Varstvo osebnih podatkov in njihova obdelava po zunanjem sodelavcu

Različna podjetja pri svojem poslovanju pridobivajo velike količine osebnih podatkov, ki jih analizirajo za potrebe svojega poslovanja. Postavlja se vprašanje, kaj se zgodi s temi osebnimi podatki oziroma, kaj podjetje stori, da osebne podatke ustrezno zavaruje in ne dopusti, da bi do njih prišle nepooblaščene osebe. Običajno za varstvo osebnih podatkov, katere določeno podjetje obdeluje, skrbi podjetje samo, vse večkrat pa se zgodi, da podjetje podeli skrb za osebne podatke zunanjemu podjetju, ki je registriran za opravljanje takšne dejavnosti in izpolnjuje pogoje, kot jih določa Zakon o varovanju osebnih podatkov. V Republiki Sloveniji je krovni predpis na področju varovanja osebnih podatkov Zakon o varovanju osebnih podatkov, ki je v osnovni verziji (ZVOP) začel veljati že v letu 1999, nato pa je zakon v bistvenem spremenjen leta 2007. Zgodovinsko gledano, so se prve potrebe po zaščiti zasebnosti ljudi pojavile zaradi različnih žalitev, napadov, prisluškovanj in podobno. Razlog, da se je ta pravica pričela pozno uveljavljati in izvajati v pravnih sistemih pa je v tem, da so večino modernih kršitev zasebnosti, kot so prisluškovanje pogovorom prek telefonov, mikrofonov in elektronskih ojačevalcev, zbiranje, shranjevanje in iskanje informacij z video kamerami, računalniki in podobno,  začele omogočati šele nove tehnologije. Pred njihovimi iznajdbami je bil posameznik lahko utemeljeno prepričan, da mu v zasebnem prostoru ni mogoče prisluškovati.

Različna podjetja pri svojem poslovanju pridobivajo velike količine osebnih podatkov, ki jih analizirajo za potrebe svojega poslovanja. Postavlja se vprašanje, kaj se zgodi s temi osebnimi podatki oziroma, kaj podjetje stori, da osebne podatke ustrezno zavaruje in ne dopusti, da bi do njih prišle nepooblaščene osebe. Običajno za varstvo osebnih podatkov, katere določeno podjetje obdeluje, skrbi podjetje samo, vse večkrat pa se zgodi, da podjetje podeli skrb za osebne podatke zunanjemu podjetju, ki je registriran za opravljanje takšne dejavnosti in izpolnjuje pogoje, kot jih določa Zakon o varovanju osebnih podatkov. V Republiki Sloveniji je krovni predpis na področju varovanja osebnih podatkov Zakon o varovanju osebnih podatkov, ki je v osnovni verziji (ZVOP) začel veljati že v letu 1999, nato pa je zakon v bistvenem spremenjen leta 2007. Zgodovinsko gledano, so se prve potrebe po zaščiti zasebnosti ljudi pojavile zaradi različnih žalitev, napadov, prisluškovanj in podobno. Razlog, da se je ta pravica pričela pozno uveljavljati in izvajati v pravnih sistemih pa je v tem, da so večino modernih kršitev zasebnosti, kot so prisluškovanje pogovorom prek telefonov, mikrofonov in elektronskih ojačevalcev, zbiranje, shranjevanje in iskanje informacij z video kamerami, računalniki in podobno,  začele omogočati šele nove tehnologije. Pred njihovimi iznajdbami je bil posameznik lahko utemeljeno prepričan, da mu v zasebnem prostoru ni mogoče prisluškovati.

S pravili Zakona o varovanju osebnih podatkov (ZVOP-1) so v aktualnem času določene pravice, obveznosti, načela in ukrepi, s katerimi se preprečujejo neustavni, nezakoniti in neupravičeni posegi v zasebnost in dostojanstvo posameznikov pri obdelavi osebnih podatkov. Osebni podatek je po 1. točki 6. člena ZVOP-1 katerikoli podatek, ki se nanaša na posameznika, ne glede na obliko, v kateri je izražen. Pri tem je posameznik opredeljen kot določena ali določljiva oseba, na katero se nanaša osebni podatek; fizična oseba je določljiva, če se jo lahko neposredno ali posredno identificira (2. točka istega člena). Obdelava osebnih podatkov je v 3. točki istega člena opredeljena kot kakršnokoli delovanje ali niz delovanj, ki se izvaja v zvezi z osebnimi podatki, ki so avtomatizirano obdelani (s sredstvi informacijske tehnologije – 4. točka istega člena) ali ki so pri ročni obdelavi del zbirke osebnih podatkov ali so namenjeni vključitvi v zbirko osebnih podatkov, zlasti zbiranje, pridobivanje, vpis, urejanje, shranjevanje, prilagajanje ali spreminjanje, priklicanje, vpogled, uporaba, razkritje s prenosom, sporočanje, širjenje ali drugo dajanje na razpolago, razvrstitev ali povezovanje, blokiranje, anonimiziranje, izbris ali uničenje; obdelava je lahko ročna ali avtomatizirana (sredstva obdelave). Upravljavec osebnih podatkov pa je fizična ali pravna oseba ali druga oseba javnega ali zasebnega sektorja, ki sama ali skupaj z drugimi določa namene in sredstva obdelave osebnih podatkov oziroma oseba, določena z zakonom, ki določa tudi namene in sredstva obdelave (6. točka istega člena), uporabnik osebnih podatkov pa je fizična ali pravna oseba ali druga oseba javnega ali zasebnega sektorja, ki se ji posredujejo ali razkrijejo osebni podatki (8. točka istega člena). Osebni podatki se lahko obdelujejo le, če obdelavo osebnih podatkov in osebne podatke, ki se obdelujejo, določa zakon ali če je za obdelavo določenih osebnih podatkov podana osebna privolitev posameznika (prvi odstavek 8. člena ZVOP-1). Enako velja tudi za obdelavo osebnih podatkov v zasebnem sektorju (prvi odstavek 10. člena ZVOP-1).

