Številka: 0612-23/2019/19
Datum: 1. 6. 2022
Informacijski pooblaščenec (v nadaljevanju IP) izdaja po državni nadzornici za varstvo osebnih podatkov ... na podlagi 2. in 8. člena Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZustS-A, v nadaljevanju: ZInfP), 37. in 54. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1 in 177/20, v nadaljevanju: ZVOP-1), petega odstavka 29. in prvega odstavka 32. člena Zakona o inšpekcijskem nadzoru (Uradni list RS, št. 43/07 – UPB1 in 40/14, v nadaljevanju: ZIN), ter člena 58(2) Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov, v nadaljevanju: Splošna uredba), v zadevi inšpekcijskega nadzora nad izvajanjem določb Splošne uredbe in ZVOP-1 pri zavezancu ... (v nadaljevanju: zavezanec), po uradni dolžnosti naslednjo
ODLOČBO
I. Zavezanec mora zaradi ugotovljenih nepravilnosti v zvezi z izvajanjem določb Splošne uredbe z uporabniki (upravljavci) ... urediti razmerja z medsebojnim dogovorom v skladu s členom 26 Splošne uredbe (skupni upravljavci).
II. Ukrep iz I. točke izreka te odločbe mora zavezanec izvršiti v roku 60 (šestdeset) dni od prejema te odločbe.
III. Zavezanec mora o izvršenem ukrepu iz I. točke izreka te odločbe v roku 5 (pet) dni po izvršitvi pisno obvestiti IP in predložiti dokazila.
IV. V tem postopku posebni stroški niso nastali.
Obrazložitev
1. Procesna dejanja, ugotovitve IP in navedbe zavezanca
IP vodi zoper zavezanca postopek inšpekcijskega nadzora, v okviru katerega preverja obdelavo osebnih podatkov v okviru ....
V okviru predmetnega postopka je IP:
- dne 5.2.2019 pozval zavezanca na posredovanje pisnega pojasnila, dokumentacije in izjave (dok. št. 0612-23/2019/1), na katerega je zavezanec odgovoril z dopisoma št. 071-7/2017/4 dne 22.3.2019 in št. 071-7/2017/5 dne 27.3.2019, ki jima je priložil relevantno dokumentacijo v zvezi s sistemom ..., in sicer: odgovore na vprašanja glede zagotavljanja informacijske varnosti v zvezi z izvajanjem storitve ..., Akt o organizaciji delovanja ..., Načrt ...podatkov ..., Akt o postopkih in ukrepih za zavarovanje osebnih podatkov v ..., Navodilo o uporabi ... sredstev, Navodilo za uporabo ... ..., celotno sliko izvajanja storitve, infrastrukturni vidik izvajanja storitve ter informacije v zvezi z zagotavljanjem revizijske sledi v sistemu ...;
- dne 18.9.2019 izvedel inšpekcijski ogled v prostorih zavezanca, o čemer je bil sestavljen zapisnik št. 0612-234/2018/3, iz katerega (povzeto) izhaja, da ...služi kot centralna točka za izvajanje elektronskih poizvedb na podatkovne vire – tehnični posrednik med poizvedovalnim sistemom oz. odjemalcem na eni strani ter podatkovnimi viri na drugi strani. Komunikacija ... podatkovnimi viri se izvaja na podlagi poizvedb, ki jih proži poizvedovalni sistem za povezovanje na podatkovne vire in pridobivanje podatkov, pri čemer ima ...vgrajen mehanizem, ki lahko za določen namen poizvedovanja po podatkih dinamično usmerja proces pridobivanja podatkov. ... vsebuje zgolj tehnične vidike pridobivanja podatkov od posameznih virov in ne izvaja vsebinskih odločitev, interpretacij in preoblikovanj podatkov. V zvezi s sledljivostjo obdelave osebnih podatkov pri ... je bilo ugotovljeno, da ...za potrebe vodenja revizijske sledi dostopov do osebnih podatkov preko posameznih transakcij vzpostavi ločeno shemo v isti podatkovni zbirki, in sicer na način, da se odjemalski sistem ... predstavi s certifikatom in pokliče z vnaprej dogovorjenimi parametri, ki so vezani na certifikat. ... na podlagi prejetega zahtevka zgradi poizvedbe glede na postopek, ki ga je odjemalski sistem klical. Podatkovnemu viru pošlje ... ID transakcijskega postopka in parametre, ki jih zahteva sam vir. V podatkovne tabele, ki so namenjene vodenju revizijske sledi, se zapiše številka transakcije odjemalskega sistema, začetek transakcije, konec transakcije, odjemalski sistem, časovni žig, podatek o arhiviranju meta podatkov in tip transakcije. Prav tako se v tabele za vodenje revizijske sledi shranijo meta podatki klicev in odgovorov na vire. Številka transakcijskega postopka, ki povezuje klic odjemalca s klicem vira, številka postopka, začetek, konec, odjemalski sistem in časovni žig. Vse xml datoteke (v katerih so podatki o klicu odjemalca in odgovori virov) se hranijo na ... le toliko časa, da odjemalski sistem potrdi uspešni prevzem in sproži brisanje xml datotek. V tabelah za revizijske sledi ostanejo le meta podatki o izmenjavi. V dogovorih o izmenjavi podatkov je dogovorjeno, da vsak sistem skrbi za svoj del revizijske sledi. Odjemalski sistem skrbi za shranjevanje podatkov, kdo in kdaj je sprožil posamezni zahtevek na .... V trenutku, ko zahtevek prevzame ..., ta vodi revizijsko sled po opisanem postopku. Prav tako podatkovni viri vodijo revizijsko sled o klicu .... Popolna revizijska sled za posamezno transakcijo se tako lahko sestavi z združitvijo revizijskih sledi odjemalskega sistema... in vira. Glede zunanjih izvajalcev, ki vzdržujejo ... je zavezanec pojasnil, da to storitev ... ter, da ima z njima sklenjeni pogodbi o obdelavi osebnih podatkov (pogodbo, ki jo ima sklenjeno s podjetjem ... je priloga zapisnika), pogodbo s ... pa je zavezanec posredoval naknadno, dne 7.10.2019. V zvezi s pogodbenim razmerjem med zavezancem, ki nudi storitev ... in odjemalci, je zavezanec pojasnil, da je odjemalcev 10, virov pa 50. Z vsemi naj bi bile sklenjene pogodbe oz. sporazumi, vendar so z vidika varstva osebnih podatkov, različno podrobni. V preteklosti so se sklepale tri-stranske pogodbe, kasneje pa je zavezanec zavzel stališče, da kot ... nastopa v vlogi pogodbenega obdelovalca za vire (upravljavce), zato je začel samo z njimi sklepati pogodbe o obdelavi osebnih podatkov. Odjemalci v tem primeru nastopajo kot uporabniki, zavezanec pa je zgolj posrednik pri prenosu podatkov od virov do odjemalcev. Zavezanec je dne 7.10.2019, na podlagi poziva v zapisniku, posredoval naslednjo dokumentacijo: Pogodbo ..., Dogovor in tehnično prilogo – ... (z aneksom), Tehnične specifikacije k Dogovoru o izvajanju posredovanja podatkov ... (tripartitni), Vlogo za vpis sistemskega uporabnika .... – produkcijsko okolje (tripartitni), Dogovor o obdelavi osebnih podatkov – ...(z aneksom), Dogovor o uporabi storitev zagotavljanja ... ter pogodbeni obdelavi osebnih podatkov (nov dogovor), Aneks št. 1 k dogovoru o razmejitvi odgovornosti in o načinih usklajevanja pri upravljanju ... (z aneksom), ... - obrazložitev novega načina podpisovanja dogovorov;
- zaradi dodatne razjasnitve dejanskega stanja dne 19.8.2020 zavezanca pozval na podajo dodatnega pisnega pojasnila, dokumentacije in izjave (dok. št. 0612-23/2019/13), na katerega je zavezanec z dopisom št. 071-7/2020/13 odgovoril dne 16.9.2020 in v katerem je zavezanec navedel dodatna pojasnila glede novega načina podpisovanja dogovorov. Zavezanec je prvotno predvidel podpisovanje dvostranskih dogovorov le med njim in uporabniki (t.i. odjemalci podatkov), praksa pa je pokazala, da potrebuje dvostranske dogovore tako z odjemalcem podatkov kot tudi z upravljavcem podatkov (t.i. virom podatkov). Zavezanec je dodal, da trenutno pripravlja enoten osnutek dogovora, kjer bo zavezanec sklenil en dogovor z vsako institucijo, za katero izvaja storitve, v dogovor pa bo vključena tudi uporaba .... Zavezanec bo torej sklenil dogovor z institucijo, ki je vir podatkov in institucijo, ki je odjemalec podatkov. Zavezanec je dopisu priložil seznam institucij in vrste dogovorov, ki jih ima z njimi sklenjene (Priloga 2 k dopisu), podpisan dogovor z ... kot odjemalcem za potrebe izmenjave podatkov za ... (priloga 3 k dopisu) ter informacijo, da trenutno pripravlja še dogovor z virom, kar bo pomenilo bolj pregleden sistem. Zavezanec je še dodal, da se v okviru .. hranijo podatki o uporabniku (fizična oseba) posamezne aplikacije, ki so bodisi navedeni na njihovih certifikatih bodisi jih uporabniki, ki uporabljajo ..., vnesejo sami. Lastniki podatkov (uporabnikov/fizičnih oseb) so torej organizacije, ki so skrbnice posamezne aplikacije in jih zavezanec šteje za upravljavce teh podatkov. Zavezanec v tem okviru nastopa kot obdelovalec teh podatkov, medsebojna razmerja pa se urejajo s sklenjenimi medsebojnimi dogovori;
- se je IP s predstavniki zavezanca v zvezi z njegovo vlogo v odnosu do ... pri nudenju storitev ... (bodisi kot upravljavec, pogodbeni obdelovalec ali skupni upravljavec) večkrat sestal, in sicer dne 21.20.2020, 11.3.2021 ter 25.3.2021. Zaključek navedenih sestankov je načelni dogovor IP ter zavezanca (e-pošta z dne 8.4.2021 in 9.4.2021 – dok. št. 0612-23/2019/18), da bo zavezanec v okviru predmetnega inšpekcijskega postopka ugotovljeno razmerje do drugih organov, uporabil kot vzorčni primer urejanja odnosov z uporabniki vseh ostalih gradnikov, glede na vsakokratno analizo storitve, ki jo nudi posamezen gradnik.
