Pogodba o obdelavi osebnih podatkov: zakaj je pomembna
Podjetja pri poslovanju pogosto sodelujejo z zunanjimi izvajalci, ki imajo dostop do osebnih podatkov. To so lahko računovodski servisi, ponudniki IT storitev, ponudniki programske opreme, marketinške agencije, kadrovski izvajalci ali drugi pogodbeni partnerji.
Kadar zunanji izvajalec osebne podatke obdeluje v imenu podjetja, mora biti razmerje ustrezno urejeno s pogodbo o obdelavi osebnih podatkov. Ta pogodba ni zgolj formalnost, ampak eden ključnih dokumentov za dokazovanje skladnosti z GDPR.
Najprej je treba pravilno ugotoviti, kakšna je vloga posameznega pogodbenega partnerja. Podjetje je upravljavec, kadar določa namene in sredstva obdelave osebnih podatkov. Obdelovalec pa osebne podatke obdeluje v imenu upravljavca in po njegovih navodilih.
Kdaj podjetje potrebuje pogodbo z obdelovalcem
Pogodba z obdelovalcem je potrebna, kadar podjetje drugemu subjektu zaupa obdelavo osebnih podatkov v svojem imenu.
Tipični primeri so:
- računovodski servis, ki obdeluje podatke zaposlenih,
- IT ponudnik, ki vzdržuje sisteme z osebnimi podatki,
- ponudnik oblačnih storitev,
- marketinška agencija, ki za podjetje pošilja e-novice,
- zunanji kadrovski izvajalec,
- ponudnik programske opreme, ki ima dostop do osebnih podatkov uporabnikov ali strank.
Ni vsak zunanji izvajalec tudi obdelovalec. Če pogodbeni partner sam določa namen in način obdelave osebnih podatkov, je lahko samostojni upravljavec ali pa gre za razmerje skupnih upravljavcev. Zato je napačna opredelitev vlog ena najpogostejših napak v praksi.
Kaj mora pogodba vsebovati po GDPR
GDPR določa, da mora biti obdelava s strani obdelovalca urejena s pogodbo ali drugim pravnim aktom, ki obdelovalca zavezuje do upravljavca. Pogodba mora določiti predmet in trajanje obdelave, naravo in namen obdelave, vrste osebnih podatkov, kategorije posameznikov ter obveznosti in pravice upravljavca.
Obdelava samo po navodilih upravljavca
Pogodba mora določiti, da obdelovalec osebne podatke obdeluje samo po dokumentiranih navodilih upravljavca. Obdelovalec ne sme samovoljno spremeniti namena obdelave ali podatkov uporabiti za lastne namene.
Zaupnost
Pogodba mora določiti, da so osebe, ki so pooblaščene za obdelavo osebnih podatkov, zavezane k zaupnosti ali jih zavezuje ustrezna zakonska obveznost zaupnosti.
Varnostni ukrepi
Pogodba mora urediti ustrezne tehnične in organizacijske ukrepe za varnost osebnih podatkov. Splošna določba, da bo obdelovalec ravnal “skladno z GDPR”, praviloma ni dovolj. Smiselno je opredeliti konkretne varnostne ukrepe glede dostopov, hrambe, prenosov, varnostnih kopij in ravnanja ob incidentih.
Podobdelovalci
Če obdelovalec uporablja dodatne izvajalce, na primer ponudnika gostovanja, IT podpore ali druge podizvajalce, mora biti to pogodbeno urejeno. Upravljavec mora vedeti, kdo sodeluje pri obdelavi osebnih podatkov in pod kakšnimi pogoji.
Pomoč upravljavcu
Pogodba mora določiti tudi obveznosti obdelovalca pri pomoči upravljavcu. To vključuje pomoč pri uresničevanju pravic posameznikov, varnosti obdelave, obravnavi kršitev varnosti osebnih podatkov in drugih obveznostih po GDPR.
Vračilo ali izbris podatkov
Po koncu sodelovanja mora obdelovalec osebne podatke praviloma izbrisati ali vrniti upravljavcu, odvisno od dogovora in pravnih obveznosti. Pogodba mora jasno določiti, kaj se zgodi s podatki po prenehanju storitve.
Dokazovanje skladnosti in nadzor
Pogodba mora omogočati, da obdelovalec upravljavcu zagotovi informacije, potrebne za dokazovanje skladnosti. Prav tako mora biti urejeno vprašanje nadzora oziroma pregledov, kadar so ti potrebni.
