Skupno upravljavstvo po GDPR

Pojem skupnega upravljavstva

Zelo kmalu prihajajoča Splošna Uredba o varstvu osebnih podatkov 2016/679 (General Data Protection Regulation, v nadaljevanju: GDPR) v 26. členu ureja institut skupnega upravljavstva. Predmetni pravni institut je bil sicer mogoč že na podlagi Evropske direktive o varstvu osebnih podatkov (95/46/ES), vendar v tem EU pravnem aktu ni bil podrobno opredeljen in je igral na prostoru EU izredno zanemarljivo vlogo (tudi Zakon o varstvu osebnih podatkov ga izrecno ne omenja). Edino francoski nadzorni organ za varstvo osebnih podatkov (La Commission nationale de l’informatique et des libertés) je leta 2012 v svojem priporočilu upravljavcem v zvezi s shranjevanjem podatkov pri ponudnikih oblačnih storitev (cloud computing) izrecno omenil možnost uvedbe instituta skupnega upravljavstva in je v tem poročilu tudi objavil predlog klavzul glede pogodbe o skupnem upravljavstvu (https://www.cnil.fr/sites/default/files/typo/document/Recommandations_pour_les_entreprises_qui_envisagent_de_souscrire_a_des_services_de_Cloud.pdf). Zato bo imela izrecna ureditev instituta skupnega upravljavstva v GDPR pomembne posledice za poslovno prakso v EU in Sloveniji.

Na dejanski obstoj skupnega upravljavstva so v bodoče vezane precejšnje obveze katerih neupoštevanje se lahko kaznuje z milijonskimi denarnimi sankcijami (a. točka četrtega odstavka 83. člena GDPR).

Skladno s prvim odstavkom 26. člena GDPR se osebe, ki skupno določajo namene in sredstva obdelave štejejo za skupne upravljavce. Predmetna definicija posledično izhaja iz sedmega odstavka 4. člena GDPR po kateri je upravljavec tisti, ki sam ali skupaj z drugimi določa namene in sredstva obdelave.

Nobenih privilegijev glede skupnega upravljavstva

Dejanski obstoj instituta skupnega upravljavstva ne pomeni avtomatično upravičenja za obdelavo osebnih podatkov. Pomeni zgolj razdelitev GDPR relevantnih obveznosti med konkretne skupne upravljavce. 26. člen GDPR zato ne pomeni niti pravne podlage za obdelavo osebnih podatkov s strani več upravljavcev, niti pravna podlaga ni potrebna, da več upravljavcev skupno sodeluje pri obdelavi osebnih podatkov. Zato vsak posamezni upravljavec, ki obdeluje osebne podatke v okviru skupnega upravljavstva, potrebuje za predmetno obdelavo lastno oz. samostojno pravno podlago skladno s prvim odstavkom 6. člena GDPR oz. drugim odstavkom 9. člena GPDR, če se obdelujejo posebne vrste osebnih podatkov.

Skupni upravljavci so tudi med seboj prejemniki podatkov v smislu devetega odstavka 4. člena GDPR in so tako lahko zavezanci glede informacijskih dolžnosti (13. in 14. člen GDPR). Prenos osebnih podatkov med skupnimi upravljavci se šteje za samostojni proces obdelave osebnih podatkov v smislu drugega odstavka 4. člena GDPR in zato kot takšen potrebuje določeno pravno podlago. Če tako pravno podlago za obdelavo osebnih podatkov s strani več skupnih upravljavcev predstavlja soglasje posameznika (a. točka prvega odstavka 6. člena GDPR), mora tovrstno soglasje nedvomno obsegati obdelavo s strani vseh vključenih skupnih upravljavcev in znotraj tega tudi soglasje za vse potrebne prenose osebnih podatkov na druge udeležene skupne upravljavce. V primeru, da predstavlja prenos osebnih podatkov na drugega udeleženega skupnega upravljavca spremembo namena obdelave, se mora tudi skladno s četrtim odstavkom 6. člena GDPR preveriti ali je tovrstna sprememba dopustna.