2. Določbe predpisov, na katere se opira odločba
Kot izhodiščno premiso pri presojanju zakonitosti obdelave osebnih podatkov v okviru ..., nadzornica navajam dejstvo, da razvoj tehnologije in vse večja medsebojna povezanost in povezljivost različnih informacijskih sistemov in storitev, terja odmik od večinoma t.i. linearnega pogleda na vloge različnih institucij, ki v takšnem medsebojno povezanem ekosistemu obdelujejo osebne podatke, tj. pogleda, da, ko pri določeni obdelave osebnih podatkov nastopa več kot ena institucija, le te nastopajo v odnosu upravljavec - obdelovalec ter od tega razmerju odvisnih obveznost iz Splošne uredbe, ki pritičejo upravljavcu oz. obdelovalcu.
Z razvojem in ekspanzijo programskih orodij od »stand alone« izvedb do »software as a service«, vseh vrst oblačnih storitev, mobilnega interneta ter agilnega razvoja programskih orodij, linearni, tj. upravljavec – obdelovalec model varstva osebnih podatkov, ne nudi več zadostnega varstva pravic posameznikov.
V smeri odmika od linearnega pogleda je tako treba razumeti določbe Splošne uredbe, smernice Evropskega odbora za varstvo podatkov (EDPB), predvsem pa najnovejšo sodno prakso Sodišča Evropske unije, kot bo podrobneje pojasnjeno v nadaljevanju. Navedeno utemeljujejo tudi relevantne določbe Zakona o državni upravi (Uradni list RS, št. 113/05 – uradno prečiščeno besedilo, 89/07 – odl. US, 126/07 – ZUP-E, 48/09, 8/10 – ZUP-G, 8/12 – ZVRS-F, 21/12, 47/13, 12/14, 90/14, 51/16, 36/21, 82/21 in 189/21; v nadaljevanju: ZDU).
2.1. Določbe Splošne uredbe
Splošna uredba posameznikom zagotavlja varstvo pravic v zvezi z osebnimi podatki, ki se nanašajo nanje in v doseganju tega cilja temelji na načelu odgovornosti, kateremu so v prvi vrsti zavezani upravljavci osebnih podatkov. Načelo odgovornosti je določeno v členu 5(2) Splošne uredbe, in sicer, da je upravljavec odgovoren za skladnost z odstavkom 1 in je to skladnost zmožen tudi dokazati. Odstavek 1 člena 5 Splošne uredbe določa preostala načela, na katerih temelji sistem pravil varstva osebnih podatkov in so izpeljana v posameznih določbah Splošne uredbe, zato je treba načelo odgovornosti šteti kot krovno načelo.
Konkretizacijo načela odgovornosti določa člen 24 Splošne uredbe, in sicer da upravljavec, ob upoštevanju narave, obsega, okoliščin in namenov obdelave, pa tudi tveganj za pravice in svoboščine posameznikov, ki se razlikujejo po verjetnosti in resnosti, izvede ustrezne tehnične in organizacijske ukrepe, da zagotovi in je zmožen dokazati, da obdelava poteka v skladu s to uredbo. Ti ukrepi se pregledajo in dopolnijo, kjer je to potrebno. Kadar je to sorazmerno glede na dejavnosti obdelave, ukrepi iz prejšnjega odstavka vključujejo izvajanje ustreznih politik za varstvo podatkov s strani upravljavca.
Sedmi odstavek člena 4 Splošne uredbe opredeljuje pojem upravljavca in določa, da »upravljavec« pomeni fizično ali pravno osebo, javni organ, agencijo ali drugo telo, ki samo ali skupaj z drugimi določa namene in sredstva obdelave; kadar namene in sredstva obdelave določa pravo Unije ali pravo države članice, se lahko upravljavec ali posebna merila za njegovo imenovanje določijo s pravom Unije ali pravom države članice. Osmi odstavek istega člena pa določa, da »obdelovalec« pomeni tisto fizično ali pravno osebo, javni organ, agencijo ali drugo telo, ki obdeluje osebne podatke v imenu upravljavca.
Splošna uredba temelji torej na tem, da je učinkovito varstvo pravic posameznikov v zvezi z osebnimi podatki, preko načela odgovornosti podeljeno (primarno) upravljavcu, ki ima s tem, ko določa namene in sredstva obdelave osebnih podatkov, nadzor in moč odločanja nad obdelavo osebnih podatkov – zato je v tej sferi odgovoren za skladnost delovanja z vsemi načeli varstva osebnih podatkov (načelo zakonitosti, pravičnosti in preglednosti, načelo omejitve namena, načelo najmanjšega obsega podatkov, načelo točnosti podatkov, načelo omejitve shranjevanja ter načelo celovitosti in zaupnosti) in je to skladnost zmožen tudi dokazati.