Najpogostejše napake v praksi
Podjetja pogosto uporabljajo generične vzorce, ki ne odražajo dejanskega poslovnega razmerja. Pogodba o obdelavi osebnih podatkov mora biti usklajena s storitvijo, ki jo zunanji izvajalec dejansko opravlja.
Pogoste napake so:
- ni jasno, kdo je upravljavec in kdo obdelovalec,
- pogodba ne določa dovolj natančno vrst osebnih podatkov,
- namen obdelave je opisan preširoko,
- varnostni ukrepi so preveč splošni,
- podobdelovalci niso navedeni ali niso pravilno urejeni,
- ni jasno določeno vračilo ali izbris podatkov po koncu sodelovanja,
- pogodba ni usklajena z glavno poslovno pogodbo,
- obdelovalec si pridržuje pravico do uporabe podatkov za lastne namene, čeprav to ni skladno z vlogo obdelovalca.
Posebej problematično je, kadar glavna pogodba določa eno storitev, pogodba o obdelavi osebnih podatkov pa opisuje drugačno ali širšo obdelavo podatkov.
Kako pogodbo povezati z drugimi dokumenti podjetja
Pogodba z obdelovalcem mora biti usklajena z drugimi dokumenti podjetja. To vključuje politiko zasebnosti, evidence dejavnosti obdelave, notranja pravila dostopa, pogodbe z zaposlenimi in poslovne pogodbe z zunanjimi izvajalci.
Pri podjetjih, ki uporabljajo digitalna orodja, platforme ali umetno inteligenco (AI), je treba posebej preveriti, kje se podatki hranijo, kdo ima dostop do njih, ali pride do prenosa podatkov v tretje države in ali so pravila uporabe podatkov dovolj jasno urejena.
Kaj naj podjetje preveri pred podpisom
Pogodba o obdelavi osebnih podatkov je eden ključnih dokumentov za podjetja, ki pri poslovanju sodelujejo z zunanjimi izvajalci. Njena vrednost ni v tem, da obstaja, ampak v tem, da jasno določa vloge, obveznosti, varnostne ukrepe, podobdelovalce in ravnanje s podatki po koncu sodelovanja.
Dobro pripravljena pogodba pomaga podjetju dokazovati skladnost z GDPR in zmanjšuje tveganja pri vsakodnevnem poslovanju.
Pred podpisom pogodbe o obdelavi osebnih podatkov je priporočljivo preveriti:
- ali je pogodbeni partner res obdelovalec,
- katere osebne podatke obdeluje,
- za kakšen namen jih obdeluje,
- kako dolgo jih obdeluje,
- kje se podatki hranijo,
- ali uporablja podobdelovalce,
- kateri varnostni ukrepi so dogovorjeni,
- kaj se zgodi s podatki po koncu sodelovanja,
- ali je pogodba skladna z glavno poslovno pogodbo.
- Če podjetje teh vprašanj ne preveri, lahko prevzame tveganja, ki jih v pogodbi sploh ni želelo sprejeti.
Pogosta vprašanja
Ali vsako podjetje potrebuje pogodbo o obdelavi osebnih podatkov
Ne. Potrebna je takrat, ko zunanji izvajalec osebne podatke obdeluje v imenu podjetja. Če pogodbeni partner sam določa namen in sredstva obdelave, razmerje praviloma ni razmerje upravljavec - obdelovalec.
Ali je dovolj, da pogodba vsebuje stavek “stranki ravnata skladno z GDPR”
Ne. Takšna določba je običajno premalo konkretna. Pogodba mora urediti vsebino obdelave, obveznosti obdelovalca, varnostne ukrepe, podobdelovalce, pomoč upravljavcu, dokazovanje skladnosti ter vračilo ali izbris podatkov po koncu sodelovanja.
Ali mora biti pogodba pisna
Da. GDPR določa, da je pogodba ali drug pravni akt v pisni obliki, vključno z elektronsko obliko.
Ali mora podjetje preveriti podobdelovalce
Da. Če obdelovalec uporablja podobdelovalce, mora biti to ustrezno urejeno, upravljavec pa mora imeti pregled nad tem, kdo sodeluje pri obdelavi osebnih podatkov.
