Pogosto je težko določiti, kdo je v dani situaciji obdelovalec in kdo skupni upravljavec, zlasti kadar gre za t.i. konvergenčne odločitve. V tem članku si bomo podrobneje ogledali obe vlogi ter pregledali nedavna spoznanja in nove ideje na to temo.
Upravljavec
Vloga, ki ji je po Splošni uredbi o varstvu podatkov (GDPR) naložena ključna odgovornost, je vloga upravljavca, ki ga GDPR opredeljuje kot fizično ali pravno osebo, javni organ, agencijo ali drug organ, ki določa namen in sredstva obdelave osebnih podatkov. Kar preprosto povedano pomeni, da je upravljavec tista stranka, ki odloča, zakaj bodo osebni podatki obdelani in kako bo ta obdelava izvedena. Posledično je upravljavec tisti, ki je odgovoren za natančno in zakonito obdelavo osebnih podatkov.
Skupni upravljavci
Zgoraj omenjeno odgovornost si lahko delijo tudi skupni upravljavci. Koncept deljene oziroma solidarne odgovornosti za postopke obdelave ni nič novega, toda z uvedbo GDPR so nova in posebna pravila vezana na situacije, v katerih dve ali več strank skupaj določita namene in načine obdelave (26. člen GDPR). Zato je Evropski odbor za varstvo podatkov (EDPB) v svojih nedavnih (predlaganih) smernicah zelo podrobno razpravljal o konceptu in predlagal idejo, da je skupna odgovornost lahko rezultat skupne odločitve, pa tudi konvergenčnih odločitev dveh ali več strank, kot izhaja iz treh nedavnih primerov, ki jih je obravnavalo Sodišče Evropske unije.
Odločitve se lahko štejejo za konvergenčne, kadar se medsebojno dopolnjujejo in so potrebne, da obdelava poteka tako, da ima opazen vpliv na določitev namenov in sredstev obdelave. V tem okviru je treba odgovoriti na eno pomembno vprašanje, in sicer ali bi bila obdelava mogoča brez sodelovanja obeh strank v smislu, da je obdelava s strani obeh neločljivo povezana. Z drugimi besedami, ali so dejavnosti obdelave, ki jih izvaja vsaka od obeh strani, neločljivo povezane. Tak primer predstavlja zadeva Fashion ID, spletna trgovina, ki upravlja spletno mesto z integriranim vtičnikom Facebook. Njihov gumb »všeč mi je« je namreč sprožil prenos osebnih podatkov na Facebook, tudi če obiskovalci spletnega mesta dejansko niso kliknili gumba za vtičnik.
V tem primeru je Sodišče Evropske unije razsodilo, da se Fashion ID in Facebook štejeta za skupna upravljavca za zbiranje in prenos osebnih podatkov na Facebook, ker je Fashion ID z vključitvijo gumba na svojem spletnem mestu odločilno vplival na obdelavo osebnih podatkov v imenu Facebooka, hkrati pa služil svojim ekonomskim interesom. Da bi Fashion ID lahko bil kvalificiran kot upravljavec, ni bilo potrebno, da bi dejansko imel dostop do osebnih podatkov.
Obdelovalec
Pomembno je, da se položaj skupne odgovornosti za postopke obdelave na podlagi konvergenčnih odločitev odločno razlikuje od situacij, ki vključujejo vlogo obdelovalca, pri čemer je slednji stranka, ki obdeluje osebne podatke v imenu upravljavca in ne za lastne namene. Preprost primer bi bila spletna trgovina (v tem primeru upravljavec), ki vključuje storitve ponudnika za gostovanje njegove spletne strani (kjer je ponudnik gostovanja obdelovalec).
Člen 28 GDPR določa, da mora razmerje med upravljavcem in obdelovalcem urejati pogodba ali drug pravni akt. Z drugimi besedami, treba je skleniti sporazum, pogodbo z obdelovalcem, ki na primer določa, kaj obdelovalec sme in česa ne sme početi z osebnimi podatki, ki mu jih posreduje upravljavec, za katere namene se ti podatki zagotavljajo in kateri varnostni ukrepi so vzpostavljeni za zaščito podatkov.
