- Napreden AI iskalnik za hitro iskanje primerov
- Dostop do celotne evropske in slovenske sodne prakse
- Samodejno označevanje ključnih relevantnih odstavkov
Podobni dokumenti
Ogledaj podobne dokumente za vaš primer.Prijavi se in poglej več podobnih dokumentov
Dostop do osebnih podatkov pri obdelovalcu
Z nami najdeš vse. Preizkusi zdaj!
Samo zamislim si kaj bi rada da piše v sodbi, to vpišem v iskalnik, in dobim kar sem iskala. Hvala!
Tara K., odvetnica
Dostop do osebnih podatkov pri obdelovalcu
Datum
30.04.2026
Številka
07121-1/2026/428
Kategorije
Pogodbena obdelava podatkov
Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaše zaprosilo za mnenje glede
dostopa do osebnih podatkov, ki so v hrambi pri obdelovalcu.
Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22, 40/25 – ZInfV-1, 10/26 – ZP-1L; v nadaljevanju: ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, 51/07 – ZUstS-A; ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.
Ker obdelovalec dela v imenu in za račun upravljavca, je eden pomembnih elementov razmerja med njima tudi nadzor upravljavca nad obdelavo osebnih podatkov, ki jo zanj izvaja obdelovalec.
Obdelovalec osebne podatke obdeluje samo po dokumentiranih navodilih upravljavca, vključno glede prenosov osebnih podatkov v tretjo državo ali mednarodno organizacijo, razen če to od njega zahteva pravo Unije ali pravo države članice, ki velja za obdelovalca.
Obrazložitev
IP uvodoma poudarja, da lahko podaja neobvezujoča mnenja in pojasnila, ne sme pa izven konkretnih nadzornih ali drugih upravnih postopkov preverjati primernosti izbrane pravne podlage ali namenov oziroma obsega obdelave osebnih podatkov v konkretnem primeru. IP tako ne more konkretno odgovarjati na tri vprašanja iz vašega zaprosila za mnenje, ampak v nadaljevanju podaja splošna pojasnila.
IP poudarja, da je za razlikovanje med upravljavcem in obdelovalcem osebnih podatkov ključno, da je obdelovalec samostojna, od upravljavca ločena pravna entiteta, in da osebne podatke vselej obdeluje le v imenu in za račun upravljavca. Gre torej za primere, ko upravljavec, ki bi posamezne aktivnosti v zvezi z osebnimi podatki lahko izvedel sam, sprejme odločitev, da jih bo iz različnih razlogov zaupal obdelovalcu. Ker slednji dela v imenu in za račun upravljavca, je eden pomembnih elementov razmerja med njima tudi nadzor upravljavca nad obdelavo osebnih podatkov, ki jo zanj izvaja obdelovalec.
Kot je IP že pojasnil v svojem mnenju
št. 07120-1/2024/461
, je pogodba o obdelavi osebnih podatkov, ki se sklene med upravljavcem (v konkretnem primeru vašo družbo) in obdelovalcem (v konkretnem primeru ponudnikom oblačne storitve) bistveni instrument pri zagotavljanju ustreznega varstva osebnih podatkov posameznikov. Tak pisni dogovor zagotavlja, da se tako upravljavec kot obdelovalec zavedata svojih pravic in obveznosti v zvezi z obdelavo osebnih podatkov. Odgovornost za zakonito obdelavo osebnih podatkov je primarno na strani upravljavca in ostaja njegova odgovornost tudi po njihovem posredovanju pogodbenemu obdelovalcu. Ob tem pa IP opozarja, da ima v določenem delu obdelovalec podobne obveznosti kot upravljavec osebnih podatkov in je neposredno odgovoren za zakonito obdelavo osebnih podatkov v okviru svojih pooblastil. Pravila zakonite obdelave osebnih podatkov mora poznati in jih v praksi tudi ustrezno izvrševati. Več o razmerju med upravljavcem in obdelovalcem si lahko preberete v
Smernicah o pogodbeni obdelavi
.
V pogodbi o obdelavi osebnih podatkov se natančno opredeli (najmanj) vso zahtevano vsebino, ki jo določa tretji odstavek 28. člena Splošne uredbe. Točka (a) omenjenega člena določa, da
obdelovalec osebne podatke obdeluje samo po dokumentiranih navodilih upravljavca, vključno glede prenosov osebnih podatkov v tretjo državo ali mednarodno organizacijo, razen če to od njega zahteva pravo Unije ali pravo države članice, ki velja za obdelovalca. Pri sleherni obdelavi osebnih podatkov je torej obdelovalec vezan na dokumentirana navodila upravljavca, razen v primeru zahtev, določenih s pravom EU ali nacionalnim pravom.
IP dodaja, da več informacij o uporabi oblačnih storitev lahko najdete v smernicah IP o obdelavi osebnih podatkov v okviru storitev v oblaku:
https://www.ip-rs.si/fileadmin/user_upload/Pdf/smernice/Smernice_Varstvo_osebnih_podatkov_in_racunalnistvo_v_oblaku_2016.pdf
Glede navedenih smernic opozarjamo, da te (še) niso prenovljene v smislu določb Splošne uredbe, vendar pa osnove ostajajo iste. Spremembe so se zgodile predvsem glede nekaterih dodanih obveznosti v okviru pogodbene obdelave osebnih podatkov, o kateri si lahko več preberete v zgoraj navedenih smernicah IP o pogodbeni obdelavi. V pogodbi, ki jo sklenete s ponudnikom oblačne storitve, mora biti med drugimi pogodbenimi obveznostmi natančno opredeljeno, kako bo poskrbljeno za zavarovanje osebnih podatkov, zlasti kako se varujejo prostori in programska oprema, kako ponudnik preprečuje nepooblaščen dostop do podatkov, kako je zagotovljena varnost podatkov med prenosom itd. Pomembno je tudi, da je omogočeno sledenje, kaj se s podatki dogaja in kje se trenutno nahajajo. Zato vam mora ponudnik oblačne storitve vnaprej natančno pojasniti, na katerih lokacijah bo obdeloval ali hranil vaše podatke.
V primeru, da menite, da je v konkretnem primeru prišlo do kršitev varstva osebnih podatkov s strani obdelovalca, lahko na IP podate prijavo (več o tem na: https://www.ip-rs.si/go?u=%2Fvarstvo-osebnih-podatkov%2Fpravice-posameznika%2Fvlo%C5%BEitev-prijave).
Lepo vas pozdravljamo.
Pripravil:
Matej Sironič,
Svetovalec pooblaščenca I
dr. Jelena Virant Burnik,
Informacijska pooblaščenka