Oblika akta o pogodbeni obdelavi osebnih podatkov

Datum

28.07.2023

Številka

07121-1/2023/996

Kategorije

Pogodbena obdelava podatkov

Pri Informacijskem pooblaščencu (IP) smo prejeli vaše zaprosilo za mnenje. Navajate, da ste oblikovali osnutek pogodbe za vaše zunanje izvajalce (računovodstvo, zakupnika domen, gostitelja strežnikov, e-trgovine ipd.). Od enega izmed njih pa ste prejeli odgovor, da kot osnovna pogodba veljajo njihovi splošni pogoji, izjava o varnosti pa dodatno opredeljuje pravice strank. Sprašujete, ali to za vas zadostuje in ali lahko na tak način sklepate razmerja tudi z ostalimi zunanjimi izvajalci.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22; v nadaljevanju ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A; v nadaljevanju ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

Razmerje med upravljavcem in obdelovalcem se lahko uredi bodisi s pogodbo bodisi z drugim pravnim aktom, ki določa obveznosti obdelovalca do upravljavca.

Pri tem gre lahko za enostransko pripravljen akt s strani obdelovalca (tudi v obliki splošnih pogojev), če je ta pisen, zavezujoč za obe strani in tudi vsebinsko ustreza 28. členu Splošne uredbe. Takšen način urejanja medsebojnega razmerja pa upravljavca ne razbremenjuje nobenih odgovornosti po Splošni uredbi, zato se mora pred začetkom sodelovanja z obdelovalcem prepričati, da je tak akt v celoti skladen z zahtevami predpisov s področja varstva osebnih podatkov.

Obrazložitev

IP uvodoma pojasnjuje, da izdaja brezplačna mnenja, ki so namenjena podaji načelnih in splošnih stališč glede interpretacije določb predpisov, ki se nanašajo na varstvo osebnih podatkov. Izven nadzornega postopka pa konkretnih obdelav osebnih podatkov ne more presojati. To pomeni, da v okviru mnenja ne more dokončno presoditi in vam odgovoriti, ali je predlagana rešitev ureditve pogodbene obdelave ustrezna, temveč v nadaljevanju podaja zgolj splošna pojasnila in pravna izhodišča v zvezi z vašim vprašanjem. Pri podrobnejši oceni skladnosti pa vam lahko pomagajo drugi strokovnjaki (svetovalci, odvetniki ipd.), ki se ukvarjajo s pravom varstva osebnih podatkov.

V zvezi s pogodbeno obdelavo vas IP najprej napotuje na številne uporabne dokumente, ki obravnavajo to tematiko:

-Smernice IP o pogodbeni obdelavi: https://www.ip-rs.si/publikacije/priročniki-in-smernice/smernice-po-splošni-uredbi-o-varstvu-podatkov-gdpr/smernice-o-pogodbeni-obdelavi;

-Smernice Evropskega odbora za varstvo podatkov 07/2020 o pojmih upravljavec in obdelovalec iz Splošne uredbe o varstvu podatkov: https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-072020-concepts-controller-and-processor-gdpr_sl;

-Spletna stran IP: https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/ključna-področja-uredbe/pogodbena-obdelava;

-Mnenja IP (kategorija »Pogodbena obdelava podatkov«): https://www.ip-rs.si/mnenja-zvop-2/.

Prav tako IP izpostavlja, da niso vsi zunanji izvajalci nujno tudi obdelovalci v smislu opredelitve iz 8. točke 4. člena Splošne uredbe. Obdelovalci so zgolj tiste organizacije oziroma posamezniki, ki po naročilu določenega upravljavca osebnih podatkov in v skladu z njegovimi zahtevami za določen namen ter v njegovem imenu obdelujejo osebne podatke posameznikov.

Kadar obdelavo osebnih podatkov v imenu upravljavca izvaja obdelovalec, mora za to obstajati pisna pogodba ali drug ustrezen akt, ki določa obveznosti obdelovalca do upravljavca, v katerem so določeni vsebina in trajanje obdelave, narava in namen obdelave, vrsta osebnih podatkov, kategorije posameznikov, na katere se nanašajo osebni podatki, ter obveznosti in pravice upravljavca. Splošna uredba opredeljuje minimalni obseg sestavin, ki jih mora vsebovati takšen pisni akt. Vse to je natančneje določeno v 28. členu Splošne uredbe. Takšna pogodba oziroma akt zagotavlja, da se tako upravljavec kot obdelovalec zavedata svojih pravic in obveznosti v zvezi z obdelavo osebnih podatkov. Oba sta namreč tudi odgovorna za zagotovitev pogodbe ali drugega pravnega akta, ki ureja obdelavo. Če le-tega ni oziroma ni v skladu z vsebino, kot jo določa 28. člen Splošne uredbe, gre za kršitev varstva osebnih podatkov.

Niti Splošna uredba niti ZVOP-2 ne določata, kakšen je lahko »drug pravni akt v skladu s pravom Unije ali pravom države članice«, s katerim se ureja razmerje med upravljavcem in obdelovalcem. Bistveno pa je, da je pisen, zavezujoč za obe strani in tudi vsebinsko ustreza 28. členu Splošne uredbe.

Pogodba oziroma drug pravni akt, ki ureja razmerje med upravljavcem in obdelovalcem, je v praksi pogosto sestavljen enostransko. Nekateri izvajalci storitev denimo izberejo standardna pogodbena določila ali splošne pogoje, ki vključujejo dogovor o obdelavi podatkov. Zgolj dejstvo, da tak akt vnaprej pripravi obdelovalec in ne upravljavec, samo po sebi ni sporno. Kot izhaja iz vaših pojasnil, je obdelovalec v konkretnem primeru akt po 28. členu Splošne uredbe oblikoval tako, da ga je vnesel v splošne pogoje ter ga dopolnil z izjavo o zasebnosti. To je lahko sicer povsem ustrezno, a le pod pogojem, da so izpolnjene vse zahteve, ki jih določata Splošna uredba in ZVOP-2 oziroma morebitni področni predpisi. Te presoje IP v okviru mnenja ne more narediti.

IP pa opozarja, da zgolj neravnovesje pogodbene moči ali dejstvo enostransko pripravljenih aktov, ki so ponujeni v podpis upravljavcu, ne sme biti razlog za to, da upravljavec avtomatično sprejme določbe in pogoje aktov, ki niso skladni s predpisi s področja varstva osebnih podatkov. Kot upravljavec morate namreč s strani obdelovalca predlagano rešitev najprej oceniti ter jo sprejeti in storitve uporabljati le, če ste prepričani, da so izpolnjeni vsi pogoji za skladnost s Splošno uredbo in ZVOP-2. V nasprotnem primeru pa vam predlagamo, da se dogovorite za drugačno pogodbeno ureditev oziroma ponujenih storitev ne uporabljate. S sprejetjem enostransko oblikovanih splošnih pogojev izvajalca storitev se namreč ne razbremenite odgovornosti, ki jih imate kot upravljavec po Splošni uredbi.

Lepo vas pozdravljamo,

Pripravila

Tina Ivanc, univ. dipl. prav., svetovalka IP za varstvo osebnih podatkov

Mojca Prelesnik, univ. dipl. prav., informacijska pooblaščenka