Vsebino pojmov »upravljavec« in »obdelovalec« podrobneje razlagajo Smernice EDPB 07/2020 o pojmih upravljavec in obdelovalec na podlagi Splošne uredbe o varstvu podatkov (ver. 2.0, 7.7.2021; v nadaljevanju: Smernice EDPB). Kot navedeno, nadzor in moč odločanja glede obdelave osebnih podatkov izhajata iz definicije člena 4(7) Splošne uredbe, da je upravljavec tista oseba, ki »določa« namene in sredstva obdelave, torej ključne elemente posamezne obdelave: zakaj poteka neka obdelava in kdo je določil, da bo ta obdelava potekala za ta namen. Za presojo teh vprašanj je bistven funkcionalen pogled (katera oseba ima dejansko moč odločanja) in ne v prvi vrsti formalen pogled (npr. katera oseba je kot upravljavec določena v pravnem aktu ali pogodbi). Drugi ključen moment presoje ali gre za upravljavca je, da ta oseba določa »namene in sredstva obdelave«, torej določa vsebino obdelave kot ključni element same obdelave: določa zakaj oz. kateri cilj želi z obdelavo doseči (namen) in na kakšen način bo ta cilj dosegel (sredstva – kateri osebni podatki se bodo obdelovali, na koga se ti podatki nanašajo, koliko časa bo obdelava potekala, kdo je lahko prejemnik osebnih podatkov, v katerem programskem orodju se bodo podatki obdelovali, s kakšnimi ukrepi bo zagotovljeno zavarovanje osebnih podatkov itd.). Upravljavec je lahko samo tista oseba, ki določi oboje, namen in sredstva obdelave. Upravljavec tako ne more biti oseba, ki določi samo namen obdelave. In nasprotno, obdelovalec po definiciji ne more nikoli določiti namena obdelave, lahko pa v določeni meri odloča o t.i. ne-nujnih sredstvih obdelave (non-essential means of the processing), npr. lahko opravi izbor ustrezne programske opreme ali pa izbor konkretnih ukrepov zavarovanja, pri čemer pa mora imeti upravljavec še vedno vpliv nad tem, kateri ukrepi zavarovanja so ustrezni in kateri ne, mora izvajati nadzor izvajanja ukrepov zavarovanja pri obdelovalcu itd. (člen 28(3) Splošne uredbe). Ne glede na pomoč obdelovalca upravljavec ostane odgovoren za izvedbo ustreznih tehničnih in organizacijskih ukrepov (člen 24(1) Splošne uredbe). Obdelovalec namreč osebne podatke obdeluje »v imenu upravljavca«, kar pomeni, da s svojo obdelavo zasleduje zgolj in samo interes (oz. cilj) upravljavca, ki mu je izvedbo te naloge delegiral, z obdelavo pa obdelovalec implementira navodila upravljavca. Pri implementaciji navodil upravljavca mu je dopuščeno toliko svobode pri odločanju, v kolikor gre za odločanje o ne-nujnih sredstvih obdelave.
Namen in sredstva obdelave so lahko po drugi strani določeni tudi v nacionalni in EU zakonodaji, pri čemer je za ustrezno presojo ključno, kdo dejansko izvršuje vpliv nad obdelavo osebnih podatkov.
V kolikor je v obdelavo osebnih podatkov vključen več kot en akter, lahko pride do koncepta skupnega upravljanja, kjer so obveznosti, ki bi bile sicer naložene enemu upravljavcu, ustrezno porazdeljene na dva ali več upravljavcev. Pojem skupnih upravljavcev ni novost, saj ga je določala že Direktiva 95/46/ES. Splošna uredba je v tem okviru konkretnejša (člen 26 Splošne uredbe), razjasnitev tega koncepta pa je postavila predvsem sodna praksa Sodišča Evropske unije (v nadaljevanju: SEU) v zadevah C-131/12 (Google Spain, 13.5.2014), C-25/17 (Jehovan todistajat, 10.7.2018), C-210/16 (Wirtschaftsakademie Schleswig-Holstein GmbH, 5.6.2018) in C-40/17 (Fashion ID GmbH & Co. KG, 29.7.2019).
Člen 26 Splošne uredbe določa, da sta dva ali več upravljavcev, ki skupaj določijo namene in načine obdelave, skupni upravljavci. Skupni upravljavci na pregleden način z medsebojnim dogovorom določijo dolžnosti vsakega od njih z namenom izpolnjevanja obveznosti v skladu s to uredbo, zlasti v zvezi z uresničevanjem pravic posameznika, na katerega se nanašajo osebni podatki, in nalogami vsakega od njih glede zagotavljanja informacij iz členov 13 in 14, razen če in kolikor so dolžnosti vsakega od upravljavcev določene s pravom Unije ali pravom države članice, ki velja za upravljavce. Z dogovorom se lahko določi kontaktna točka za posameznike, na katere se nanašajo osebni podatki. Dogovor ustrezno odraža vlogo vsakega od skupnih upravljavcev in njegovo razmerje do posameznikov, na katere se nanašajo osebni podatki. Vsebina dogovora se da na voljo posamezniku, na katerega se nanašajo osebni podatki. V členu 26 Splošne uredbe je še določeno, da lahko posameznik, na katerega se nanašajo osebni podatki, ne glede na pogoje dogovora, uresničuje svoje pravice v skladu s to uredbo glede vsakega od upravljavcev in proti vsakemu od njih.
Nadzornica poudarjam, da bo ugotovitev, ali v okviru določene obdelave osebnih podatkov nastopajo skupni upravljavci, imela za posledico predvsem ustrezno (pravilno) porazdelitev obveznosti iz Splošne uredbe in zagotavljanja pravic posameznikov, na oba upravljavca.
Glede na določbo člena 26(1) Splošne uredbe je za ugotovitev, ali gre za skupno upravljanje ključno, da dva (ali več) upravljavca »skupaj« določita namene in sredstva obdelave. Smernice EDPB navajajo, da je treba termin »skupaj« interpretirati kot »skupaj z« (»together with«) oz. kot »ne samostojno« (»not alone«), pri čemer je treba slediti (enako kot pri samostojnem upravljavcu) funkcionalnemu pogledu - presoja obstoja skupnega upravljanja mora temeljiti na analizi dejanskih okoliščin in ne samo na podlagi pravno-formalnih podlag, ki opredeljujejo razmerja med posameznimi akterji (npr. medsebojne pogodbe, pravni akti).
Smernice navajajo, da je vsebina termina »skupaj« v praksi lahko različna, tj. ali v obliki skupne odločitve, ki jo sprejmeta dva (ali več) akterjev (npr. letalska družba in hotelska veriga sprejmeta odločitev, da bosta za ponudbo turističnih aranžmajev uporabljali skupno informacijsko platformo), lahko pa je posledica t.i. sovpadajoče odločitve (»converging decisions«) glede namenov in sredstev obdelave. Razjasnitev pojma sovpadajoče odločitve dveh upravljavcev temelji na zgoraj navedenih odločitvah SEU. »Odločitve se lahko štejejo za sovpadajoče glede namenov in sredstev, če se dopolnjujejo in so potrebne za obdelavo tako, da imajo oprijemljiv vpliv na določitev namenov in sredstva za obdelavo. Treba je poudariti, da mora biti pojem sovpadajočih odločitev obravnavan v zvezi z nameni in sredstvi obdelave, ne pa tudi z drugimi vidiki poslovnega razmerja med strankama. Kot tako je pomembno merilo za ugotavljanje sovpadajoče odločitve v tem kontekstu, ali obdelava ne bi bila mogoča brez sodelovanje obeh strani pri namenih in sredstvih v smislu, da je obdelava s strani vsake stranke.« Smernice EDPB nadalje pojasnjujejo, da je sovpadajoča odločitev glede namenov vzpostavljena, »kadar na temelju določene obdelave osebnih podatkov dva akterja zasledujeta medsebojno povezana oz. dopolnjujoča se namena.« Sovpadajoča odločitev glede sredstev pa obstoji tedaj, »ko eden od vpletenih subjektov zagotovi sredstva za obdelavo in jih drugim subjektom omogoči za obdelavo osebnih podatkov. Subjekt, ki se odloči za uporabo teh sredstev, da se lahko osebni podatki obdelujejo za določen namen, sodeluje tako tudi pri določanju načinov obdelave.«
2.2. Sodna praksa Sodišča EU
Odločilen korak v smeri pojma skupnih upravljavcev (in v luči katerih na presojo skupnih upravljavcev napotujejo tudi Smernice EDPB) je bil storjen z odločitvijo v zadevi Wirtschaftsakademie Schleswig-Holstein GmbH, kjer je Sodišče EU, namesto presoje vsebine namenov in sredstev obdelave osebnih podatkov s strani podjetja Facebook na splošno, presojalo zgolj konkretno oz. posamično dejanje obdelave osebnih podatkov – tj. dejanje določitve kriterijev za izdelavo statistike znotraj Facebook strani oboževalcev (fan page) izobraževalne institucije Wirtschaftakademie – ki ga je izvedel administrator te strani. S tem, ko je administrator na Facebook strani oboževalcev določil kriterije, ki naj bodo vključeni v statistiko obiskanosti te strani, je vplival na obdelavo osebnih podatkov, ki jo tudi sicer izvaja Facebook, saj so strežniki Facebooka podatke obdelali na način, na katerega jih sicer ne bi, če ne bi s svojo zahtevo to povzročil administrator strani oboževalcev.
