Pogodbena obdelava in prenos OP

Datum

19.04.2024

Številka

07121-1/2024/473

Kategorije

Pogodbena obdelava podatkov, Prenos osebnih podatkov v tretje države ali mednarodne organizacije

Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaše zaprosilo za mnenje glede sklenitve pogodbe o obdelavi osebnih podatkov.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22; v nadaljevanju: ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, 51/07 – ZUstS-A; ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

Pogodbo ali drug pravni akt o obdelavi osebnih podatkov je treba skleniti v vseh primerih, ki jih navajate v vašem zaprosilu za mnenje. V tistih primerih, ko v zvezi s pogodbeno obdelavo pride tudi do prenosa osebnih podatkov izven EU (primera 3. in 4. iz vašega zaprosila za mnenje), morajo upravljavci in obdelovalci za zakonit prenos osebnih podatkov v tretjo državo poleg pogodbe ali drugega akta o obdelavi zagotoviti tudi enega izmed načinov zagotavljanja ustreznega varstva podatkov v tretji državi po prenosu.

Prenose osebnih podatkov v tretje države in mednarodne organizacije ureja Poglavje V Splošne uredbe, ki temelji na predpostavki, da se raven varstva osebnih podatkov zaradi prenosa v tretjo državo ne sme zmanjšati v primerjavi z varstvom, ki ga zagotavlja Splošna uredba.

Upravljavec lahko na različne načine izkaže, da je raven varstva osebnih podatkov v tretji državi ustrezna: s sklepom o ustreznosti, ustreznimi zaščitnimi ukrepi ali na podlagi odstopanj v posebnih primerih.

Obrazložitev

IP uvodoma poudarja, da lahko podaja neobvezujoča mnenja in pojasnila, ne sme pa izven konkretnih inšpekcijskih postopkov preverjati primernosti izbrane pravne podlage ali namenov oziroma obsega obdelave osebnih podatkov v konkretnem primeru. IP kot nadzorni organ na področju varstva osebnih podatkov v okviru mnenja tako ne more presojati skladnosti konkretnega ravnanja, ki ste ga opisali v vašem zaprosilu za mnenje, s predpisi s področja varstva osebnih podatkov.

IP uvodoma pojasnjuje, da je najem računovodskih storitev tipičen primer pogodbene obdelave osebnih podatkov, saj računovodski servis obdeluje osebne podatke v imenu in za račun upravljavca (naročnika storitve) ter jih ne sme obdelovati v druge namene, razen če bi to od njega zahteval zakon.

IP nadalje pojasnjuje, da IP razmerje med upravljavcem in obdelovalcem ureja 28. člen Splošne uredbe, kjer je določeno, da obdelavo s strani obdelovalca ureja pogodba ali drug pravni akt v skladu s pravom Unije ali pravom države članice, ki določa obveznosti obdelovalca do upravljavca, v katerem so določeni vsebina in trajanje obdelave, narava in namen obdelave, vrsta osebnih podatkov, kategorije posameznikov, na katere se nanašajo osebni podatki, ter obveznosti in pravice upravljavca. Ta pogodba ali drug pravni akt zlasti določa, da obdelovalec:

(a)osebne podatke obdeluje samo po dokumentiranih navodilih upravljavca, vključno glede prenosov osebnih podatkov v tretjo državo ali mednarodno organizacijo, razen če to od njega zahteva pravo Unije ali pravo države članice, ki velja za obdelovalca; v slednjem primeru obdelovalec o tej pravni zahtevi pred obdelavo podatkov obvesti upravljavca, razen če zadevno pravo prepoveduje takšno obvestilo na podlagi pomembnih razlogov v javnem interesu;

(b)zagotovi, da so osebe, ki so pooblaščene za obdelavo osebnih podatkov, zavezane k zaupnosti ali jih k zaupnosti zavezuje ustrezen zakon;

(c)sprejme vse ukrepe, potrebne v skladu s členom 32;

(d)spoštuje pogoje iz odstavkov 2 in 4 za zaposlitev drugega obdelovalca;

(e)ob upoštevanju narave obdelave pomaga upravljavcu z ustreznimi tehničnimi in organizacijskimi ukrepi, kolikor je to mogoče, pri izpolnjevanju njegovih obveznosti, da odgovori na zahteve za uresničevanje pravic posameznika, na katerega se nanašajo osebni podatki, iz poglavja III;

(f)upravljavcu pomaga pri izpolnjevanju obveznosti iz členov 32 do 36 ob upoštevanju narave obdelave in informacij, ki so dostopne obdelovalcu;

(g)v skladu z odločitvijo upravljavca izbriše ali vrne vse osebne podatke upravljavcu po zaključku storitev v zvezi z obdelavo ter uniči obstoječe kopije, razen če pravo Unije ali pravo države članice predpisuje shranjevanje osebnih podatkov;

(h)da upravljavcu na voljo vse informacije, potrebne za dokazovanje izpolnjevanja obveznosti iz tega člena, ter upravljavcu ali drugemu revizorju, ki ga pooblasti upravljavec, omogoči izvajanje revizij, tudi pregledov, in pri njih sodeluje.

