Pravni vidikiobdelave osebnih podatkov

6 naročnikov

Zadnje case razmisljam in tuhtam o shranjevanju osebnih podatkov.

Problem vidim, ker je zakon napisan splosno, glede prakse pa sele v zadnjih casih Musarjeva bolj aktivno daje pripombe, nekaj pa je razsodila tudi ze EU s svojimi direktivami.

Zakon je tukaj:ZVOP-1-UPB1 (precisceno besedilo)

Kljucna stvar IMO je 6. clen, 3.odstavek ki pravi tole:
3. Obdelava osebnih podatkov – pomeni kakršnokoli delovanje ali niz delovanj, ki se izvaja v zvezi z osebnimi podatki, ki so avtomatizirano obdelani ali ki so pri ročni obdelavi del zbirke osebnih podatkov ali so namenjeni vključitvi v zbirko osebnih podatkov, zlasti zbiranje, pridobivanje, vpis, urejanje, shranjevanje, prilagajanje ali spreminjanje, priklicanje, vpogled, uporaba, razkritje s prenosom, sporočanje, širjenje ali drugo dajanje na razpolago, razvrstitev ali povezovanje, blokiranje, anonimiziranje, izbris ali uničenje; obdelava je lahko ročna ali avtomatizirana (sredstva obdelave).
Torej, karkoli pocnes s bazo podatkov, magari jo izbrises, pase pod obdelavo osebnih podatkov, kar pomeni da se zakon aplicira.

Zanima me mnenje ljudi, ki za narocnike opravljajo tovrstne zadeve, torej ali obdelavo, ali oglasevanje ali varnostne kopije ali kaj podobnega. Kako imate to urejeno?
Primer: za narocnika naredite spletno trgovino. Stranka se ob nakupu strinja s pogoji poslovanja (POZOR! Ne s dovoljenjem za obdelavo podatkov!). Narocnik ima preko CMS moznost spreminjanja/urejanja/brisanja uporabnikov, posiljanja newslettra in podobno. Vi kot skrbnik streznikov skrbite za varnostne kopije, kamor seveda spada tudi baza.
Po zakonu ste torej "pogodbeni obdelovalec" – je fizična ali pravna oseba, ki obdeluje osebne podatke v imenu in na račun upravljavca osebnih podatkov. - pravi zakon.

Bom napisal se kaj vec, imam nekje tudi neka mnenja pooblascenke in neke pravne zadeve, mislim da bo zadeva zanimiva za marsikoga tukaj.

Izkusnje? Mnenja?

Hmm. Tole je zanimiva zadeva. Imaš slučajno kakšen povzetek zakona oziroma kaj to predstavlja za "pogodbenega obdelovalca".

Ne se.

Imam pa nekje nekaj dokumentov, ki jih moram pregledati, ce se ticejo kaj teh zadev (ena pravna mnenja, nekaj od pooblascenke, itd...).

Obe podjetji morata imeti medsebojno pogodbo o obdelavi podatkov....

Sicer so na agenciji kar prijazni in po mojih izkušnjah so zelo željni komunikacije v kolikor jim zastaviš kakšno vprašanje.

in Musarjeva zelo spodbuja te stvari in na veliko vabi, da se jih povprašuje, tako da mislim da je to najboljši način...

ZVOP-1 pogodbenega obdelovalca opredeljuje kot "fizično ali pravno osebo, ki obdeluje osebne podatke v imenu in na račun upravljavca osebnih podatkov." Glede na neverjetno široko opredelitev pojma "obdelava" (= karkoli, kar se z OP počne, pa tudi če se z njimi ne počne nič in jih imate zgolj nekje zbrane) je pogodbeni obdelovalec vsakdo, ki ima dostop do osebnih podatkov, ki so "last" (jih je zbrala, pridobila, jih uporablja) tretje osebe, naročnika.

Zakon zahteva pisno pogodbo med naročnikom in pogodbenim obdelovalcev, ki opredeljuje tudi vprašanja varstva OP. Tu se v praksi navadno zatakne. Če se za nek posel še sklene pisna pogodba, se ureditev varstva OP navadno zreducira na kak stavek v smislu "izvajalec je dolžan varovati OP, s katerimi se seznani pri naročniku". Premalo! Zakon (in praksa IP) namreč zahteva, da naročnik zagotavlja tako rekoč enako stopnjo zavarovanja OP, kot če bi jih obdeloval sam. To pomeni, da mu ne sme biti vseeno, kaj se s temi OP dogaja (češ, saj zanje ne skrbimo več mi), pač pa mora aktivno nadzirati izvajalca, kaj s temi OP počne in kako jih varuje. To pomeni denimo seznanitev izvajalca s pravili, ki pri naročniku veljajo glede zavarovanja OP lai preveritev in potrditev izvajalčevih pravil glede varovanja OP, ukrepanje v primeru kršitev, občasni pregledi pri izvajalcu, opredelitev dolžnosti vrnitve in izbrisa OP po prenehanju pogodbenega razmerja, ki je podlaga za pogodbeno obdelavo, in podobno.

Po ZVOP-1 je sklenitev pisne pogodbe sicer obveznost naročnika in ne izvajalca/pogodbenega obdelovalca, vendar pa je verjetno stvar poslovne solidnosti in ugleda, da izvajalec naročnika na takšno dolžnost opozori.

Po naših opažanjih pogodbe, ki bi vsebovale vse elemente glede varovanja OP, v praksi niso ravno pravilo, čeprav se zavedanje počasi dviguje tudi na tem področju.