Posredovanje OP tretji osebi

Datum

30.09.2024

Številka

07121-1/2024/1154

Kategorije

Pogodbena obdelava podatkov, Posredovanje osebnih podatkov

Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaše zaprosilo za mnenje glede posredovanja osebnih podatkov tretji osebi.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22; v nadaljevanju: ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, 51/07 – ZUstS-A; ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

IP v okviru neobvezujočega mnenja ne more preverjati primernosti izbrane pravne podlage ali namenov oziroma obsega obdelave osebnih podatkov v konkretnem primeru, temveč lahko opravi konkretno presojo šele v nadzornem ali drugem upravnem postopku.

Upravljavec se lahko samostojno odloči, da bo obdelavo osebnih podatkov poveril pogodbenemu obdelovalcu, pri čemer mora z njim skleniti ustrezno pogodbo ter upoštevati druge zahteve 28. člena Splošne uredbe. Za to pa ne potrebuje predhodnega dovoljenja ali privolitve zadevnih posameznikov (v tem primeru druge stranke pogodbe), morata pa, kot rečeno, tako upravljavec kot obdelovalec upoštevati zahteve 28. člena Splošne uredbe glede ureditve medsebojnih pravic in obveznosti ter spoštovati ostale zahteve Splošne uredbe.

Obrazložitev

IP uvodoma poudarja, da lahko podaja neobvezujoča mnenja in pojasnila, ne sme pa izven konkretnih nadzornih ali drugih upravnih postopkov preverjati primernosti izbrane pravne podlage ali namenov oziroma obsega obdelave osebnih podatkov v konkretnem primeru. IP kot nadzorni organ na področju varstva osebnih podatkov v okviru mnenja tako ne more presojati skladnosti konkretnega ravnanja, ki ste ga opisali v vašem zaprosilu za mnenje, s predpisi s področja varstva osebnih podatkov.

IP pojasnjuje, da mora vsaka obdelava osebnih podatkov potekati transparentno in skladno z določbami Splošne uredbe. Ta v prvem odstavku 6. člena določa, da je obdelava osebnih podatkov zakonita le in kolikor je za konkretni namen obdelave izpolnjen eden od naslednjih pogojev:

(a)posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov;

(b)obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe;

(c)obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca;

(d)obdelava je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe;

(e)obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu;

(f)obdelava je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok.

Ob tem je treba upoštevati, da se zadnja točka (f) ne more uporabljati za obdelavo s strani javnih organov pri opravljanju njihovih nalog.

Ob tem IP opozarja na načelo najmanjšega obsega podatkov, ki določa, da morajo biti pod pogojem, da obstaja pravna podlaga, osebni podatki, ki se obdelujejo, ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo. Navedeno načelo pomeni, da je potrebno obdelovati samo toliko osebnih podatkov, kolikor je nujno potrebno za dosego zakonitega namena obdelave.

V kolikor določena obdelava osebnih podatkov (npr. posredovanje osebnih podatkov tretji osebi) nima ustrezne pravne podlage iz navedenega 6. člena Splošne uredbe, gre lahko za nezakonito obdelavo osebnih podatkov. IP ponovno poudarja, da v okviru neobvezujočega mnenja ne more podati dokončne presoje glede zakonitosti konkretne obdelave osebnih podatkov, temveč lahko opravi konkretno presojo šele v nadzornem ali drugem upravnem postopku, ko so znane vse okoliščine posameznega primera.

IP pojasnjuje, da mu na podlagi navedb v vašem zaprosilu za mnenje ni znana narava medsebojnega odnosa med stranko pogodbe in računovodskim podjetjem. Obstaja tudi možnost, da je računovodsko podjetje pogodbeni obdelovalec stranke (upravljavca podatkov). IP glede pogodbene obdelave uvodoma pojasnjuje, da v skladu s 4. členom Splošne uredbe o varstvu podatkov pojem »upravljavec« pomeni fizično ali pravno osebo, javni organ, agencijo ali drugo telo, ki samo ali skupaj z drugimi določa namene in sredstva obdelave, pojem »obdelovalec« pa pomeni fizično ali pravno osebo, javni organ, agencijo ali drugo telo, ki obdeluje osebne podatke v imenu upravljavca. IP splošno dodaja, da je najem računovodskih storitev tipičen primer pogodbene obdelave osebnih podatkov, saj računovodski servis obdeluje osebne podatke v imenu in za račun upravljavca (naročnika storitve) ter jih ne sme obdelovati v druge namene, razen če bi to od njega zahteval zakon.