Z navedenim premikom od t.i. »makroskopskega pogleda« proti t.i. »mikroskopskemu pogledu«, tj. presojo, kdo določa sredstva in namene obdelave v okviru posamičnega dejanja obdelave osebnih podatkov v nizu več zaporednih dejanj, je SEU razširilo meje interpretacije pojma »...določa namene in sredstva obdelave...« in omogočilo širšo razlago pojma »upravljavec« ter s tem zagotovilo izvajanje načela »učinkovitega in popolnega« varstva pravic posameznikov, vsebino katerega je opredelilo v zadevi Google Spain.
V povezavi z odločitvijo v zadevi Google Spain je Sodišče EU v zvezi z interpretacijo pojma »upravljavec« odločalo še v zadevi Fashion ID, v kateri je ugotovilo, »da je fizično ali pravno osebo, ki zaradi svojih ciljev vpliva na obdelavo osebnih podatkov in zato sodeluje pri določitvi namena in sredstev obdelave«, pri čemer obdelava osebnih podatkov vsebuje enega ali več postopkov, od katerih se vsak nanaša na eno od različnih faz, ki jih lahko zajema obdelava osebnih podatkov«. Fizična ali pravna oseba je lahko upravljavec, skupaj z drugimi, »le glede postopkov obdelave osebnih podatkov, za katere so-določi namene in sredstva«. V zvezi z določitvijo sredstev je Sodišče EU odločilo, da »družba Fashion ID z vstavitvijo takega socialnega vtičnika na svoje spletno mesto odločilno vpliva na zbiranje in posredovanje osebnih podatkov obiskovalcev navedenega spletnega mesta v korist ponudnika navedenega vtičnika, v tem primeru družbe Facebook Ireland, do česar ne bi prišlo, če navedeni vtičnik ne bi bil vstavljen«. Glede namenov obdelave je sodišče reklo, »da se zdi, da je družba Fashion ID s tem, ko je na svoje spletno mesto vstavila tak gumb, vsaj implicitno privolila v zbiranje in posredovanje s prenosom osebnih podatkov obiskovalcev njenega spletnega mesta, z namenom, da bi izkoristila to komercialno prednost, ki je takšno povečanje oglaševanje njenih izdelkov, pri čemer se ti postopki obdelave izvajajo v gospodarskem interesu tako družbe Fashion ID kot družbe Facebook Ireland«.
2.3. ...
3. Opredelitev vlog »upravljavec«, »obdelovalec« oz. »skupni upravljavci« v kontekstu računalništva v oblaku
Računalništvo v oblaku je sestavljeno iz niza tehnologij in modelov storitev, ki se osredotočajo na internetno uporabo in dostavo IT-aplikacij, zmogljivo obdelavo, shranjevanje in pomnilniškega prostora. Računalništvo v oblaku lahko ustvari pomembne gospodarske koristi, saj je vire na zahtevo mogoče enostavno konfigurirati, razširiti in dostopati do njih preko interneta. Poleg gospodarske koristi lahko prinese tudi varnostne koristi; podjetja, zlasti majhne do srednje velike, lahko z mejnimi stroški pridobijo vrhunske tehnologije, ki bi sicer izven njihovega proračunskega obsega. Ponudniki v oblaku ponujajo širok nabor storitev, od virtualne obdelave (sistemi, ki nadomeščajo in/ali delujejo skupaj z običajnimi strežniki pod neposrednim nadzorom krmilnik) do storitev, ki podpirajo razvoj aplikacij in napredno gostovanje, do spletne programske rešitve, ki lahko nadomestijo aplikacije, ki so običajno nameščene na osebni računalnik končnih uporabnikov.
Koncept računalništva v oblaku opredeljuje 5 bistvenih značilnosti (samopostrežba na zahtevo, širok mrežni dostop, združevanje sredstev, visoka elastičnost in plačilo na osnovi uporabe), 3 storitveni modeli (infrastruktura kot storitev – IaaS, platforma kot storitev – PaaS in programska oprema kot storitev – PaaS) in 4 izvedbeni modeli (javni oblak, zasebni oblak, oblak skupnosti in hibridni oblak).
Navedene bistvene značilnosti, storitveni in izvedbeni modeli, so povezane predvsem s specifičnimi tveganji na področju varstva osebnih podatkov, ki niso značilna za druge oblike izvajanja storitev informacijsko-komunikacijske tehnologije. Ta tveganja lahko, v kolikor niso ustrezno naslovljena, občutno okrnijo pravico posameznikov do varstva osebnih podatkov, naslovimo in zmanjšamo pa jih lahko le z ustrezno opredelitvijo vloge uporabnika in ponudnika oblačnih storitev kot upravljavca, obdelovalca oz. skupnih upravljavcev.
V preteklosti je bilo mnenje, da uporabnik oblačnih storitev nastopa v vlogi upravljavca, ponudnik oblačnih storitev pa v vlogi obdelovalca. Vendar pa kompleksnost oblačnih storitev in s tem povezano tveganje v obliki pomanjkljivega nadzora (risk of control) in pomanjkljive transparentnosti (lack of transparency) terja odmik od t.i. binarne distribucije vlog, ki ne zagotavlja oz. celo onemogoča zagotavljanje obveznosti, ki jih upravljavcem nalaga Splošna uredba (npr. če upravljavec nima nikakršnega vpliva na izbiro pod-obdelovalcev, mu je onemogočeno izvajanje člena 28 Splošne uredbe, ker pa nastopa v vlogi upravljavca, je kot tak odgovoren za njegovo izvajanje in posledično tudi za kršitev, če ga ne ali ne more izvajati). Na tovrstna tveganja pri uporabi oblačnih storitev je opozorila že Delovna skupina iz člena 29 v mnenju o oblačnih storitvah (Opinion 05/2012 on Cloud Computing, 1.7.2021), v katerem je že nakazala, da niso vse oblačne storitve take narave, da bi pri njihovi uporabi uporabnik in ponudnik lahko nastopala v vlogi upravljavca in obdelovalca in pri tem zagotavljala učinkovito varstvo osebnih podatkov, temveč, da bi moral v določenih primerih ponudnik oblačnih storitev prav tako nastopati v vlogi upravljavca, s tem pa prevzeti nase obveznosti, ki jih upravljavcem nalaga Splošna uredba, s čimer bi bilo učinkovito varstvo zagotovljeno.
Da binarni pogled upravljavec-obdelovalec v kontekstu nudenja oblačnih storitev ne zagotavlja učinkovitega varstva pravice do zasebnosti navaja tudi literatura in smernice posameznih nadzornih organov drugih držav, npr. Commission Nationale de l'Informatique et des Libertés (CNIL).
4. ...
..., za vzpostavitev katerega daje zavezancu podlago ..., predstavlja računalniško infrastrukturo za neposredne ... uporabnike in jim nudi shranjevalne, razvojne, poslovne in druge zmogljivosti v obliki storitev ter možnost, da z uporabo koncepta računalništva v oblaku hitro dosežejo svoje poslovne cilje. Infrastruktura je v lasti in upravljanju ..., na njej se izvajajo storitve, ki uporabljajo občutljive, osebne in druge podatke in informacije, ki jih ... ne želi shranjevati izven svojega okolja.
...je logična celota podporne infrastrukture ter strojne in računalniške programske opreme. Obsega npr. sisteme UPS, strežniške rezine, različne diskovne sisteme, dostopovne terminale, različne virtualizacijske platforme, operacijske sisteme, lastniško in odprtokodno programsko opremo, nadzorne sisteme, upravljavske sisteme, strojno in programsko definirane mrežne komponente itd. Temelj računalniškega oblaka DRO je virtualizacija strojnih virov, ki so razporejeni v tri logične skupine (podatkovne centre) na dveh lokacijah (...): ....
