Ponudniki gostovanja kot obdelovalci osebnih podatkov

Datum

13.03.2024

Številka

07121-1/2024/288

Kategorije

Pogodbena obdelava podatkov

Pri Informacijskem pooblaščencu (IP) smo prejeli vaše zaprosilo za mnenje. Pojasnjujete, da ste z upravljavcem podpisali pogodbo za izdelavo in vzdrževanje določenih registrov, v katerih se nahajajo osebni podatki, ter da v tem razmerju nastopate kot obdelovalec. Zanima pa vas, ali morate pogodbo o obdelavi skleniti tudi s ponudnikom gostovanja, natančneje, ali mora biti pogodbeno urejeno razmerje obdelave osebnih podatkov v primeru:

1. da so podatki fizično na vaših strežnikih, ki pa so le stacionirani pri ponudniku gostovanja in koristijo dostop v svet preko ponudnika gostovanja;

2. da so varnostne kopije podatkov v enkriptirani obliki shranjene na virtualni platformi (VPS) ali kako drugače, npr. preko servisov, ponudnika gostovanja;

3. da so podatki v bazi, ki je nameščena na VPS in se prikazujejo na spletnem portalu, ki je nameščen na VPS ponudnika gostovanja.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22; v nadaljevanju ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A; v nadaljevanju ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

Ponudnik gostovanja praviloma nastopa kot (pod)obdelovalec osebnih podatkov, saj hramba predstavlja vrsto obdelave osebnih podatkov. To pomeni, da bi moral naročnik storitve gostovanja z njim skleniti ustrezno pogodbo o obdelavi skladno z 28. členom Splošne uredbe.

Lastništvo fizičnih strežnikov ali možnost dostopa do osebnih podatkov nista odločilna dejavnika za presojo obstoja pogodbene obdelave.

Obdelovalec odgovarja upravljavcu za to, da podobdelovalec izpolnjuje obveznosti varstva osebnih podatkov.

Obrazložitev

IP pojasnjuje, da tako fizična kot virtualna hramba osebnih podatkov pomenita vrsto obdelave v smislu opredelitve iz 2. točke 4. člena Splošne uredbe, za kar se uporabljajo pravila varstva osebnih podatkov. Prav tako je IP že zavzel stališče, da ponudniki storitev virtualne (npr. spletno gostovane) ali fizične (npr. sefi) hrambe praviloma nastopajo kot pogodbeni obdelovalci, saj so najeti za dejanje, ki spada med obdelavo osebnih podatkov (hramba podatkov). Ponudnik teh storitev namreč ne more nositi odgovornosti glede varstva osebnih podatkov, vse dokler ga upravljavec/obdelovalec ne seznani z dejstvom, da namerava pri njem hraniti osebne podatke in da sta dolžna njuno razmerje urediti skladno z 28. členom Splošne uredbe. Iz inšpekcijske prakse IP izhaja, da je že prišlo do zlorab osebnih podatkov (npr. omogočanja dostopa nepooblaščenim osebam) prav zato, ker se obdelovalci niso zavedali, da se pri njih hranijo osebni podatki, za katere bi morali zagotoviti ustrezno raven varnosti.

Ob tem IP dodaja, da za presojo obstoja pogodbene obdelave ni relevantno ne lastništvo fizičnih strežnikov ne možnost dostopa do osebnih podatkov. Tudi v situacijah, ko se osebni podatki hranijo pri zunanjemu ponudniku hrambe v kriptirani in njemu neberljivi obliki, gre za obdelavo osebnih podatkov, v zvezi s katero morata tako naročnik kot ponudnik storitve izpolnjevati predpisane obveznosti s področja varstva osebnih podatkov.

Iz 28. člena Splošne uredbe izhaja, da morata upravljavec in obdelovalec skleniti pogodbo, v kateri določita obveznosti obdelovalca do upravljavca, vsebino in trajanje obdelave, naravo in namen obdelave, vrste osebnih podatkov, kategorije posameznikov, na katere se nanašajo osebni podatki, ter obveznosti in pravice upravljavca. Ta člen določa tudi, da obdelovalec ne sme zaposliti drugega obdelovalca (tj. podobdelovalca) brez predhodnega posebnega ali splošnega pisnega dovoljenja upravljavca. V primeru splošnega pisnega dovoljenja obdelovalec upravljavca obvesti o vseh nameravanih spremembah glede zaposlitve dodatnih obdelovalcev ali njihove zamenjave, s čimer se upravljavcu omogoči, da nasprotuje tem spremembam. Kadar obdelovalec zadolži drugega obdelovalca za izvajanje specifičnih dejavnosti obdelave v imenu upravljavca, za tega drugega obdelovalca veljajo enake obveznosti varstva podatkov, kot so določene v pogodbi med upravljavcem in obdelovalcem, zlasti za zagotovitev zadostnih jamstev za izvajanje ustreznih tehničnih in organizacijskih ukrepov na tak način, da bo obdelava izpolnjevala zahteve iz te uredbe. Kadar ta drugi obdelovalec ne izpolni obveznosti varstva podatkov, prvi obdelovalec še naprej v celoti odgovarja upravljavcu za izpolnjevanje obveznosti drugega obdelovalca.

IP sicer v okviru mnenja ne more podati dokončne presoje glede vlog deležnikov v primerih, ki jih opisujete, vendar meni, da v vseh treh situacijah ponudnik gostovanja nastopa kot podobdelovalec, saj ste nanj kot obdelovalec (izdelovalec in vzdrževalec registrov upravljavca) prenesli določene naloge v zvezi z obdelavo osebnih podatkov, tj. njihovo hrambo. Primarno oceno, v kakšni vlogi nastopa ponudnik gostovanja v konkretnem primeru, pa ste upoštevajoč usmeritve IP dolžni opraviti sami.

Več informacij o pogodbeni obdelavi je na voljo:

-v smernicah IP o pogodbeni obdelavi (https://www.ip-rs.si/publikacije/priročniki-in-smernice/smernice-po-splošni-uredbi-o-varstvu-podatkov-gdpr/smernice-o-pogodbeni-obdelavi);

-v infografiki »Pogodbena obdelava« (https://www.ip-rs.si/fileadmin/user_upload/Pdf/infografike/INFOGRAFIKA_Pogodbena_obdelava_1_.pdf);

-na spletni strani IP https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/klju%C4%8Dna-podro%C4%8Dja-uredbe/pogodbena-obdelava#a4;

-v mnenjih IP, ki so objavljena na https://www.ip-rs.si/mnenja-zvop-2/ (kategorija »Pogodbena obdelava podatkov«; npr. mnenje 07120-1/2023/416 z dne 27. 9. 2023);

-v smernicah Evropskega odbora za varstvo osebnih podatkov 07/2020 (https://www.edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-072020-concepts-controller-and-processor-gdpr_sl).

Lepo vas pozdravljamo,

Pripravila

Tina Ivanc, univ. dipl. prav., svetovalka IP za varstvo osebnih podatkov

Mojca Prelesnik, univ. dipl. prav., informacijska pooblaščenka