IP pojasnjuje, da razmerje med upravljavcem in obdelovalcem ureja 28. člen Splošne uredbe, kjer je določeno, da obdelavo s strani obdelovalca ureja pogodba ali drug pravni akt v skladu s pravom Unije ali pravom države članice, ki določa obveznosti obdelovalca do upravljavca, v katerem so določeni vsebina in trajanje obdelave, narava in namen obdelave, vrsta osebnih podatkov, kategorije posameznikov, na katere se nanašajo osebni podatki, ter obveznosti in pravice upravljavca. Ta pogodba ali drug pravni akt zlasti določa, da obdelovalec:

(a)osebne podatke obdeluje samo po dokumentiranih navodilih upravljavca, vključno glede prenosov osebnih podatkov v tretjo državo ali mednarodno organizacijo, razen če to od njega zahteva pravo Unije ali pravo države članice, ki velja za obdelovalca; v slednjem primeru obdelovalec o tej pravni zahtevi pred obdelavo podatkov obvesti upravljavca, razen če zadevno pravo prepoveduje takšno obvestilo na podlagi pomembnih razlogov v javnem interesu;

(b)zagotovi, da so osebe, ki so pooblaščene za obdelavo osebnih podatkov, zavezane k zaupnosti ali jih k zaupnosti zavezuje ustrezen zakon;

(c)sprejme vse ukrepe, potrebne v skladu s členom 32;

(d)spoštuje pogoje iz odstavkov 2 in 4 za zaposlitev drugega obdelovalca;

(e)ob upoštevanju narave obdelave pomaga upravljavcu z ustreznimi tehničnimi in organizacijskimi ukrepi, kolikor je to mogoče, pri izpolnjevanju njegovih obveznosti, da odgovori na zahteve za uresničevanje pravic posameznika, na katerega se nanašajo osebni podatki, iz poglavja III;

(f)upravljavcu pomaga pri izpolnjevanju obveznosti iz členov 32 do 36 ob upoštevanju narave obdelave in informacij, ki so dostopne obdelovalcu;

(g)v skladu z odločitvijo upravljavca izbriše ali vrne vse osebne podatke upravljavcu po zaključku storitev v zvezi z obdelavo ter uniči obstoječe kopije, razen če pravo Unije ali pravo države članice predpisuje shranjevanje osebnih podatkov;

(h)da upravljavcu na voljo vse informacije, potrebne za dokazovanje izpolnjevanja obveznosti iz tega člena, ter upravljavcu ali drugemu revizorju, ki ga pooblasti upravljavec, omogoči izvajanje revizij, tudi pregledov, in pri njih sodeluje.

Tak pisni dogovor zagotavlja, da se tako upravljavec kot obdelovalec zavedata svojih pravic in obveznosti v zvezi z obdelavo osebnih podatkov. Odgovornost za zakonito obdelavo osebnih podatkov je primarno na strani upravljavca in ostaja njegova odgovornost tudi po njihovem posredovanju pogodbenemu obdelovalcu. Ob tem pa IP opozarja, da ima v določenem delu obdelovalec podobne obveznosti kot upravljavec osebnih podatkov in je neposredno odgovoren za zakonito obdelavo osebnih podatkov v okviru svojih pooblastil. Pravila zakonite obdelave osebnih podatkov mora poznati in jih v praksi tudi ustrezno izvrševati.

IP ob tem poudarja, da je bistvenega pomena dejstvo, da lahko obdelovalec osebne podatke obdeluje zgolj za namene, za katere ga je pooblastil upravljavec in torej osebnih podatkov ne obdeluje za lastne namene. V vlogi obdelovalca bo tako nastopala tista pravna oziroma fizična oseba, ki bo obdelavo osebnih podatkov izvrševala izključno v imenu in za račun upravljavca osebnih podatkov, bo pri tem črpala podlago za obdelavo osebnih podatkov iz upravičenj upravljavca ter bo v zvezi s samimi dejanji obdelave vezana na navodila upravljavca. IP poudarja, da mora biti varstvo osebnih podatkov zagotovljeno na vseh ravneh obdelave osebnih podatkov, torej se z njihovim posredovanjem obdelovalcu ne sme kakorkoli znižati.

Upravljavec se torej lahko samostojno odloči, da bo obdelavo osebnih podatkov poveril pogodbenemu obdelovalcu, pri čemer mora z njim skleniti ustrezno pogodbo ter upoštevati vse zgoraj navedene zahteve. Za to pa ne potrebuje predhodnega dovoljenja ali privolitve zadevnih posameznikov (v tem primeru druge stranke pogodbe), morata pa, kot rečeno, tako upravljavec kot obdelovalec upoštevati zahteve 28. člena Splošne uredbe glede ureditve medsebojnih pravic in obveznosti ter spoštovati ostale zahteve Splošne uredbe.

IP ponavlja, da obstaja možnost, da gre v konkretnem primeru za primer pogodbene obdelave, ni pa to nujno. IP sklepno ponavlja, da v okviru neobvezujočega mnenja ne more podati dokončne presoje glede zakonitosti konkretne obdelave osebnih podatkov, temveč lahko opravi konkretno presojo šele v nadzornem ali drugem upravnem postopku, ko so znane vse okoliščine posameznega primera.

Lepo vas pozdravljamo.

Pripravil

Matej Sironič, Svetovalec pooblaščenca za varstvo osebnih podatkov

dr. Jelena Virant Burnik, Informacijska pooblaščenka