Pogodbena obdelava
Do sedaj je bila pogodbena obdelava podatkov urejena v 11. členu ZVOP-1. V bodoče bo pogodbena obdelava urejena v IV. poglavju GDPR z naslovom "Upravljavec in obdelovalec". V predmetnem poglavju so v 24. členu in naslednjih določene pravice ter obveznosti obeh pogodbenih strank glede izmenjave podatkov.
Kdo je pogodbeni obdelovalec?
Skladno z osmim odstavkom 4. člena GDPR je pogodbeni obdelovalec tisti, ki obdeluje podatke v imenu nekoga drugega. Predmetna široka definicija je vodila k diskusiji, ali bo v bodoče vsak izvajalec, ki izvaja določene naloge za upravljavca, veljal za pogodbenega obdelovalca. Po prevladujočem mnenju je na splošno odločilno, ali je pogodbeni obdelovalec v razmerju do upravljavca samostojna pravna enota (oseba) in obenem obdeluje podatke izključno po navodilih upravljavca. Upravljavec mora imeti nasproti pogodbenemu obdelovalcu pristojnost za dajanje navodil, tako da lahko pogodbeni obdelovalec podatke obdeluje samo skladno z izraženo voljo upravljavca in v nobenem primeru za lastne namene (deseti odstavek 28. člena in 29. člen GDPR). Pogodbeni obdelovalec tako ni tretja oseba v razmerju do upravljavca (deseti odstavek 4. člena GDPR). Med strankama obstaja notranje razmerje in se posledično dejanja pogodbenega obdelovalca v zvezi s pogodbeno obdelavo praviloma pripisujejo upravljavcu. Upravljavec je tako (navzven) edini odgovoren za zaščito oziroma uveljavljanje pravic posameznika, na primer pravice do prenosljivosti podatkov, omejitve obdelave itd. Klasični pogodbeni obdelovalci so na primer ponudnik IT-storitev, ponudnik oblačnih storitev, podatkovni centri pa tudi odvisni klicni centri ali podjetja, ki se ukvarjajo z uničevanjem podatkovnih nosilcev.
Prenos podatkov pogodbenemu obdelovalcu
Ker se pogodbeni obdelovalec skladno z GDPR ne šteje za tretjo osebo, za prenos podatkov od upravljavca k pogodbenemu obdelovalcu ni potrebna nobena dodatna oziroma nadaljnja pravna podlaga v smislu členov 6-10 GDPR, saj se pogodbeni obdelovalec šteje za "podaljšano roko" upravljavca in torej za del njegove organizacijske sfere.
Pogodbeni obdelovalec bo v bodoče obravnavan kot prejemnik podatkov (deveti odstavek 4. člena GDPR). Lastnost pogodbenega obdelovalca kot prejemnika podatkov pomeni za upravljavca posebne informacijske dolžnosti (točka (e) prvega odstavka 13. člena GDPR) in dolžnosti obveščanja (19. člen GDPR), kot tudi uveljavljanje pravic dostopa posameznika proti upravljavcu (točka (c) prvega odstavka 15. člena GDPR). Poleg tega mora upravljavec prejemnike podatkov voditi v evidenci dejavnosti obdelave (točka (d) prvega odstavka 30. člena GDPR).
Nove obveznosti za upravljavca
Skladno s prvim odstavkom 28. člena GDPR je upravljavec kot doslej obvezan k skrbni izbiri pogodbenega obdelovalca. Slednji mora pri svoji izbiri posebej skrbno preveriti, ali lahko pogodbeni obdelovalec zagotovi ustrezne organizacijske in tehnične ukrepe za varstvo podatkov. Kriteriji za izbiro so med drugimi ustrezno strokovno znanje, zanesljivost in tehnične kapacitete pogodbenega obdelovalca. V nasprotju z 11. členom ZVOP-1 pa novi 28. člen GDPR ne določa več (izrecno), da mora upravljavec redno preverjati (pred začetkom obdelave in kasneje), ali pogodbeni obdelovalec zagotavlja ustrezne organizacijske in tehnične ukrepe. Kljub temu pa mora upravljavec skladno z drugim odstavkom 5. člena GDPR izpolnjevati zahteve glede dokazovanja skladnosti svojega ravnanja (ang. accountability). Tako mora med drugim dokumentirano dokazati, da je pri konkretnem pogodbenem obdelovalcu opravil ustrezno izbiro in da so v pogodbi o obdelovanju osebnih podatkov ustrezno določeni organizacijski in tehnični ukrepi ter da so slednji tudi ustrezno implementirani. Da bi zadostil kriteriju odgovornosti, mora upravljavec imeti tudi določene kontrolne oziroma nadzorne dolžnosti, tako da GDPR dejansko ne prinaša nobenih olajšav v primerjavi z ZVOP-1, saj mora upravljavec (dovolj) redno preverjati poslovanje pogodbenega obdelovalca, če želi delovati skladno s temeljnimi pravili GDPR.
Nove obveznosti za pogodbenega obdelovalca
Pogodbeni obdelovalci bodo morali v bodoče izpolnjevati več obveznosti kot do sedaj. Tako bodo morali med drugim storiti naslednje:
- imenovati zastopnika v EU, če imajo sedež izven EU in nimajo podružnice v EU (prvi odstavek 27. člena GDPR);
- voditi evidenco dejavnosti obdelav, če so izpolnjeni pogoji (drugi odstavek 30. člena GDPR);
- sodelovati z Informacijskim pooblaščencem (31. člen GDPR);
- samostojno nositi odgovornost za izvedbo ustreznih organizacijskih in tehničnih ukrepov varstva podatkov (prvi odstavek 32. člena GDPR);
- imenovati pooblaščenca za varstvo podatkov, če so izpolnjeni pogoji (prvi odstavek 37. člena GDPR);
- upoštevati omejitve glede prenosa podatkov v tretje države (44. člen GDPR in naslednji).
Implementacijo na podlagi 32. člena GDPR zahtevanih ustreznih organizacijskih in tehničnih ukrepov lahko pogodbeni obdelovalec skladno s petim odstavkom 28. člena GDPR dokaže z zavezanostjo k odobrenim kodeksom ravnanja (40. člen GDPR) ali z izvajanjem odobrenih mehanizmov potrjevanja (42. člen GDPR). V zvezi s potrdili skladnosti bo treba počakati na to, kako se bodo slednja obnesla v praksi, saj so za zdaj šele v procesu nastajanja, oziroma bo treba preveriti, ali za dokazovanje skladnosti z GDPR zadostujejo obstoječi relevantni mehanizmi (na primer ISO-standardi 27001 glede informacijske varnosti) ...
Nadaljevanje članka za naročnike >> Urban Kryštufek: Prenosi podatkov v luči Splošne uredbe o varstvu osebnih podatkov (2. del), ali na portalu Pravna praksa, 2018, št. 12-13
Članki izražajo stališča avtorjev, in ne nujno organizacij, v katerih so zaposleni, ali uredništva portala EDUS.
