Pogodba o obdelavi osebnih podatkov
Pogodba o obdelavi osebnih podatkov se sklene mede pravno ali fizično osebo, ki obdeluje osebne podatke (v nadaljevanju obdelovalcem) v imenu upravljavca.
Ker se v praksi še vedno pojavljajo napake in pomanjkljivosti pri sklepanju tovrstnih pogodb, smo se odločili napisati kratek prispevek na to temo.
Več prispevkov na temo varstva osebnih podatkov, javnega naročanja in delovnega prava, si lahko preberete tukaj.
Kaj je pogodbena obdelava osebnih podatkov?
Pogodbo o obdelavi osebnih podatkov ureja GDPR UREDBA (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES.
GDPR v 4. členu upravljavca definira kot fizično ali pravno osebo, javni organ, agencijo ali drugo telo, ki samo ali skupaj z drugimi določa namene in sredstva obdelave osebnih podatkov; kadar namene in sredstva obdelave določa zakon, se upravljavca ali posebna merila za njegovo imenovanje določijo v zakonu.
GDPR obdelovalca definira kot fizično ali pravno osebo, javni organ, agencijo ali drugo telo, ki obdeluje osebne podatke v imenu upravljavca.
Obdelavo osebnih podatkov pa GDPR definira kot vsako dejanje ali niz dejanj, ki se izvaja v zvezi z osebnimi podatki ali nizi osebnih podatkov z avtomatiziranimi sredstvi ali brez njih, kot je zbiranje, beleženje, urejanje, strukturiranje, shranjevanje, prilagajanje ali spreminjanje, priklic, vpogled, uporaba, razkritje s posredovanjem, razširjanje ali drugačno omogočanje dostopa, prilagajanje ali kombiniranje, omejevanje, izbris ali uničenje.
Pri obdelavi osebnih podatkov gre predvsem takrat, ko obdelovalec:
- obdeluje izključno osebne podatke v imenu in za račun upravljavca osebnih podatkov,
- pri obdelavi osebnih podatkov črpala podlago za obdelavo osebnih podatkov iz upravičenj upravljavca ter
- v zvezi s samimi dejanji obdelave ravna po navodila upravljavca.
GDPR v uvodni določbi št. 81 določa, da bi morala obdelavo s strani obdelovalca urejati pogodba ali drug pravni akt v skladu s pravom Unije ali pravom države članice, pogodba oziroma akt določa:
- obveznosti obdelovalca do upravljavca,
- vsebino in trajanje obdelave,
- naravo in namene obdelave,
- vrsto osebnih podatkov in kategorije posameznikov, na katere se nanašajo osebni podatki,
- posebne naloge in odgovornosti obdelovalca v okviru obdelave, ki jo izvaja, in
- tveganje za pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki.
Upravljavec in obdelovalec morata vedno skleniti pogodbo o obdelavi osebnih podatkov, ko obdelovalec v imenu upravljavca obdeluje osebne podatke.
Pogodba mora biti sklenjena v pisni obliki.
Pravno svetovanje
GDPR v 28. členu določa, da kadar se obdelava izvaja v imenu upravljavca, ta sodeluje zgolj z obdelovalci, ki zagotovijo zadostna jamstva za izvedbo ustreznih tehničnih in organizacijskih ukrepov na tak način, da obdelava izpolnjuje zahteve iz GDPR in zagotavlja varstvo pravic posameznika, na katerega se nanašajo osebni podatki.
GDPR v tretjem odstavku 28. člena določa minimalne sestavine pogodbe o obdelavi osebnih podatkov. Pogodba mora določati, da obdelovalec:
- osebne podatke obdeluje samo po dokumentiranih navodilih upravljavca, vključno glede prenosov osebnih podatkov v tretjo državo ali mednarodno organizacijo,
- zagotovi, da so osebe, ki so pooblaščene za obdelavo osebnih podatkov, zavezane k zaupnosti ali jih k zaupnosti zavezuje ustrezen zakon,
- sprejme vse ukrepe v zvezi z varnostjo osebnih podatkov skladno z 32. členom GDPR,
- zaposli drugega obdelovalca le, če je prej pridobil posebno ali splošno pisno dovoljenje upravljavca in da zagotovi, da veljajo med obdelovalcem in pod-obdelovalcem enake obveznosti kot med upravljavcem in obdelovalcem in da je med njima sklenjena pisna pogodba,
- ob upoštevanju narave obdelave pomaga upravljavcu z ustreznimi tehničnimi in organizacijskimi ukrepi, pri izpolnjevanju njegovih obveznosti, da odgovori na zahteve za uresničevanje pravic posameznika, na katerega se nanašajo osebni podatki,
- upravljavcu pomaga pri zagotavljanju varnosti obdelave osebnih podatkov, uradnem obveščanju o kršitvah in oceni učinkov na varstvo osebnih podatkov,
- v skladu z odločitvijo upravljavca izbriše ali vrne vse osebne podatke upravljavcu po zaključku storitev v zvezi z obdelavo ter uniči obstoječe kopije,
- da upravljavcu na voljo vse informacije, potrebne za dokazovanje izpolnjevanja obveznosti iz 28. člena GDPR, ter upravljavcu ali drugemu revizorju, ki ga pooblasti upravljavec, omogoči izvajanje revizij, tudi pregledov, in pri njih sodeluje.
