Objava pogodb o obdelavi osebnih podatkov na portalu javnih naročil

Datum

20.10.2023

Številka

07120-1/2023/469

Kategorije

Svetovni splet, Uradni postopki

Informacijski pooblaščenec (v nadaljevanju IP) je po elektronski pošti prejel vaš dopis, v katerem pojasnjujete, da ste na MJU, Direktorat za javno naročanje, zastavili vprašanje, ali je potrebno, da je v fazi objave javnega naročila priložen tudi osnutek pogodbe o varstvu osebnih podatkov. Nato vas zanima tudi, kako se pogodba o obdelavi osebnih podatkov v času trajanja temeljne pogodbe lahko spremeni (sprememba zakonodaje, prakse, omejitev prenosov v tretje države). Skrbi vas predvsem, ali morate naročniki po ZJN-3 (in 10.a ZDIJZ) zaradi transparentnosti objavljati tehnično organizacijske ukrepe za zagotavljanje varnosti, ki so del pogodbe o obdelavi osebnih podatkov. Zdi se vam, da z objavo teh pogodb de facto povečate varnostno tveganje.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22, ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba), ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A, ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

IP ni v celoti pristojen za podajanje odgovora na vaša vprašanja, na splošno pa menimo, da morate najti ustrezno sorazmerje med zahtevami zakonodaje s področja transparentnosti in javnega naročanja ter zahtevami zagotavljanja ustrezne ravni varnosti obdelave konkretnih osebnih podatkov.

Obrazložitev

IP uvodoma poudarja, da konkretnega in dokončnega odgovora o zakonitosti obdelave osebnih podatkov v okviru mnenja v nobenem primeru ne more podati, saj lahko IP posamezne primere obdelave podatkov konkretno presoja zgolj v okviru inšpekcijskega ali drugega upravnega postopka.

Ugotavljamo, da se vaše vprašanje ne nanaša na obdelavo osebnih podatkov, ampak na vprašanje transparentnosti, povezane z ustreznim zavarovanjem osebnih podatkov. Ne sprašujete namreč glede objave samih osebnih podatkov (kar bi predstavljalo obdelavo osebnih podatkov), temveč glede objave pogodbe o obdelavi osebnih podatkov, kar bi lahko imelo po vašem mnenju posledice na zavarovanje oziroma varnost osebnih podatkov. Zato je pristojnost IP glede podajanja stališč na vaše vprašanje omejena.

Pravilno se nam zdi, da ste se v zvezi z vprašanjem transparentnosti, posebej pa proaktivne transparentnosti, obrnili na Ministrstvo za javno upravo. Skladno z 32. členom Zakon o dostopu do informacij javnega značaja (Uradni list RS, št. 51/06 – UPB; s sprem. in dop) namreč spodbujevalne in razvojne naloge v zvezi z dostopom do informacij javnega značaja opravlja ministrstvo, pristojno za upravo, kar zajema:

1.seznanjanje javnosti o načinu in pogojih dostopa do informacij javnega značaja;

2.svetovanje drugim organom v zvezi z uporabo določil tega zakona;

3.druge spodbujevalne in razvojne naloge.

Vendar pa ugotavljamo, da so vam odgovorili z Direktorata za javno naročanje in bi bilo z vidika 10.a člena ZDIJZ morda vredno vprašati tudi Direktorat za lokalno samoupravo, nevladne organizacije in politični sistem, Sektor za transparentnost in politični sistem. IP namreč na področju transparentnosti in dostopa do informacij javnega značaja ni svetovalni organ. Na splošno menimo, da bi moral MJU seveda kot organ upoštevati vse pravne podlage in okoliščine, relevantne za vaše vprašanje, ob upoštevanju njihovih pristojnosti.

Zaradi vsega navedenega vam ne moremo svetovati o tem, ali morate ali vam ni potrebno objaviti pogodbe o varstvu osebnih podatkov, saj gre pri tem za vprašanje s področja transparentnosti in javnega naročanja. Prav tako vam ne moremo odgovoriti na vprašanje, kako se lahko pogodba o obdelavi osebnih podatkov v času trajanja temeljne pogodbe lahko spremeni, saj gre za vprašanje s področja javnega naročanja.

Glede samega vprašanja varnosti oziroma zavarovanja osebnih podatkov (omenjate povečano varnostno tveganje, če bi objavili pogodbe o obdelavi osebnih podatkov), moramo z vidika pristojnosti IP pojasniti, da je eno temeljnih načel varstva osebnih podatkov načelo celovitosti in zaupnosti in da je upravljavec osebne podatke dolžan obdelovati na način, ki zagotavlja ustrezno varnost osebnih podatkov, vključno z zaščito pred nedovoljeno ali nezakonito obdelavo ter pred nenamerno izgubo, uničenjem ali poškodbo z ustreznimi tehničnimi ali organizacijskimi ukrepi (točka f prvega odstavka 5. člena Splošne uredbe). Prvi odstavek 32. člena Splošne uredbe pa določa, da upravljavec in obdelovalec ob upoštevanju najnovejšega tehnološkega razvoja in stroškov izvajanja ter narave, obsega, okoliščin in namenov obdelave, pa tudi tveganj za pravice in svoboščine posameznikov, ki se razlikujejo po verjetnosti in resnosti, z izvajanjem ustreznih tehničnih in organizacijskimi ukrepov zagotovita ustrezno raven varnosti glede na tveganje.

IP meni, da seveda ne bi bilo ustrezno, da bi v javno objavljeni pogodbi razkrili natančne in konkretne informacije o izvajanju tehničnih in organizacijskih ukrepov glede zagotavljanja ustrezne ravni varnosti (na primer varnostnih načrtov, podrobnosti v zvezi s tehničnimi ukrepi, ki bi lahko vodile v nedovoljeno ali nezakonito obdelavo osebnih podatkov. Navedeno pa morate kot naročnik v postopku javnega naročanja ustrezno uskladiti z zakonodajo s področja transparentnosti in javnega naročanja.

V upanju, da ste dobili odgovor na svoje vprašanje, vas lepo pozdravljamo.

Mojca Prelesnik, univ.dipl.prav., informacijska pooblaščenka

Pripravila

mag. Polona Merc, univ. dipl. prav., svetovalka IP za varstvo osebnih podatkov