V .. so pripravljene ali v pripravi storitve za različna področja. Za notranje potrebe so bile izdelane infrastrukturne storitve IaaS (Infrastructure as a Service), delno tudi celotna računalniška okolja PaaS (Platform as a Service), slednja pa se skupaj s programsko opremo za končne uporabnike SaaS (Software as a Service) uvrščajo tudi v splošni del kataloga storitev. ... tako ponuja npr. storitev ..., storitev hrambe elektronskih dokumentov, storitev ..., storitev ... (dokumentov, zadev, multimedijskih datotek), ... (...), gostovanja informacijskih sistemov in spletnih predstavitvenih mest itn. vključno s storitvami s področja informacijske varnosti.
...je kot ..., opis delovanja le tega pa je razviden iz dokumenta … , z dne 8.5.2019. Iz dokumenta tako izhaja, da je ..., horizontalni informacijski sistem za izvajanje elektronskih poizvedb, ki na osnovi najsodobnejših konceptov storitveno usmerjene arhitekture (SOA) omogoča dinamično gradnjo postopkov za pridobivanje logično povezanih podatkov iz različnih podatkovnih virov v realem času. Sistem omogoča tudi varno in zanesljivo hranjenje pridobljenih podatkov bodisi v transakcijski ali v arhivski zbirki. Zahtevki za pridobivanje podakov se v realnem času preslikajo v BPM (Business Process Management) procese, s katerimi ... enoznačno določi podatkovne vire in pripadajoče poizvedbe in uporabnikom ... (aplikaciji odjemalca) pridobi vse pričakovane podatke. Osnovna ideja sistema je v tem, da se aplikaciji odjemalca čim bolj poenostavi tehnična kompleksnost pridobivanja podatkov iz različnih podatkovnih virov in na ta način omogoči aplikaciji osredotočenost na interpretacijo vsebine podatkov in ne na proces pridobivanja teh podatkov. Zmanjšanje tehnične kompleksnosti pridobivanje podatkov je doseženo z vzpostavitvijo centralne spletne točke, ki sprejema podatkovne zahteve od odjemalcev in jih po določenih pravilih transformira v množico atomarnih poizvedb na konkretne podatkovne vire, zbere odgovore od teh podatkovnih virov in jih na zanesljiv način dostavi odjemalcu za nadaljnjo obdelavo.
... zagotavlja fleksibilnost in administracijo postopkov, s katerim se opredeli način pridobivanja podatkov iz različnih vitrov. Administrativni modul omogoča enostavno dodajanje novih podatkovnih virov in njihovo vključevnaje v različne sestavljene postopke. Omogoča popolno parametrizacijo klicev spletnih metod virov preko XML predlog ter določa različne načine izvajanja poizvedb, s katerimi se zagotovi večja odzivnost in prepustnost sistema. Administracija omogoča tudi gradnjo medsebojno odvisnih poizvedb (npr. izhodni podaki ene poizvedbe so lahko vhodni podatki druge poizvedbe, itd.) in posledično gradnjo zelo kompleksnih postopkv pridobivanja podatkov. Ključne vsebinske lastnosti ... so naslednje:
- zagotavlja visok nivo abstrakcije dostopa do podatkov podatkovnih virov. Odjemalec se ne ukvarja s tehnološkimi in sistemskimi značilnostmi vsakega posameznega vira (lokacija, način integracije, transportni protokol, združljivost programske in strojne opreme itd.), ampak se ostredotoči na interpretacijo vsebin pridobljenih podatkov ter krmiljenje zahtevkov oz. postopkov. ...je zgrajen na konceptu vzorca ločitve skrbi (Pattern Separation of Concern) in njegova skrb je pridobivanje podatkov na enoten, zanesljiv, varen in hiter način. Skrb odjemalcev je poslovna logika in algoritmov odločanja na osnovi pridobljenih podatkov. Skrb podatkovnih virov je priprava kakovostnih podatkov v obliki in vsebini kot jo potrebujejo odjemalci;
- zagotavlja enotno vhodno točko na osnovi SOAP spletne storitve in enotno vhodno podatkovno XSD shemo za vse odjemalce. Odjemalci ne potrebujejo neposrednih logičnih in fizičnih povezav do n podatkovnih virov, saj je ...v vlogi inteligentnega storitvenega vodila, prilagojenega in optimiziranega za potrebe pridobivanja podatkov iz več podatkovnih virov hkrati;
- zagotavlja enoten format odgovora po XSD shemi;
- omogoča logično kombiniranje pridobivanja podatkov od virov v postopku. Postopki se določijo preko administrativnih mask. Izvajanje postopkov se v realnem času preslika v dinamične BPM procese. Omogočeno je tudi kombiniranje postopkov tako, da Pladenj naredi unijo poizvedb iz različnih postopkov;
- zagotavlja pravilnost izvajanja vrstnega reda pridobivanja podatkov. Omogoča gradnjo podatkovnih virov tako, da so odgovori enega podatkovneg avira vhodni parametri za drug podatkovni vir;
- v postopku je mogoče določiti vzporedno pridobivanje podatkov iz več virov. S tem se bistveno izboljša hitrost pridobivanja podatkov iz počasnih virov;
- podatki so shranjeni samo dokler jih ne prevzame poizvedovalni sistem, potem se izbrišejo;
- za vsak podatkovni vir je mogoče določiti hitrost poizvedovanja oz. število hkratnih poizvedb. Na ta način je možno izvajati fino nastavitev in uglaševanje prepustnosti sistema in virov;
- podpira 4 različne načine komunikacije z viri:
o sinhron način (ob klicu se čaka na odgovor vira),
o asinhron način (pošlje se zahtevek, spletni klic vira sproži nadaljevanje procesa),
o paketni način (zbere se več zahtevkov v paket in sproži asinhroni način komunikacije) in
o pooling (pošlje se zahtevek ter se sproti preverja status odgovora od vira);
- zagotavlja odjemalcu, da so pridobljeni podatki preverjeni po XSD shemi vsakega podatkovnega vira;
- vsi odgovori so kodirani s ključem odjemalca tako, da so podatki popolnoma zaščiteni pred branjem nepooblaščenih odjemalcev;
- revizijska sled se vodi za vsako poizvedbo. Meta podatki odgovorov so shranjeni v arhivski zbirki;
- vključuje realno možnost, da pri delovanju podatkovnega vira lahko nastopijo tudi občasne motnje, zato vključuje t.i. samo - obnovitveno funkcionalnost (auto-resume), ki omogoča večkratno ponavljaje poizvedb na podatkovni vir v vnaprej določenih intervalih in posredovanje odgovora uporabniku potem, ko se poizvedba uspešno izvede;
- omogočen je scenarij ponovnega zagona postopka (akcija RESUME) v primeru, da se postopek
konča z napako, kot tudi preklica postopka (akcija CANCEL) v primeru, da se odjemalec odloči
predčasno končati postopek. Osnovna scenarija uporabe sta akciji START in STOP oz. zahtevek za pridobivanje podatkov ter zaključevanje transakcije;
- proces izvajanja postopka je zgrajen na osnovi dinamičnega združevanja BPM mikro procesov.
Vsak mikro proces predstavlja specifično funkcionalnost za pridobivanje podatkov iz določenega
podatkovnega vira;
- zagotavlja administrativne maske za urejanje informacij, ki so potrebne za popolno
parametrizacijo podatkov o institucijah, virih, poizvedbah, postopkih in varnostni shemi;
- vključuje grafični vmesnik za iskanje meta podatkov poizvedb po arhivski zbirki podatkov;
- vgrajena je tudi posebna funkcionalnost Monitor, ki omogoča stalno spremljanje dosegljivosti
podatkovnih virov in takojšnje obveščanja in ukrepanje v primeru izpada nekega podatkovnega vira.
