštevanju strogo določenih pogojev, predvsem se ne smejo ponavljati in lahko zadevajo le omejeno število posameznikov, o njih pa mora izvoznik podatkov obvestiti IP.
Več o prenosih osebnih podatkov si lahko preberete v Smernicah glede prenosa osebnih podatkov v tretje države in mednarodne organizacije po Splošni uredbi o varstvu podatkov in ZVOP-2, ki so dostopne na spletni strani IP:
https://www.ip-rs.si/fileadmin/user_upload/Pdf/smernice/Smernice%20glede%20prenosa%20OP_v1.5.pdf
Smernice vsebujejo tudi več uporabnih povezav do dodatnega gradiva o prenosih podatkov v tretje države, npr. do priporočil EDPB in izvedbenih aktov Evropske Komisije, ki so izvoznikom osebnih podatkov lahko v pomoč pri vzpostavljanju ustreznih mehanizmov za prenos osebnih podatkov v tretje države.
Glede prenosa osebnih podatkov v ZDA vas IP napotuje na že izdano mnenje, ki je objavljeno na spletni strani IP:
https://www.ip-rs.si/mnenja-zvop-2/prenos-osebnih-podatkov-v-zda-1727941277
IP meni tudi, da bi bilo treba v konkretnem primeru najprej jasno določiti vloge posameznih udeleženih subjektov, ki jih navajate v vašem zaprosilu za mnenje oziroma izhajajo iz priložene korespondence, saj se zdi, da to vprašanje še ni povsem razrešeno, je pa bistveno s stališča varstva osebnih podatkov. IP se prav tako sprašuje o ustreznosti oziroma smiselnosti rešitve, da bi (domnevni) obdelovalec osebnih podatkov opravljal vlogo administratorja in imel vse administratorske pravice in da torej tega ne bi opravljal upravljavec.
IP ob tem splošno pojasnjuje, da razmerje med upravljavcem in obdelovalcem ureja 28. člen Splošne uredbe, kjer je določeno, da obdelavo s strani obdelovalca ureja pogodba ali drug pravni akt v skladu s pravom Unije ali pravom države članice, ki določa obveznosti obdelovalca do upravljavca, v katerem so določeni vsebina in trajanje obdelave, narava in namen obdelave, vrsta osebnih podatkov, kategorije posameznikov, na katere se nanašajo osebni podatki, ter obveznosti in pravice upravljavca. Ta pogodba ali drug pravni akt zlasti določa, da obdelovalec:
(a)osebne podatke obdeluje samo po dokumentiranih navodilih upravljavca, vključno glede prenosov osebnih podatkov v tretjo državo ali mednarodno organizacijo, razen če to od njega zahteva pravo Unije ali pravo države članice, ki velja za obdelovalca; v slednjem primeru obdelovalec o tej pravni zahtevi pred obdelavo podatkov obvesti upravljavca, razen če zadevno pravo prepoveduje takšno obvestilo na podlagi pomembnih razlogov v javnem interesu;
(b)zagotovi, da so osebe, ki so pooblaščene za obdelavo osebnih podatkov, zavezane k zaupnosti ali jih k zaupnosti zavezuje ustrezen zakon;
(c)sprejme vse ukrepe, potrebne v skladu s členom 32;
(d)spoštuje pogoje iz odstavkov 2 in 4 za zaposlitev drugega obdelovalca;
(e)ob upoštevanju narave obdelave pomaga upravljavcu z ustreznimi tehničnimi in organizacijskimi ukrepi, kolikor je to mogoče, pri izpolnjevanju njegovih obveznosti, da odgovori na zahteve za uresničevanje pravic posameznika, na katerega se nanašajo osebni podatki, iz poglavja III;
(f)upravljavcu pomaga pri izpolnjevanju obveznosti iz členov 32 do 36 ob upoštevanju narave obdelave in informacij, ki so dostopne obdelovalcu;
(g)v skladu z odločitvijo upravljavca izbriše ali vrne vse osebne podatke upravljavcu po zaključku storitev v zvezi z obdelavo ter uniči obstoječe kopije, razen če pravo Unije ali pravo države članice predpisuje shranjevanje osebnih podatkov;
(h)da upravljavcu na voljo vse informacije, potrebne za dokazovanje izpolnjevanja obveznosti iz tega člena, ter upravljavcu ali drugemu revizorju, ki ga pooblasti upravljavec, omogoči izvajanje revizij, tudi pregledov, in pri njih sodeluje.
Tak pisni dogovor zagotavlja, da se tako upravljavec kot obdelovalec zavedata svojih pravic in obveznosti v zvezi z obdelavo osebnih podatkov. Odgovornost za zakonito obdelavo osebnih podatkov je primarno na strani upravljavca in ostaja njegova odgovornost tudi po njihovem posredovanju pogodbenemu obdelovalcu. Ob tem pa IP opozarja, da ima v določenem delu obdelovalec podobne obveznosti kot upravljavec osebnih podatkov in je neposredno odgovoren za zakonito obdelavo osebnih podatkov v okviru svojih pooblastil. Pravila zakonite obdelave osebnih podatkov mora poznati in jih v praksi tudi ustrezno izvrševati.