Institut skupnega upravljavstva služi med drugim tudi temu, da uredi vprašanja odgovornosti v primerih ko ena oseba skupaj z najmanj eno drugo osebo določa namena in sredstva obdelave (glej WP 169 Opinion 1/2010 on the concepts of “controller” and “processor”, z dne 16. 2. 2010 str. 22, dostopno na: http://www.pdpjournals.com/docs/88016.pdf). Tako naj bi se preprečilo, da se posamezni udeleženec pri obdelavi osebnih podatkov ne more izogniti svojim obveznostim iz vidika varstva osebnih podatkov in finančnim sankcijam, ko sicer ne odloča sam o namenih in sredstvih konkretne obdelave osebnih podatkov, vendar ima poleg drugih udeležencev dejanski vpliv na namene in bistvene elemente sredstev obdelave (glej tudi Sklepni predlog Generalnega pravobranilca na Sodišču Evropske Unije v zadevi C‑210/16, točka 54) Uveljavljanje odškodninskih zahtevkov je za prizadete posameznike olajšano zaradi solidarne odgovornosti skupnih upravljavcev (tretji odstavek 26. člena GDPR).

Razmejitev od drugih oblik obdelave osebnih podatkov

Razmejiti je potrebno skupno upravljavstvo od pogodbene obdelave po 28. členu GDPR in od prenosa osebnih podatkov na upravljavca v okviru katerega udeleženci sredstev in namenov obdelave ne določajo skupno.

V Zvezni republiki Nemčiji je stroka za namene razmejitev med posameznimi oblikami obdelav osebnih podatkov uvedla pojem prenosa funkcij oz. dejavnosti (Funktionsübertragung). Predmetna nemška posebnost skladno z obstoječo nemško zakonodajo (Bundesdatenschutzgesetz, BDSG) služi za razmejitev od instituta pogodbene obdelave (Auftragsverarbeitung), saj pomeni zunanje izvajanje (outsourcing) določene funkcije / naloge, ki vključuje tudi prenos izvajanja obdelav osebnih podatkov pri katerem ima prejemnik podatkov (izvajalec) določeno polje proste presoje odločanja glede izpolnjevanja prenesenih nalog. Zadevni izvajalec se skladno z BDSG šteje za samostojnega upravljavca (t.j. ni potrebna sklenitev pogodbe o obdelovanju osebnih podatkov, ampak zgolj pogodbe o nerazkrivanju zaupnih informacij). V povezavi z institutom prenosa funkcij se v praksi skoraj nikoli ni izpostavilo vprašanje ali bi bili lahko v tem primeru podani tudi elementi skupnega upravljavstva.

Skladno z GDPR ni več prostora za institut prenosa funkcij. Navedeno sledi po eni strani iz podrobnih pravil instituta skupnega upravljavstva v 26. členu GDPR, po drugi strani pa iz tega, da bodoča zakonodaja pogodbenemu obdelovalcu v okviru njegove (izključne) vezanosti na navodila upravljavca dopušča določeno polje proste presoje glede (izbire) sredstev obdelave, kar je v določenih primerih tudi (neizogibna) realnost poslovnih odnosov (npr. v primeru ponudnikov oblačnih storitev). Tako lahko obdelave osebnih podatkov, ki so po obstoječi nemški zakonodaji uvrščene pod institut prenosa funkcij v bodoče opredelimo (v odvisnosti od okoliščin konkretnega primera) kot pogodbeno obdelavo, skupno upravljavstvo ali kot „normalen‟ prenos na drugega samostojnega upravljavca (t.j. ne gre za prenos v okviru skupnega upravljavstva). Katera oblika obdelave osebnih podatkov je podana se bo v praksi presojalo predvsem na podlagi tega kdo odloča o namenih in (najmanj) o ključnih elementih sredstev obdelave.

Skupno odločanje o namenih in sredstvih obdelave

Skupno odločanje o namenih in sredstvih obdelave predpostavlja, da ima vsak od udeležencev določen dejanski vpliv na obdelavo osebnih podatkov. Določen vpliv se izraža na način, da pri različnih namenih, ki jih zasledujejo posamezni upravljavci, zasledovanje namena v okviru konkretne obdelave ni mogoče brez (sodelovanja) drugih udeležencev. Določen vpliv pa ne zahteva, da bi moral vsak od udeležencev imeti popoln nadzor nad vsem okoliščinami in fazami konkretne obdelave. Tudi ni zahtevan enakovreden nadzor s strani vseh udeležencev. Zato lahko udeležba (skupnih) upravljavcev pri določanju namenov in sredstev konkretne obdelave zavzame zelo različne oblike in ni nujno, da ima vsak od teh upravljavcev pri tem enakovredno vlogo. Obstoj skupnega upravljavstva tudi ne pomeni nujno enakovredno porazdeljene odgovornosti. Tako so lahko posamezni skupni upravljavci vključeni v različne posamezne faze konkretne obdelave osebnih podatkov in v različnem obsegu.

