Izročitev osebnih podatkov po prenehanju veljavnosti pogodbe

Datum

06.03.2026

Številka

07121-1/2026/206

Kategorije

Pogodbena obdelava podatkov

Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaše zaprosilo za mnenje glede tega. Ali vam je pogodbeni izvajalec po prenehanju veljavnosti pogodbe dolžan izročiti osebne podatke.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22, 40/25 – ZInfV-1, 10/26 – ZP-1L; v nadaljevanju: ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, 51/07 – ZUstS-A; ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

Obdelovalec v skladu z odločitvijo upravljavca izbriše ali vrne vse osebne podatke upravljavcu po zaključku storitev v zvezi z obdelavo ter uniči obstoječe kopije, razen če pravo Unije ali pravo države članice predpisuje shranjevanje osebnih podatkov.

Obrazložitev

IP uvodoma poudarja, da lahko podaja neobvezujoča mnenja in pojasnila, ne sme pa izven konkretnih nadzornih ali drugih upravnih postopkov preverjati primernosti izbrane pravne podlage ali namenov oziroma obsega obdelave osebnih podatkov v konkretnem primeru.

Kot je IP že pojasnil v svojem mnenju št. 07120-1/2024/461, je  pogodba o obdelavi osebnih podatkov, ki se sklene med upravljavcem (v konkretnem primeru vašo organizacijo) in obdelovalcem (v konkretnem primeru izvajalcem programske opreme) bistveni instrument pri zagotavljanju ustreznega varstva osebnih podatkov posameznikov. Več o razmerju med upravljavcem in obdelovalcem si lahko preberete v Smernicah o pogodbeni obdelavi.

V pogodbi o obdelavi osebnih podatkov se natančno opredeli (najmanj) vso zahtevano vsebino, ki jo določa tretji odstavek 28. člena Splošne uredbe. Točka (g) omenjenega člen določa, da obdelovalec v skladu z odločitvijo upravljavca izbriše ali vrne vse osebne podatke upravljavcu po zaključku storitev v zvezi z obdelavo ter uniči obstoječe kopije, razen če pravo Unije ali pravo države članice predpisuje shranjevanje osebnih podatkov. Dolžnost izročitve osebnih podatkov oziroma omogočanja dostopa do le teh mora biti tako načeloma določena v pogodbi, za presojo katere pa IP izven okvira inšpekcijskega nadzora ni pristojen. IP nadalje pojasnjuje, da je odločitev o tem, ali naj se podatki po zaključku storitev v zvezi z obdelavo izbrišejo ali vrnejo, v domeni upravljavca, ne pa obdelovalca, zato jih ta ne sme obdelovati po lastni volji oziroma presoji, ampak v skladu s sklenjeno pogodbo oziroma navodili upravljavca.

V primeru, da menite, da je v konkretnem primeru prišlo do kršitev varstva osebnih podatkov s strani obdelovalca, lahko na IP podate prijavo (več o tem na: https://www.ip-rs.si/go?u=%2Fvarstvo-osebnih-podatkov%2Fpravice-posameznika%2Fvlo%C5%BEitev-prijave).

Lepo vas pozdravljamo.

Pripravil:

Matej Sironič,

Svetovalec pooblaščenca I

dr. Jelena Virant Burnik,

Informacijska pooblaščenka