S tehnološkega vidika ... uporablja standardno, odprtokodno javansko SOA tehnologijo kar pomeni, da uporablja SOAP, REST, HTTPS protokol in XML/XSD sheme za zagotavljanje povezljivosti z različnimi podatkovnimi viri, koncept BPM (Business Process Management) za orkestracijo velikega števila postopkov v realnem času, itd. Pri razvoju so bile uporabljene najsodobnejše tehnike programiranja strežniških javanskih komponent (EJB 3 entitete, sejna zrna, JMS, JAAS varnost, OR preslikave, itd.) in uporabljeni uveljavljeni integracijski standardi (XML, SOAP, JAX-WS) s fokusom na paralelizem sistema, veliko prepustnosti in odzivnost. Sistem zagotavlja linearno rast in visoko razpoložljivost, ter razbremenitev podatkovne baze in ga je možno enostavno vgraditi v „oblak“.
Komunikacija med odjemalcem, ...n virom podatkov je dvosmerna in je sestavljena iz protokola klicanja podatkov in protokola pridobivanja podatkov:
- v okviru protokola klicanja podatkov odjemalec sproži zahtevek za začetek pridobivanja podatkov tako, da v spletno aplikacijo vnese osnovne parametre (šifro zahtevka, šifro odjemalca in čas zahtevka) ter bistvene parametre (šifra postopka, za katerega se izvaja pridobivanje podatkov, ki v bistvu predstavlja namen, zaradi katerega se izvaja poizvedovanje, podatek o EMŠO ali davčni številki, za katero se izvaja proces pridobivanja podatkov, referenčni datum, za katero se izvaja poizvedovanje ter drugi parametri poizvedovanja, npr. MŠ itd.). Odjemalec torej pri klicanju ne določi eksplicitno podatkovnih virov, ampak zgolj postopek oz. namen, za katerega ...izvaja pridobivanje podatkov na osnovi določene zakonske podlage. Na ta način odjemalcu ni treba skrbeti za seznam podatkovnih virov, ker je ta seznam določen že v vrsti postopka. V okviru protokola klicanja podatkov ... nato preveri vhodne parametre in avtorizacijo ter vrne status o uspehu preverjanja vhodnih parametrov;
- nato ... začne BPM proces v okviru protokola pridobivanja podatkov od različnih podatkovnih virov in odgovore v zakodirani obliki shrani v transakcijsko bazo. ... obvesti odjemalca o statusu pridobljenih podatkov, odjemalec pa vrne status uspešnega prejema spletnega klica. Nato odjemalec kliče metodo, na podlagi katere prejme XML datoteko iz podatkovnih virov in meta podatkov. Ko odjemalec potrdi uspešnost prevzema podatkov, ... shrani meta podatke v arhivsko zbirko in zbriše vse podatke iz transakcijske zbirke.
Iz dokumenta ... (različica 1.0 z dne 11.10.2017) izhaja, da lahko na infrastrukturi zavezanca, ... v vlogi odjemalca, uporabljajo za svoje informacijske sisteme ..., ki so povezani v ..., lahko pa tudi preko VPN. Za uporabo ...podpišejo odjemalec, zavezanec in vir podatkov formalen med-organizacijski dogovor, s katerim se opredelijo obveznosti vseh strank, skrbniki pri vseh strankah, postopki medsebojnega obveščanja, dogovorjene stopnje razpoložljivosti in odzivnosti, ki jo želi odjemalec in jo bosta zagotavljala zavezanec in vir podatkov.
Za odjemalce, ki izpolnjujejo pogoje povezanosti v ...ali VPN, je uporaba ...brezplačna. Če odjemalec ugotovi, da bi bila za popolno izpolnjevanje zahtev potrebna nadgradnja ..., pripravi podrobne zahteve za dodatno funkcionalnost in jih posreduje skrbniku ... in zavezancu. Zavezanec nato oceni primernost zahtev za nadgradnjo in odjemalcu poda odgovor o možnosti nadgradnje. Če je nadgradnja možna glede na splošno uporabnost nadgradnje in druga merila, skrbnik ...pri zavezancu odloči, ali bo stroške nadgradnje pokril ...ali pa bo moral stroške nadgradnje pokriti odjemalec. V primeru, ko bi nadgradnja ... za potrebe odjemalca presegala razpoložljiva sredstva zavezanca za tovrstne posege, lahko zavezanec odjemalcu predlaga skupno financiranje nadgradenj. Pred odločitvijo o vključitvi odjemalca morata odjemalec in skrbnik ... pri zavezancu skupaj izdelati tudi oceno, kolikšne dodatne obremenitve na infrastrukturi bi to povzročilo. Vključitev odjemalca ne sme bistveno poslabšati zmogljivosti za obstoječe odjemalce.
Osnovna ideja ...je v tem, da se spletni aplikaciji odjemalca čim bolj poenostavi tehnična kompleksnost pridobivanja podatkov iz različnih podatkovnih virov in na ta način omogoči aplikaciji osredotočenost na interpretacijo vsebine podatkov in ne na proces pridobivanja teh podatkov. To zmanjšanje tehnične kompleksnosti pridobivanja podatkov je doseženo z vzpostavitvijo ..., ki sprejema podatkovne zahteve od odjemalcev in jih po določenih pravilih transformira v množico atomarnih poizvedb na konkretne podatkovne vire, zbere odgovore od teh podatkovnih virov in jih na zanesljiv način dostavi odjemalcu za nadaljnjo obdelavo.
5. Obrazložitev inšpekcijskih ukrepov
I. in II. točka izreka
Ustrezna opredelitev, ali gre v okviru konkretne obdelave osebnih podatkov za razmerje med upravljavcem in obdelovalcem ali za odnos med dvema upravljavcema je ključna, saj je od te opredelitve odvisno, ali bodo obveznosti, kot so določene v Splošni uredbi, lahko zagotovljene, s tem pa obdelava osebnih podatkov zakonita.
Nadzornica poudarjam, da zagotavljanje obveznosti po Splošni uredbi ni in ne more biti predmet dogovora dveh strank, ampak izhaja iz zmožnosti ene in druge stranke, da jih lahko zagotovi, ta zmožnost pa je odvisna od dejanskega vpliva na konkretno obdelavo osebnih podatkov. Tisti stranki, ki izvršuje vpliv nad obdelavo osebnih podatkov, pritiče tudi odgovornost izvajanja obveznosti po Splošni uredbi. V kolikor lahko dve stranki s svojimi odločitvami vplivata na konkretno obdelavo, sta v tem delu skupna upravljavca.
Iz ugotovitev predmetnega inšpekcijskega postopka izhaja, da zavezanec svojo vlogo pri zagotavljanju storitev .. vidi kot vlogo obdelovalca (člen 28 Splošne uredbe) v odnosu do vira podatkov oz. v odnosu do odjemalca.
V nadaljevanju sem nadzornica na podlagi v postopku ugotovljenih dejstev in okoliščin presojala, ali nastopa zavezanec v okviru ... vlogi obdelovalca ali v vlogi skupnega upravljavca oz. samostojnega upravljavca.
5.1 »Obdelava«
Člen 4(2) Splošne uredbe določa, da „obdelava“ pomeni vsako dejanje ali niz dejanj, ki se izvaja v zvezi z osebnimi podatki ali nizi osebnih podatkov z avtomatiziranimi sredstvi ali brez njih, kot je zbiranje, beleženje, urejanje, strukturiranje, shranjevanje, prilagajanje ali spreminjanje, priklic,
vpogled, uporaba, razkritje s posredovanjem, razširjanje ali drugačno omogočanje dostopa, prilagajanje ali kombiniranje, omejevanje, izbris ali uničenje;
V predmetnem postopku je bilo ugotovljeno, da je ... informacijski sistem, vgrajen ..., in služi kot centralna točka za izvajanje elektronskih poizvedb na podatkovne vire. Nastopa v vlogi tehničnega posrednika med odjemalcem na eni strani (npr. ...) ter podatkovnim virom na drugi strani (npr. ...). Komunikacija ... s podatkovnimi viri se izvaja na podlagi poizvedb (protokol klicanja podatkov), ki jih proži poizvedovalni sistem za povezovanje na podatkovne vire in pridobivanje podatkov (protokol pridobivanja podatkov).
Na podlagi določbe člena 4(2) Splošne uredbe, da „obdelava“ pomeni vsako dejanje ali niz dejanj, ki se izvaja v zvezi z osebnimi podatki ali nizi osebnih podatkov ter v povezavi z odločitvijo SEU v zadevi Wirtschaftsakademie, je za presojo ključna obdelava, ki se v okviru gradnika ... izvaja z dejanjem »poizvedovanja odjemalca po podatkih in posredovanje teh podatkov s strani vira podatkov« (in ne obdelava, ki jo odjemalec in vir podatkov izvajata vsak za svoj primarni, v materialnem (področnem) zakonu določen namen).