Mogoče je, da so udeleženi obdelovalci osebnih podatkov skupni upravljavci samo pri posameznih fazah obdelave osebnih podatkov, npr. pri zbiranju osebnih podatkov. Katero vlogo prevzame vsak od teh udeležencev pri vsaki konkretni obdelavi in kako je pri tem porazdeljena odgovornost med slednjimi je potrebno natančno določiti v pogodbi skladno s prvim odstavkom 26. člena GDPR.

Tako sta lahko npr. ponudnik IT aplikacije ali platforme in podjetje, ki uporablja predmetne IT rešitve skupna upravljavca pri pridobivanju osebnih podatkov končnih uporabnikov, še posebno v primeru ko zadevni ponudnik namerava obdelovati te podatke (tudi) za lastne namene in je zaradi tega vnaprej določil konkretne namene uporabe. Udeleženci morajo sredstva in (po potrebi različne) namene obdelave medsebojno sprejeti. Odločanje podjetja o namenih in sredstvih obdelave osebnih podatkov je podano tudi v primeru kadar slednji sprejme s strani ponudnika vnaprej opredeljena sredstva in namene obdelave (oz. se jim priključi). Ni potrebna popolna usklajenost namenov, ki jih zasledujejo posamezni udeleženci, pod pogojem, da so ti nameni med seboj tesno povezani. Golo sodelovanje več upravljavcev v okviru določene verige obdelave ne pomeni nujno, da je podan institut skupnega upravljavstva, ampak gre lahko (tudi) za prenose podatkov med samostojnimi upravljavci (WP 169, str. 19).

Skupno upravljavstvo pa ni možno na način, da se udeleženec priključi že obstoječi (posamični ali skupni) obdelavi za pretekla obdobja (oz. za že obstoječe namene in sredstva obdelave). Za bodoče obdelavo pa se lahko priključijo novi (skupni) upravljavci pod pogojem, da vsi (obstoječi in bodoči) udeleženci iz vidika prihodnosti skupno določajo namena in sredstva obdelave. V tem primeru morajo biti posamezniki na novo obveščeni skladno z drugim odstavkom 26. člena oz. tretjim odstavkom 13. člena GDPR.

S strani udeleženca izbran naziv oblike obdelave ali morebitni pogodbeni dogovori služijo zgolj kot indic glede dejanske delitve vlog pri konkretni obdelavi osebnih podatkov (glej WP 169, str. 14, Sklepni predlog Generalnega pravobranilca na Sodišču Evropske Unije v zadevi C‑210/16, točka 60).

Skupno upravljavstvo je lahko podano tudi v primerih v katerih udeleženci svoje razmerje opredelijo kot razmerje pogodbene obdelave, vendar se nameni in sredstva obdelave določajo (tudi) izven organizacijske sfere „naročnika.‟

Skupno upravljavstvo je lahko nadalje podano tudi v primerih, ko so posamezni udeleženci ločeno odgovorni za posamezne faze oz. dele obdelave, vendar se podatki obdelujejo na skupni platformi (glej WP 169, str. 21). Skupno upravljavstvo je tako omejeno zgolj na delovanje platforme. Za ločena področja odgovornosti mora platforma sama ustrezno ločiti med posameznimi samostojnimi (potem ne več skupnimi) upravljavci.

Posebne obveznosti skupnih upravljavcev

  1. člen GDPR določa posebne obveznosti skupnim upravljavcem, ki presegajo obveznosti, ki jih za vsakega posameznega upravljavca določa zadevna zakonodaja. S tem naj se bi se izboljšala preglednost in izvrševanje pravic prizadetih posameznikov.

Skupna upravljavca morata skleniti sporazum v katerem na pregleden način določita, kateri od njih je odgovoren za izpolnjevanje relevantnih GDPR obveznosti, še posebno obveznosti glede izpolnjevanja pravic posameznikov in informacijskih dolžnosti iz 13. in 14. člena GDPR. Predmeten sporazum mora ustrezno odražati dejanska razmerja skupnih upravljavcev do prizadetih posameznikov in bistvene vsebine sporazuma morajo biti dane na razpolago prizadetim posameznikom, npr. z objavo na spletni strani upravljavcev (glej recital 58 GDPR). Dajanje na razpolago bistvenih vsebin pogodbe nadomešča informacijske dolžnosti skupnih upravljavcev iz 13. in 14. člena GDPR. Bistvene vsebine sporazuma v praksi pomenijo, da je potrebno prizadetim posameznikom dati na razpolago pregleden opis medsebojnih odnosov udeležencev in odnos vsakega od udeležencev do prizadetih posameznikov, tako kot tudi informacijo kdo od skupnih upravljavcev je odgovoren za izpolnjevanje posameznih pravic posameznikov in informacijskih dolžnosti. Neodvisno od porazdelitve obveznosti skupnih upravljavcev v sporazumu, lahko prizadeti posamezniki kljub temu uveljavljajo svoje pravice proti vsakemu od skupnih upravljavcev (tretji odstavek 26. člena GDPR). Dobro in pregledno urejen pogodbeni odnos med vsakokratnimi skupnimi upravljavci je tako tudi interesu slednjih zaradi razjasnitve porazdelitve (odškodninske in prekrškovne) odgovornosti v njihovih notranjih razmerjih.

