Pogodbena obdelava osebnih podatkov

Datum

17.02.2023

Številka

07121-1/2023/213

Kategorije

Pogodbena obdelava podatkov, Varnost osebnih podatkov

Informacijski pooblaščenec (v nadaljevanju: IP) je po e-pošti prejel vaše zaprosilo za mnenje. Navajate, da v vašem podjetju v času večjih projektov kot dodatno pomoč vodenja kadrov, angažirate dodatni kader. Gre za začasno, pogodbeno obliko sodelovanja, običajno preko s.p. Nekateri vaši pogodbeni izvajalci imajo zaradi narave dela tudi dostop do nekaterih osebnih podatkov vaših zaposlenih.

Sprašujete, ali morate z njimi skleniti kakšno posebno pogodbo (o obdelavi osebnih podatkov), ali zadošča, da v sklenjeno pogodbo o poslovnem sodelovanju vnesete tudi določilo o varovanju osebnih podatkov?

* * *

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22, ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A, ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

Odvisno od pogodbene ureditve sodelovanja zunanjih sodelavcev (npr. pogodba o zaposlitvi, pogodba o opravi storitve s strani s.p.) je upravljavec v vsakem primeru dolžan poskrbeti za izvajanje vseh ukrepov varovanja osebnih podatkov s strani oseb, ki v njegovem imenu obdelujejo osebne podatke. Izbor primernega načina je odgovornost upravljavca, npr. določba v pogodbi o zaposlitvi ali drugi pogodbi o opravi storitve s strani s.p., dodatni ukrepi predpisani v internih aktih ali izpolnjevanje zahtev iz 28. člena Splošne uredbe v primeru najema pogodbenega obdelovalca.

Kot upravljavec morate glede na konkretne okoliščine presoditi, ali gre v konkretnem primeru za pogodbenega obdelovalca ali pa za izvajanje storitev, katerih primarni namen ni obdelava osebnih podatkov. Pomagate si lahko s Smernicami IP, v katerih so merila za presojo pogodbene obdelave podrobneje razložena.

Splošna uredba ne zahteva sklenitve posebne pogodbe o obdelavi osebnih podatkov, obveznosti lahko uredite tudi z drugim pravnim aktom (dogovorom, sporazumom, itd.), upoštevati pa morate določbo 28. člena Splošne uredbe, ki predpisuje minimalni obseg sestavin pogodbe ali drugega pravnega akta. Pomagate si lahko tudi s standardnimi pogodbenimi določili, ki jih je pripravil IP.

Obrazložitev

Pri tem IP uvodoma poudarja, da izven postopka inšpekcijskega nadzora oziroma drugega upravnega postopka konkretnih obdelav osebnih podatkov ne more presojati.

Poudarjamo, da je upravljavec, odvisno od pogodbene ureditve sodelovanja zunanjih sodelavcev (npr. pogodba o zaposlitvi, pogodba o opravi storitve s strani s.p.), v vsakem primeru dolžan poskrbeti za izvajanje vseh ukrepov varovanja osebnih podatkov s strani oseb, ki v njegovem imenu obdelujejo osebne podatke. Izbor primernega načina je odgovornost upravljavca, npr. določba v pogodbi o zaposlitvi ali drugi pogodbi o opravi storitve s strani s.p., dodatni ukrepi predpisani v internih aktih ali izpolnjevanje zahtev iz 28. člena Splošne uredbe v primeru najema pogodbenega obdelovalca.

Kot smo izpostavili v Smernicah IP o pogodbeni obdelavi, ki so dostopne na: https://www.ip-rs.si/publikacije/priročniki-in-smernice/smernice-po-splošni-uredbi-o-varstvu-podatkov-gdpr/smernice-o-pogodbeni-obdelavi, je treba pri ugotavljanju, ali gre za pogodbeno obdelavo osebnih podatkov, presojati naslednje okoliščine:

-Ali lahko subjekt sam določa namen in sredstva obdelave osebnih podatkov?

-Ali je upravljavec zbirke osebnih podatkov subjektu poveril v izvajanje opravila obdelave, ki bi jih sicer lahko izvajal upravljavec sam?

-Kakšna je intenzivnost obdelave, vezanost na navodila in nadzor upravljavca nad dejanji subjekta?

-Ali ima subjekt zakonska pooblastila oziroma pravno podlago, ki bi ga deloma ali v celoti postavila za upravljavca v zvezi z osebnimi podatki upravljavca?