Brez poseganja v individualno pogodbo med upravljavcem in obdelovalcem lahko pogodba o obdelavi osebnih podatkov v celoti ali delno temelji na standardnih pogodbenih določilih.
GDPR omogoča uporabo standardnih pogodbenih določil, ki jih določi Evropska komisija ali ki jih sprejme Informacijski pooblaščenec in Evropski odbor za varstvo osebnih podatkov (EDPB). Informacijski pooblaščenec je pripravil standardna pogodbena določila za ureditev pogodbenega razmerja med upravljavci in obdelovalci podatkov. Standardna pogodbena določila je potrdil Evropski odbor za varstvo osebnih podatkov (EDPB).
Pogodbo o obdelavi osebnih podatkov morata skleniti tudi obdelovalec in drug obdelovalec, ki je zadolžen za izvajanje specifičnih dejavnosti obdelave (pogodbena pod-obdelava osebnih podatkov). Takšno pogodbo je mogoče skleniti izključno s pisnim dovoljenjem upravljavca osebnih podatkov.
GDPR v 29. členu izrecno določa, da obdelovalec in katera koli oseba, ki ukrepa pod vodstvom upravljavca ali obdelovalca in ima dostop do osebnih podatkov, teh podatkov ne sme obdelati brez navodil upravljavca.
Na portalu vam zagotovimo storitev DPO, opravimo pregled skladnosti poslovanja na področju varstva osebnih podatkov in vam pomagamo pripraviti celotno dokumentacijo s področja varstva osebnih podatkov.
Informacijski pooblaščenec v praksi zaznava predvsem naslednje napake pri obdelavi osebnih podatkov, pri katerih morajo biti upravljavci in obdelovalci zelo previdni.
- Upravljavec s pogodbenim obdelovalcem ni sklenil pisne pogodbe ali drugega pravnega akta.
- Pisna pogodba obstaja, ne vsebuje pa zahtevanih določb po 28. členu Splošne uredbe.
- V pisni pogodbi je zgolj sklic na »ustrezno ravnanje z osebnimi podatki in spoštovanje določb
- zakonodaje o varstvu osebnih podatkov«, postopki in ukrepi pa niso konkretizirani.
- Upravljavec nima pregleda nad tem, katere pogodbene obdelovalce vse uporablja.
- Upravljavec napačno oceni zunanjega izvajalca, češ da ne gre za pogodbeno obdelavo osebnih
- podatkov (npr. zgolj nudenje storitev hrambe osebnih podatkov ali prevoz na uničenje).
- Upravljavec zunanjega izvajalca ne seznani s tem, da mu bo v obdelavo poveril osebne podatke
- (npr. v hrambo ali v uničenje), zunanji izvajalec pa posledično ne sprejme in ne izvaja ustreznih
- ukrepov za varnost.
- Upravljavec ne nadzira svojih pogodbenih obdelovalcev.
- Upravljavec iznaša osebne podatke obdelovalcu v tretji državi, pri čemer pa zanemari dolžnosti
- glede prenosa osebnih podatkov v tretje države.
- Obdelovalci uporabljajo storitve drugih (pod)izvajalcev brez vednosti in brez vnaprejšnje
- odobritve s strani upravljavca in upoštevanja določb Splošne uredbe.
- Posamezni zaposleni pri obdelovalcu ne poznajo dolžnosti po GDPR.
Informacijski pooblaščenec je na svoji spletni strani objavil Smernice informacijskega pooblaščenca v pogodbeni obdelavi osebnih podatkov, ki so vam lahko v pomoč pri sklepanju pogodb o obdelavi osebnih podatkov.