Slovenski Informacijski pooblaščenec je za pomoč v svojih Smernicah o pogodbeni obdelavi izpostavil tri glavne kriterije, po katerih se določa, ali je določena oseba upravljavec ali obdelovalec. Nekdanja Delovna skupina 29 je v svojem mnenju 1/2010 o pojmih »upravljavec« in »obdelovalec« zapisala tudi dva logična pogoja: »Da se subjekt lahko opredeli za obdelovalca, mora izpolnjevati dva temeljna pogoja, in sicer mora biti od upravljavca ločena pravna oseba in osebne podatke obdelovati v njegovem imenu.« Takšna pogoja seveda obstajata tudi v GDPR. Za obdelovalca se tako po mnenju Informacijskega pooblaščenca štejejo osebe, ki obdelavo osebnih podatkov izvršujejo:
a) izključno v imenu in za račun upravljavca osebnih podatkov, glej tudi mnenje Delovne skupine 29 št. 1/2010 o pojmih »upravljavec« in »obdelovalec«: »Najpomembnejši element je zahteva, da obdelovalec deluje ‘v imenu upravljavca’. Izraz ‘delovati v imenu’ pomeni zastopati interes nekoga drugega in spominja na pravni pojem ‘prenos’.«
b) bo pri tem črpala podlago za obdelavo osebnih podatkov iz upravičenj upravljavca ter
c) bo v zvezi s samimi dejanji obdelave vezana na navodila upravljavca.
Pri določanju gornjih kriterijev si lahko pomagamo tudi z dopolnilnimi vprašanji Informacijskega pooblaščenca, ki jih je treba obravnavati skupaj:
a) Ali subjekt lahko sam določa namen in sredstva obdelave osebnih podatkov?
b) Ali je upravljavec zbirke osebnih podatkov subjektu poveril v izvajanje opravila obdelave, ki bi jih sicer lahko izvajal upravljavec sam?
c) Kakšna je intenzivnost obdelave, vezanost na navodila in nadzor upravljavca nad dejanji subjekta?
d) Ali ima subjekt zakonska pooblastila oziroma pravno podlago, ki bi ga deloma ali v celoti postavila za upravljavca v zvezi z osebnimi podatki upravljavca?
e) Ali je primarni namen najema storitev subjekta katero od dejanj obdelave osebnih podatkov (npr. hramba) ali pa je obdelava osebnih podatkov zgolj posledica najetja storitve subjekta?
Šteti pa je treba, da je skupni upravljavec tisti, ki z drugim skupaj določi vsaj namene obdelave, četudi je izbira sredstev obdelave prepuščena samostojni izbiri vsakega od upravljavcev (sredstev torej ne določijo skupaj, ampak jih določi vsak zase). V tem kontekstu je Sodišče EU odločilo, da je treba točko (d) 2. člena Direktive 95/46/ES »razlagati tako, da omogoča, da se verska skupnost skupaj s svojimi oznanjevalci šteje za upravljavca osebnih podatkov, ki jih oznanjevalci obdelujejo med oznanjevanjem od vrat do vrat, ki ga ta skupnost organizira, usklajuje in spodbuja, pri čemer ni potrebno, da ima ta skupnost dostop do teh podatkov, niti ni treba dokazati, da je svojim članom dala pisne smernice ali navodila v zvezi s to obdelavo.« (Sodba Sodišča EU (veliki senat) z dne 10. 7. 2018 v zadevi Tietosuojavaltuutettu, ob udeležbi Jehovan todistajat – uskonnollinen yhdyskunta (zadeva št. C-25/17); 3. točka izreka.)
Oktobra 2020 je nizozemski organ za varstvo podatkov Autoriteit Persoonsgegevens izvedel pregled pogodb z obdelovalci, ki se običajno uporabljajo v zasebnem sektorju (trgovina, zdravstvo, mediji, prosti čas in energetika), da bi dobil boljšo predstavo o tem, kako točno so ti sporazumi videti in kakšna je njihova vsebina. Kot se je izkazalo, obstajajo velike razlike v pogodbah, ki se uporabljajo v teh različnih vejah. To je v skladu z zgoraj omenjenimi (predlaganimi) smernicami EDPB, v katerih je poudarjeno, da čeprav GDPR omenja jasne zahteve glede tega, kaj je treba vključiti v te pogodbe, je ključno, da pogodba ureja realna in obstoječa vprašanja strank v okviru praktičnih okoliščin. Kar pomeni tudi, da je treba sporazume z obdelovalci redno pregledovati in po potrebi spreminjati. Biti skupni upravljavec zahteva torej nekaj napora in skupnega dela.
Vir za nekatere dele članka: The PrivacyForum
Foto: RawPixel
Pripravila: Katarina Emeršič Polić