IP v zvezi s pogodbeno obdelavo pojasnjuje, da je treba pogodbo ali drug pravni akt v skladu s prejšnjim odstavkom skleniti v vseh primerih, ki jih navajate v vašem zaprosilu za mnenje. V tistih primerih, ko v zvezi s pogodbeno obdelavo pride tudi do prenosa osebnih podatkov izven EU (primera 3. in 4. iz vašega zaprosila za mnenje), morajo upravljavci in obdelovalci za zakonit prenos osebnih podatkov v tretjo državo poleg pogodbe ali drugega akta o obdelavi zagotoviti tudi enega izmed načinov zagotavljanja ustreznega varstva podatkov v tretji državi po prenosu.

Prenose osebnih podatkov v tretje države in mednarodne organizacije ureja Poglavje V Splošne uredbe, ki temelji na predpostavki, da se raven varstva osebnih podatkov zaradi prenosa v tretjo državo ne sme zmanjšati v primerjavi z varstvom, ki ga zagotavlja Splošna uredba. Upravljavec lahko na različne načine izkaže, da je raven varstva osebnih podatkov v tretji državi ustrezna: s sklepom o ustreznosti, ustreznimi zaščitnimi ukrepi ali na podlagi odstopanj v posebnih primerih.

Ena izmed možnosti za to je torej obstoj sklepa o ustreznosti, ki ga skladno s 45. členom Splošne uredbe lahko izda Evropska komisija, če ugotovi da zadevna tretja država, ozemlje, eden ali več določenih sektorjev v tej tretji državi ali mednarodna organizacija zagotavlja ustrezno raven varstva podatkov. Druga možnost pa je predvsem uporaba zaščitnih ukrepov za zagotavljanje ustrezne ravni varstva po prenosu osebnih podatkov v tretjo državo na enega od drugih možnih načinov, kot jih določa 46. člen Splošne uredbe.

Če za določeno državo ni bil sprejet sklep o ustreznosti in obenem tudi ni mogoče sprejeti omenjenih ustreznih zaščitnih ukrepov, se lahko prenos izvede le v nekaterih posebnih primerih, ki so določeni v 49. členu Splošne uredbe. Prenos se lahko na podlagi pogojev iz tega člena izvede zgolj izjemoma, če prenos v tretjo državo z uporabo drugih mehanizmov varstva na podlagi 45. ali 46. člena Splošne uredbe resnično ni možen (oziroma dokler ni možen).

Splošna uredba določa tudi odstopanje od zgoraj navedenih pravil (t.i. odstopanje od odstopanj), v skladu s katerim je prenos osebnih podatkov v tretjo državo izjemoma dovoljen tudi, če niso izpolnjeni pogoji za uporabo nobenega izmed opisanih mehanizmov. Tovrstni prenosi podatkov so dopustni le izjemoma ob upoštevanju strogo določenih pogojev, predvsem se ne smejo ponavljati in lahko zadevajo le omejeno število posameznikov, o njih pa mora izvoznik podatkov obvestiti IP.

Več o prenosih osebnih podatkov si lahko preberete v Smernicah glede prenosa osebnih podatkov v tretje države in mednarodne organizacije po Splošni uredbi o varstvu podatkov in ZVOP-2, ki so dostopne na spletni strani IP:

https://www.ip-rs.si/fileadmin/user_upload/Pdf/smernice/Smernice%20glede%20prenosa%20OP_v1.5.pdf

Smernice vsebujejo tudi več uporabnih povezav do dodatnega gradiva o prenosih podatkov v tretje države, npr. do priporočil EDPB in izvedbenih aktov Evropske Komisije, ki so izvoznikom osebnih podatkov lahko v pomoč pri vzpostavljanju ustreznih mehanizmov za prenos osebnih podatkov v tretje države.

Lepo vas pozdravljamo.

Pripravil

Matej Sironič, Svetovalec pooblaščenca za varstvo osebnih podatkov

Mojca Prelesnik, univ. dipl. prav., Informacijska pooblaščenka