Ali udeleženci sklenejo sporazum, ki ustreza zahtevam 26. člena GDPR ne vpliva na to ali je podano skupno upravljavstvo, saj je slednje odvisno od (dejanskih) kriterijev opisanih v prejšnjih poglavjih.

Obstoj razmerja skupnega upravljavstva brez sklenitve ustreznega sporazuma pa lahko pomeni kršitev določb GDPR (a. točka četrtega odstavka 83. člena).

Druge posebnosti

V primeru obstoja elementov skupnega upravljavstva je potrebno opozoriti še na naslednje posebnosti glede področij urejanja GDPR:

Vsak od skupnih upravljavcev odgovarja za celotno povzročeno škodo (četrti odstavek 82. člena GDPR v povezavi s prvim stavkom drugega odstavka istega člena), v kolikor ne dokaže nasprotno (tretji odstavek 82. člena GDPR).

Skupni upravljavci odgovarjajo solidarno tudi brez sklenitve sporazuma iz prvega odstavka 26. člena GDPR, vendar sklenitev sporazuma pomaga pri razjasnitvi odgovornosti v njihovih notranjih razmerjih skladno s petim odstavkom 82. člena GDPR.

Primeri skupnega upravljavstva praviloma vodijo do povečanja tveganj za pravice in svoboščine prizadetih posameznikov, zato se priporoča skladno s 35. členom GDPR pred (dejansko) vzpostavitvijo teh razmerij med drugim izvedba ocene učinka v zvezi z varstvom podatkov (privacy impact assessment).

Primeri uporabe

Skupno upravljavstvo zaradi kompleksnosti sodobnih procesov obdelave podatkov lahko pride v poštev v izredno različnih oblikah. Ni mogoče navesti izključnega seznama tovrstnih obdelav, saj je potrebna pri tem določena mera fleksibilnosti, da bi se zagotovilo učinkovito varstvo pravic in svoboščin posameznikov. V nadaljevanju bodo zato predstavljeni zgolj nekateri praktični primeri pri katerih so lahko podani elementi zadevnega instituta:

  • klinična preizkušanja zdravil, kjer več deležnikov (npr. sponzorji, fakultete, zdravniki) odloča o obdelavi podatkov, vendar vsak samostojno za svoje strokovno področje sicer enotne raziskave,
  • skupno upravljanje določenih kategorij podatkov (npr. matičnih podatkov) za določene sočasne poslovne procese več družb koncerna,
  • skupna ureditev določene infrastrukture na kateri vsak od udeležencev zasleduje svoje individualne namene (npr. skupno upravljanje internetne platforme za rezervacije s strani letalske družbe, potovalne agencije ter hotelske družbe,
  • vladni spletni portal na katerem posamezni državni organi za državljane shranjujejo dokumente na poziv; upravitelj portala in vsakokratni državni organ sta skupna upravljavca (WP 169, primer 11),
  • ponudnik kadrovskih storitev, ki išče za delodajalca X ustrezne kadre in pri tem obdeluje za lastne namene (t.j. za namene, ki se ne nanašajo na razpisana delovna mesta pri slednjem) tudi prošnje kandidatov, ki mu jih pošilja delodajalec X (WP 169, primer 6),
  • skupna informacijska baza več upravljavcev (npr. bank) glede zamud dolžnikov za katere so bila aktivirana jamstva (defaulting debtors) (WP 169, primer 13)).

Če želite pridobiti nadaljnje koristne informacije glede vidikov skupnega upravljavstva v zvezi z vašimi konkretnimi poslovnim primeri ali druge relevantne informacije v zvezi s področjem prava varstva osebnih podatkov, prosim kontaktirajte našo ekipo na email info@itlaw-vsj.si.

By Urban Kryštufek

Leave a Reply

Your email address will not be published.