V povezavi z vsebino Dogovora o razmejitvi odgovornosti pri posredovanju in uporabi podatkov v okviru projekta ... kot uporabnikom podatkov (odjemalcem), ... kot posredovalcem podatkov (vir podatkov) in zavezancem kot tehničnim posrednikom oz. upravljavcem ... (navedeni dogovor je zavezanec priložil kot primer urejanja razmerij pri uporabi gradnika ...), je ... na podlagi Zakona o ...) upravljavec podatkov s področja ... in vodi ... podatke v lastnem informacijskem sistemu za namen evidentiranja .... ... je prav tako upravljavec podatkov na podlagi Zakona o ... in obdeluje podatke za namen uveljavljanja .... Tako ...kot ... sta tako upravljavca osebnih podatkov, ki jih obdelujeta za namen, določen v materialnem predpisu.
5.2 »...sam ali skupaj z drugimi določa namene in sredstva obdelave...«
V skladu z določbo člena 4(7) Splošne uredbe »upravljavec« pomeni »javni organ..., ki sam ali skupaj z drugimi določa namene in sredstva obdelave; kadar namene in sredstva obdelave določa pravo Unije ali pravo države članice, se lahko upravljavec ali posebna merila za njegovo imenovanje določijo s pravom Unije ali pravom države članice.«.
Da gre v primeru obdelave osebnih podatkov preko gradnika ... za ..., v tem postopku ni sporno. Predmet presoje je predvsem vprašanje, ali ... namene in sredstva obdelave s pomočjo tehničnega posrednika ... določajo sami ali skupaj.
Naloge in pristojnosti ... določa zakonodaja, ki eksplicitno ali implicitno določa tudi obdelavo osebnih podatkov.
Že navedeni ... določa, da se za potrebe odločanja o .... Zbirko podatkov iz prejšnjega člena obdeluje ...kot upravljavec centralne zbirke podatkov o pravicah ... (...). ... in ... brezplačno pridobivajo podatke za osebe po tem zakonu iz obstoječih zbirk podatkov naslednjih upravljavcev: ....
... taksativno navaja tudi vrste podatkov, ki so jih posamezni upravljavci dolžni brezplačno posredovati ...za namen v zakonu opredeljene obdelave.
... lahko centralno zbirko podatkov iz 49. člena zakona poveže z zbirkami podatkov iz drugega odstavka tega člena. ...... lahko osebne podatke, ki se vodijo v centralni zbirki podatkov iz 49. člena tega zakona, in podatke, ki jih pridobivajo od upravljavcev zbirk osebnih podatkov iz prejšnjega člena, obdelujejo samo za potrebe postopka odločanja in vodenja zbirk podatkov po tem zakonu, ...pa tudi za potrebe izvajanja .... Podatki in dokumenti iz centralne zbirke podatkov iz 49. člena tega zakona se hranijo pet let po datumu prenehanja upravičenosti do ....
...torej določa, da za potrebe postopka odločanja in vodenja zbirk podatkov po tem zakonu (namen), ... kot upravljavec teh podatkov pridobiva točno določene podatke iz obstoječih zbirk podatkov drugih upravljavcev (sredstva), pri čemer zakon ne določa samega načina pridobivanja teh podatkov. Upravljavcem je prepuščena odločitev glede izbire informacijske rešitve, s pomočjo katere bodo ...podatki posredovani – načina posredovanja podatkov. Upravljavci imajo možnost razvoja lastne informacijske rešitve ali pa uporabijo že pripravljene informacijske rešitve, ki jih je razvil ....
Kot navedeno zgoraj, ... določa, da je ... upravljanje informacijsko komunikacijske infrastrukture, razvoj skupnih informacijskih rešitev ter njihovo tehnološko, procesno in organizacijsko skladnost s centralnim informacijsko komunikacijskim sistemom, izvajanje enotne informacijske varnostne politike ter načrtovanje in upravljanje vseh proračunskih virov na teh področjih (razen za informacijsko komunikacijske sisteme, namenjene področju obrambe, varstva pred naravnimi in drugimi nesrečami, policije, obveščevalno-varnostne dejavnosti, zunanjih zadev, preprečevanja in odkrivanja pranja denarja in financiranja terorizma ter opravljanja plačilnega prometa za proračunske uporabnike). ...
Na podlagi ... je zavezanec torej organ, ki je v .... ...tako nalaga zavezancu, da presodi, katere informacijske rešitve v ... potrebno vzpostaviti (sredstva), za namen doseganje višjega nivoja storitev ... z vidika kakovosti, racionalizacijo poslovanja ... in učinkovitejšo porabo ...(namen). Te presoje zavezanec ne opravi popolnoma samostojno, ampak tudi na podlagi usmeritev .... V skladu z ... usmerja aktivnosti, povezane z razvojem upravljanja informacijsko-komunikacijskih sistemov državne uprave, pripravlja neobvezujoča mnenja in predloge za Vlado Republike Slovenije in druge organe državne uprave, usmerja aktivnosti, povezane z upravljanjem proračunskih virov za upravljanje informacijsko-komunikacijskih sistemov državne uprave, izdaja predhodna mnenja za projekte, nabave, investicijska vzdrževanja in nadgradnje, ki vključujejo katero koli rešitev na področju upravljanja informacijsko-komunikacijskih sistemov državne uprave (v nadaljnjem besedilu: predhodna mnenja), enkrat letno Vladi RS poroča o svojem delu, usmerja delo operativne delovne skupine in po potrebi organizira delo v okviru delovnih skupin sveta.
Glede na navedeno nadzornica ugotavljam, da je ... podelil pristojnost odločanja nad tem, s katerimi informacijskimi sredstvi bo zagotavljal cilj, dosego katerega mu je naložil ..., tj. učinkovitost in racionalizacija .... Iz ... sicer ne izhaja eksplicitno, katere obveznosti v okviru danega pooblastila bi moral izvajati zavezanec, iz ugotovitev dejanskega stanja v okviru predmetnega postopka pa nadzornica lahko zaključim, da imajo upravljavci osebnih podatkov kot uporabniki storitev ... zelo omejeno ali ničelno možnost vplivanja na tehnične specifikacije informacijskih rešitev ter na postopke in ukrepe zavarovanja podatkov, ki se obdelujejo s pomočjo teh tehničnih rešitev. Prav tako nimajo možnosti odločanja o tem, katere obdelovalce bo zavezanec angažiral za vzdrževanje in razvoj takšnih informacijskih rešitev. Upravljavci so z materialno zakonodajo zavezani glede vrst osebnih podatkov, ki jih lahko posredujejo z zakonom določenim uporabnikom. Kot upravljavci so v tem delu zavezani za točnost podatkov, ki jih posredujejo, za namen, določen z materialnim predpisom. ... ne zavezuje upravljavcev, da posredovanje podatkov izvedejo s pomočjo gradnika ..., upravljavci to odločitev sprejmejo samostojno, namen ... pa vsekakor je, da storitve ... koristijo v čim večjem številu in s tem sodelujejo pri doseganju cilja (namena) zavezanca, tj. zagotavljanje visokega nivoja storitev in racionalizacija poslovanja.
Nadzornica sem pri presoji vloge zavezanca sledila Smernicam EDPB tudi v delu, kjer le te deležnikom (upravljavcem, obdelovalcem, skupnim upravljavcem in nadzornim organom) ponujajo vprašalnik (kot pripomoček pri presoji v kakšni vlogi nastopajo akterji, ki sodelujejo pri obdelavi osebnih podatkov, v prilogi smernic), s pomočjo katerega lahko ustrezno opredelijo vlogo, v kateri nastopajo, s tem pa tudi jasno določitev obveznosti, ki so jih dolžni zagotavljati na podlagi Splošne uredbe. Nadzornica sem tudi s pomočjo vprašalnika ocenila, da zavezanec vsekakor vpliva na obdelavo osebnih podatkov oz. uporabniki storitev nimajo nikakršnega vpliva na obdelavo podatkov, ki poteka ..., in sicer: namen in sredstva obdelave osebnih podatkov v okviru ... so implicitno določeni ..., zavezanec osebnih podatkov ne obdeluje na podlagi dokumentiranih navodil uporabnika, uporabniki nimajo vpliva na zagotavljanje ukrepov in postopkov zavarovanja osebnih podatkov ali izbiro obdelovalcev, nimajo možnosti izvrševanja nadzora nad izvajanjem navodil ali ukrepov zavarovanja, zavezanec sam določi tudi čas hrambe osebnih podatkov v sistemu ...).