-Ali je primarni namen najema storitev subjekta katero od dejanj obdelave osebnih podatkov (npr. hramba) ali pa je obdelava osebnih podatkov zgolj posledica najetja storitve subjekta?

V vlogi obdelovalca bo nastopala tista pravna oziroma fizična oseba, ki bo obdelavo osebnih podatkov izvrševala: 1. izključno v imenu in za račun upravljavca osebnih podatkov, 2. bo pri tem črpala podlago za obdelavo osebnih podatkov iz upravičenj upravljavca ter 3. bo v zvezi s samimi dejanji obdelave vezana na navodila upravljavca. Če gre v vašem primeru za zagotavljanje storitev, pri katerih bi sicer lahko prišlo do razkritja osebnih podatkov, ni pa obdelava osebnih podatkov primarni namen storitve, potem verjetno ne bo šlo za pogodbeno obdelavo osebnih podatkov. Navedeno pa seveda ne pomeni, da se o varnosti osebnih podatkov ne dogovorita na drug način, kot smo uvodoma izpostavili (npr. v okviru pogodbe o opravi storitve). Za obdelavo osebnih podatkov pa bi verjetno šlo v primeru, ko bi zunanji sodelavec dejansko opravljal naloge kadrovanja oz. kadrovske agencije (vodenje evidenc o zaposlenih po zakonu, izbirni postopki, obračunavanje plač, itd.).

Če boste presodili, da gre za pogodbeno obdelavo osebnih podatkov, morate upoštevati določbo 28. člena Splošne uredbe, ki določa minimalni obseg sestavin, ki jih mora vsebovati pisen dogovor. Splošna uredba ne zahteva sklenitev posebne pogodbe, obveznosti lahko uredite tudi z drugim pravnim aktom (dogovorom, sporazumom, itd.), vendar pa Splošne uredba predpisuje, da morajo biti določeni vsebina in trajanje obdelave, narava in namen obdelave, vrsta osebnih podatkov, kategorije posameznikov, na katere se nanašajo osebni podatki, ter obveznosti in pravice upravljavca. Nadalje predpisuje, da obdelovalec:

·osebne podatke obdeluje samo po dokumentiranih navodilih upravljavca,

·zagotovi, da so osebe, ki so pooblaščene za obdelavo osebnih podatkov, zavezane k zaupnosti ali jih k zaupnosti zavezuje ustrezen zakon;

·sprejme vse ukrepe, potrebne za varnost osebnih podatkov (ukrepe opiše v internem pravilniku o varnosti osebnih podatkov);

·zaposli drugega obdelovalca le, če je prej pridobil posebno ali splošno pisno dovoljenje upravljavca in da zagotovi, da veljajo med obdelovalcem in pod-obdelovalcem enake obveznosti kot med upravljavcem in obdelovalcem in da je med njima sklenjena pisna pogodba.

·upravljavcu pomaga pri izpolnjevanju njegovih obveznosti, da odgovori na zahteve za uresničevanje pravic posameznika, na katerega se nanašajo osebni podatki;

·upravljavcu pomaga pri zagotavljanju varnosti obdelave osebnih podatkov, uradnem obveščanju o kršitvah in oceni učinkov na varstvo osebnih podatkov;

·po zaključku storitve obdelave izbriše ali vrne vse osebne podatke upravljavcu (razen kadar hrambo predpisuje zakon);

·da upravljavcu na voljo vse informacije, potrebne za dokazovanje izpolnjevanja obveznosti iz 28. člena Splošne uredbe, ter upravljavcu ali drugemu revizorju, ki ga pooblasti upravljavec, omogoči izvajanje revizij, tudi pregledov, in pri njih sodeluje.

Pomagate si lahko tudi s standardnimi pogodbenimi določili, ki so dostopna na https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/ključna-področja-uredbe/pogodbena-obdelava. Na navedeni povezavi lahko preberete tudi, katere so druge obveznosti upravljavca glede pogodbene obdelave po ZVOP-2, ki je pričel veljati 26. 1. 2023.

V upanju, da vam bodo naša napotila v pomoč, vas lepo pozdravljamo.

Mojca Prelesnik, univ. dipl. prav., informacijska pooblaščenka

Pripravila

Barbara Žurej, univ. dipl. prav., svetovalka pooblaščenca za preventivo