IP: Pravna podlaga za obdelavo podatkov

IP: Pravna podlaga za obdelavo podatkov
05. 07. 2024 objavil/a Info Hiša

IP je v mnenju poudaril, da upravljavec obdrži primarno odgovornost za zakonito obdelavo osebnih podatkov tudi ob prenosu obdelave na obdelovalca.

Mnenje je bilo objavljeno 19.6.2024

Hkrati je IP opozoril, da ima v določenem delu obdelovalec podobne obveznosti kot upravljavec osebnih podatkov in je neposredno odgovoren za zakonito obdelavo osebnih podatkov v okviru svojih pooblastil. Pravila zakonite obdelave osebnih podatkov mora poznati in jih v praksi tudi ustrezno izvrševati.

IP je pojasnil, da razmerje med upravljavcem in obdelovalcem ureja 28. člen Splošne uredbe, kjer je določeno, da obdelavo s strani obdelovalca ureja pogodba ali drug pravni akt v skladu s pravom Unije ali pravom države članice, ki določa obveznosti obdelovalca do upravljavca, v katerem so določeni vsebina in trajanje obdelave, narava in namen obdelave, vrsta osebnih podatkov, kategorije posameznikov, na katere se nanašajo osebni podatki, ter obveznosti in pravice upravljavca.

Ta pogodba ali drug pravni akt zlasti določa, da obdelovalec:

  • osebne podatke obdeluje samo po dokumentiranih navodilih upravljavca;

  • zagotovi, da so osebe, ki so pooblaščene za obdelavo osebnih podatkov, zavezane k zaupnosti ali jih k zaupnosti zavezuje ustrezen zakon;

  • sprejme vse ukrepe, potrebne v skladu s členom 32;

  • spoštuje pogoje iz odstavkov 2 in 4 za zaposlitev drugega obdelovalca;

  • ob upoštevanju narave obdelave pomaga upravljavcu z ustreznimi tehničnimi in organizacijskimi ukrepi, kolikor je to mogoče, pri izpolnjevanju njegovih obveznosti, da odgovori na zahteve za uresničevanje pravic posameznika, na katerega se nanašajo osebni podatki, iz poglavja III;

  • upravljavcu pomaga pri izpolnjevanju obveznosti iz členov 32 do 36 ob upoštevanju narave obdelave in informacij, ki so dostopne obdelovalcu;

  • v skladu z odločitvijo upravljavca izbriše ali vrne vse osebne podatke upravljavcu po zaključku storitev v zvezi z obdelavo ter uniči obstoječe kopije, razen če pravo Unije ali pravo države članice predpisuje shranjevanje osebnih podatkov;

  • da upravljavcu na voljo vse informacije, potrebne za dokazovanje izpolnjevanja obveznosti iz tega člena, ter upravljavcu ali drugemu revizorju, ki ga pooblasti upravljavec, omogoči izvajanje revizij, tudi pregledov, in pri njih sodeluje.

Tak pisni dogovor zagotavlja, da se tako upravljavec kot obdelovalec zavedata svojih pravic in obveznosti v zvezi z obdelavo osebnih podatkov. Odgovornost za zakonito obdelavo osebnih podatkov je primarno na strani upravljavca in ostaja njegova odgovornost tudi po njihovem posredovanju pogodbenemu obdelovalcu. Ob tem pa IP opozarja, da ima v določenem delu obdelovalec podobne obveznosti kot upravljavec osebnih podatkov in je neposredno odgovoren za zakonito obdelavo osebnih podatkov v okviru svojih pooblastil. Pravila zakonite obdelave osebnih podatkov mora poznati in jih v praksi tudi ustrezno izvrševati.

IP ob tem poudarja, da je bistvenega pomena dejstvo, da lahko obdelovalec osebne podatke obdeluje zgolj za namene, za katere ga je pooblastil upravljavec in torej osebnih podatkov ne obdeluje za lastne namene. V vlogi obdelovalca bo tako nastopala tista pravna oziroma fizična oseba, ki bo obdelavo osebnih podatkov izvrševala izključno v imenu in za račun upravljavca osebnih podatkov, bo pri tem črpala podlago za obdelavo osebnih podatkov iz upravičenj upravljavca ter bo v zvezi s samimi dejanji obdelave vezana na navodila upravljavca.

Celotno mnenje je dostopno tukaj