Glede na navedeno nadzornica lahko zaključim, da zavezanec in uporabniki ..., ki omogoča obdelavo osebnih podatkov na način proženja poizvedb in posredovanja podatkov na podlagi le teh, nastopajo v okviru te konkretne obdelave kot skupni upravljavci, saj vsak od sodelujočih določa namen in sredstva obdelave, s tem pa vpliva na obdelavo osebnih podatkov.
Skupno določanje namenov temelji na t.i. sovpadajoči odločitvi (»converging decision«), saj zavezanec in uporabniki storitve zasledujejo medsebojno povezana oz. dopolnjujoča se namena - hitro in učinkovito izvajanje poizvedb s strani odjemalcev in posredovanje podatkov s strani virov podatkov, ne da bi bili ti obremenjeni s tehničnimi specifikami posameznih podatkovnih virov na eni strani ter vzpostavljanje in zagotavljanje takšnih gradnikov informacijskega sistema državne uprave, ki bo institucijam (odjemalcem, virom podatkov) omogočala učinkovito izvajanje njihovih nalog.
Skupno določanje sredstev temelji na ugotovitvi, da uporabniki ... sprejmejo odločitev, da bodo podatke, za katere je tako določeno v materialnem predpisu, posredovali preko tehničnega posrednika (...), ki omogoča razbremenitev odjemalcev in virov podatkov tehničnih specifičnosti različnih informacijskih sistemov na eni strani, s tem pa vplivajo oz. omogočajo obdelavo podatkov na način, kot ga je določil zavezanec.
Nadzornica glede na vse ugotovljeno na tem mestu poudarjam, da ni moč pritrditi stališču zavezanca, da pri zagotavljanju ... nastopa v vlogi obdelovalca. Kot obdelovalec bi smel osebne podatke obdelovati le »v imenu upravljavca«, tj. s svojo obdelavo zasledovati zgolj in samo interes (oz. cilj) upravljavca, ki mu je izvedbo te naloge zaupal in jo nanj prenesel, z obdelavo pa implementirati navodila upravljavca. Pri implementaciji navodil upravljavca mu je dopuščeno toliko svobode pri odločanju, v kolikor gre za odločanje o ne-nujnih sredstvih obdelave. Ugotovljena dejstva pa nedvoumno kažejo na to, da ima zavezanec bistveno večjo moč vplivanja na obdelavo osebnih podatkov v okviru ..., kot bi mu pripadala v vlogi obdelovalca. V delu, v katerem zavezanec vpliva na obdelavo osebnih podatkov, per se onemogoča vpliv uporabnikov (upravljavcev) in jim v tem delu onemogoča izvrševanje načela odgovornosti. V kolikor bi nadzornica sledila stališču zavezanca, da nastopa zgolj v vlogi obdelovalca, bi to pomenilo odmik od namena, ki ga zasleduje Splošna uredba – učinkovito in popolno varstvo pravic posameznikov.
Člen 26 Splošne uredbe določa, da skupni upravljavci na pregleden način z medsebojnim dogovorom določijo dolžnosti vsakega od njih z namenom izpolnjevanja obveznosti v skladu s to uredbo, zlasti v zvezi z uresničevanjem pravic posameznika, na katerega se nanašajo osebni podatki, in nalogami vsakega od njih glede zagotavljanja informacij iz členov 13 in 14, razen če in kolikor so dolžnosti vsakega od upravljavcev določene s pravom Unije ali pravom države članice, ki velja za upravljavce. Z dogovorom se lahko določi kontaktna točka za posameznike, na katere se nanašajo osebni podatki. Dogovor ustrezno odraža vlogo vsakega od skupnih upravljavcev in njegovo razmerje do posameznikov, na katere se nanašajo osebni podatki. Vsebina dogovora se da na voljo posamezniku, na katerega se nanašajo osebni podatki. V členu 26 Splošne uredbe je še določeno, da lahko posameznik, na katerega se nanašajo osebni podatki, ne glede na pogoje dogovora, uresničuje svoje pravice v skladu s to uredbo glede vsakega od upravljavcev in proti vsakemu od njih.
Iz navedenega izhaja, da bi moral zavezanec z ... skleniti medsebojni dogovor, s katerim se skupni upravljavci dogovorijo o ustrezni medsebojni razdelitvi izvajanja obveznosti, kot so določene v Splošni uredbi, zlasti v zvezi z uresničevanjem pravic posameznika, na katerega se nanašajo osebni podatki, in nalogami vsakega od njih glede zagotavljanja informacij iz členov 13 in 14. Razdelitev obveznosti bi morala temeljiti na zmožnosti (v odvisnosti od dejanskega vplivanja na obdelavo osebnih podatkov) izvajanja obveznosti.
Zaradi ugotovljenih nepravilnosti je bilo treba zavezancu na podlagi 1. točke prvega odstavka 54. člena ZVOP-1, prvega odstavka 32. člena ZIN ter točke (d) člena 58(2) Splošne uredbe odrediti odpravo ugotovljenih nepravilnosti in uskladitev dejanj obdelave osebnih podatkov z določbami člena 26 Splošne uredbe, in sicer v roku, ki je določen v III. točki te odredbe.
III. točka izreka
Odredba v V. točki, da je zavezanec po izvršitvi ukrepov iz I. in II. točke izreka te odločbe dolžan v roku 5 (pet) dni po njihovi izvršitvi pisno obvestiti IP, temelji na določbi petega odstavka 29. člena ZIN, ki določa, da mora zavezanec o odpravljenih nepravilnostih takoj obvestiti inšpektorja.
***
Na podlagi 118. člena ZUP se v odločbi odloči o stroških postopka; ker v tem postopku niso nastali posebni stroški, je tako odločeno v IV. točki izreka.
Ta odločba je izdana po uradni dolžnosti in je na podlagi 22. člena Zakona o upravnih taksah (Uradni list RS, št. 106/10 – UPB5, 14/15 – ZUUJFO, 84/15 – ZZelP-J in 32/16) takse prosta.
Pouk o pravnem sredstvu:
Ta odločba je v upravnem postopku dokončna. Zoper njo po določbi 55. člena ZVOP-1 ni dovoljena pritožba, mogoč pa je upravni spor z vložitvijo tožbe na Upravno sodišče Republike Slovenije, Fajfarjeva 33, 1000 Ljubljana, v roku 30 dni po prejemu te odločbe. Tožba se vloži pri pristojnem sodišču neposredno pisno ali se mu pošlje po pošti. Tožbi v dveh izvodih je treba priložiti to odločbo v izvirniku ali neoverjeno kopijo.
Smernice 07/2020 o pojmu upravljvca in obdelovalca, verzija 1.0, 2.9.2020, str. 18: »The situation of joint participation through converging decisions results more particularly from the case law of the CJEU on the concept of joint controllership. Decisions can be considered as converging on purposes and means if they complement each other and are necessary for the processing to take place in such manner that they have a tangible impact on the determination of the purposes and means of the processing. As such, an important criterion to identify converging decisions in this context is whether the processing would not be possible without both parties’ participation in the sense that the processing by each party is inseparable, i.e., inextricably linked.”
C. Ratanachuesakul: The Legal Status of a Controller and a Processor of a Cloud Service Provider Under the GDPR in the Context of the Complete Protection to the Data Subject, Tilburg Institute for Law, Technology and Society, 2018, dosegljivo na: http://arno.uvt.nl/show.cgi?fid=145753.
Npr. za potrebe odjemalca ..., itd.