IP ob tem poudarja, da je bistvenega pomena dejstvo, da lahko obdelovalec osebne podatke obdeluje zgolj za namene, za katere ga je pooblastil upravljavec in torej osebnih podatkov ne obdeluje za lastne namene. V vlogi obdelovalca bo tako nastopala tista pravna oziroma fizična oseba, ki bo obdelavo osebnih podatkov izvrševala izključno v imenu in za račun upravljavca osebnih podatkov, bo pri tem črpala podlago za obdelavo osebnih podatkov iz upravičenj upravljavca ter bo v zvezi s samimi dejanji obdelave vezana na navodila upravljavca.
IP nadalje pojasnjuje, da Splošna uredba v prvem odstavku 28. člena določa, da kadar se obdelava izvaja v imenu upravljavca, ta sodeluje zgolj z obdelovalci, ki zagotovijo zadostna jamstva za izvedbo ustreznih tehničnih in organizacijskih ukrepov na tak način, da obdelava izpolnjuje zahteve iz te uredbe in zagotavlja varstvo pravic posameznika, na katerega se nanašajo osebni podatki. Uvodna določba 81 Splošne uredbe med drugim določa, da bi za zagotovitev skladnosti z zahtevami iz te uredbe v zvezi z obdelavo, ki jo opravi obdelovalec v imenu upravljavca, moral upravljavec dejavnosti obdelave zaupati samo tistim obdelovalcem, ki zagotavljajo zadostna jamstva, zlasti v smislu strokovnega znanja, zanesljivosti in virov za izvajanje tehničnih in organizacijskih ukrepov, ki bodo izpolnili zahteve iz te uredbe, vključno za varnost obdelave.
IP posebej poudarja, da 32. člen Splošne uredbe določa, da je odgovornost upravljavca, da ob upoštevanju najnovejšega tehnološkega razvoja in stroškov izvajanja ter narave, obsega, okoliščin in namenov obdelave, pa tudi tveganj za pravice in svoboščine posameznikov, ki se razlikujejo po verjetnosti in resnosti, upravljavec in obdelovalec z izvajanjem ustreznih tehničnih in organizacijskimi ukrepi zagotovita ustrezno raven varnosti glede na tveganje. Upravljavec je torej samostojen v odločitvi, ali bo določene obdelave izvajal sam ali pa jih bo poveril zunanjim izvajalcem (obdelovalcem) ter pod kakšnimi pogoji, pri tem pa ga kot obvezni zavezujejo pogoji iz 28. člena Splošne uredbe. Upravljavec mora torej sam presoditi, pod kakšnimi pogoji bo omogočal pogodbenim obdelovalcem dostop do osebnih podatkov, s katerimi upravlja. IP ob tem pojasnjuje, da splošno princip varnosti osebnih podatkov temelji na ustreznih postopkih in ukrepih glede na tveganja, kar pomeni, da so postopku in ukrepi odvisni od konkretnih okoliščin obdelave osebnih podatkov in konkretnih tveganj, ki se ob tem pojavljajo. To je odvisno od narave dela, količine osebnih podatkov, občutljivosti osebnih podatkov in drugih relevantnih okoliščin glede uporabe konkretne rešitve. Vsekakor so varnostna tveganja v primeru oddaljenega administratorskega dostopa do vseh informacijskih sistemov, baz in aplikacij v okviru podjetij pod skupnim lastništvom bistveno večja kot npr. v primeru dostopa posameznega administratorja do informacijskega sistema posameznega podjetja, v katerem opravlja vlogo administratorja.
IP poudarja, da mora biti varstvo osebnih podatkov zagotovljeno na vseh ravneh obdelave osebnih podatkov. Pri tem pa opozarjamo, da je prav pogodba o obdelavi osebnih podatkov bistveni instrument pri zagotavljanju ustreznega varstva osebnih podatkov posameznikov, saj jasno razrešuje vloge in razmerja med vključenimi subjekti ter zanje opredeljuje obveznosti in pogoje. Bistveno pri tem je, da se v pogodbi o obdelavi natančno opredeli (najmanj) vso zahtevano vsebino, ki jo določa tretji odstavek 28. člena Splošne uredbe.
IP sklepno ponavlja, da v okviru neobvezujočega mnenja ne more presojati primernosti namenov oziroma obsega obdelave osebnih podatkov v konkretnem primeru. Prav tako IP v okviru neobvezujočega mnenja ne more presojati, ali je uporaba določene informacijske rešitve ali produkta skladna s predpisi s področja varstva osebnih podatkov. IP sicer na podlagi navedb v vašem zaprosilu za mnenje vsekakor meni, da je vsekakor verjetno, da v konkretnem primeru ni zagotovljena skladnost s predpisi s področja varstva osebnih podatkov, ob tem pa ponovno poudarja, da je odgovornost za zakonito in pošteno obdelavo osebnih podatkov primarno vselej na samem upravljavcu osebnih podatkov.
Lepo vas pozdravljamo.
Pripravil:
Matej Sironič, Svetovalec pooblaščenca I
dr. Jelena Virant Burnik, Informacijska pooblaščenka