V eni zadnjih odločb na to temo, je Vrhovnega sodišča na podlagi zgoraj navedenih opredelitev pojmov po ZVOP-1 opredelilo, da je podatek, ali je (oziroma ni) posameznik vpisan pri določeni izobraževalni instituciji kot njen diplomant, podatek, ki se neposredno nanaša prav na posameznika kot na točno določeno fizično osebo, zato je ta podatek brez dvoma osebni podatek. V konkretnem primeru je točno ta podatek zahteval odvetnik, ki je zastopal drug subjekt, ki je podatek o posamezniku potreboval. Nastal je spor o tem, ali je odvetnik s tem, ko je pridobil posameznikov osebni podatek glede izobrazbe, postal tudi upravljalec baze osebnih podatkov. Vrhovno sodišče RS je na to pomembno pravno vprašanje na podlagi v 13. točki obrazložitve te sodbe opredeljenih pojmov iz ZVOP-1 odgovorilo, da v konkretnem primeru odvetnik s pridobitvijo posameznikovega osebnega podatka tega ni obdeloval v smislu določb ZVOP-1. Ta posamezen podatek namreč ni bil avtomatizirano obdelan, pri ročni obdelavi ni bil del zbirke osebnih podatkov niti ni bil namenjen vključitvi v zbirko osebnih podatkov (3. točka 6. člena ZVOP-1).

Nasprotno pa mnoga podjetja pridobljene osebne podatke hranijo in jih obdelujejo, saj jim to pomaga pri poslovnih odločitvah, kar pomeni, da so upravljalci osebnih podatkov. Podjetja običajno dobijo podatke od strank samih, saj jih le-te kar same pošljejo. Pravila ZVOP-1 sicer določajo, da se osebni podatki lahko obdelujejo le, če obdelavo osebnih podatkov in osebne podatke, ki se obdelujejo, določa zakon ali če je za obdelavo določenih osebnih podatkov podana osebna privolitev posameznika. Namen obdelave osebnih podatkov mora biti določen v zakonu, v primeru obdelave na podlagi osebne privolitve posameznika pa mora biti posameznik predhodno pisno ali na drug ustrezen način seznanjen z namenom obdelave osebnih podatkov.

Na žalost se večkrat zgodi, da stranke brez, da bi se zavedale, da s svojim ravnanjem pošiljajo pomembne osebne podatke različnim podjetjem. To se sicer ne bi smelo dogajati, vendar pa so ljudje glede oddajanja svojih osebnih podatkov precej malomarni. Podjetja se pred očitkom, da nezakonito sprejemajo in obdelujejo osebne podatke zaščitijo na način, da posameznikom, preden slednji oddajo svoje osebne podatke, predočijo izjavo, s podpisom katere podajo soglasje k temu, da se njihovi osebni podatki shranijo in obdelujejo. Takšne izjave so običajno v obliki drobnega tiska, katerega posamezniki redko preberejo, preden izjavo podpišejo ali jo obkljukajo (na internetu).

Podjetja je zavarujejo tudi s posebno izjavo o varovanju osebnih podatkov, s katero se obvežejo, da spoštujejo zasebnost vsakogar, ki jim odda svoje osebne podatke. S takšno izjavo se posameznike želi seznaniti, katere podatke se zbira in kako se uporabljajo. Iz izjave se da izvedeti tudi, kako lahko posameznik preveri točnost teh informacij in na kakšen način poda zahtevo, da to podjetje njegove podatki izbriše. S izjavo o varovanju osebnih podatkov podjetje zagotovi, da se pridobivanje, obdelava in uporaba podatkov izvajajo v skladu z zakonskimi določili o varstvu osebnih podatkov.

Dejstvo je, da sme podjetje osebne podatke za namen obdelave, analize in uporabe zbirati le v primeru, če se posameznik tako prostovoljno odloči oziroma, da zato da izrecno soglasje. To hkrati pomeni, da se posameznik strinja s pogoji uporabe.

Pridobljeni podatki omogočajo podjetju, ki jih zbira, določene zaključke o posameznih strankah in njihovih navadah, ki imajo vpliv na poslovanje podjetja. Podjetje lahko takšne podatke analiza samostojno, lahko pa jih posreduje zunanjim ponudnikom storitev, v tem primeru pa mora podjetje z ustreznimi ukrepi zagotoviti, da so sprejeti tehnični in organizacijski koraki, ki zagotavljajo, da se prenos podatkov izvede v skladu z zakonskimi določili varovanja osebnih podatkov. Pogodbeni partnerji, ki imajo zaradi zagotavljanja servisnih storitev pravico dostopa do osebnih podatkov v imenu takšnega podjetja, so zavezani k varovanju teh podatkov in jih ne smejo uporabljati v druge namene.

Kadar upravljavec osebnih podatkov posamezna opravila v zvezi z obdelavo osebnih podatkov s pogodbo zaupa pogodbenemu obdelovalcu, ki je registriran za opravljanje takšne dejavnosti in zagotavlja ustrezne postopke in ukrepe v skladu z določili ZVOP-1, sta dolžna pogodbenika skleniti ustrezno pogodbo o obdelavi osebnih podatkov. Pogodbeni obdelovalec sme opravljati posamezna opravila v zvezi z obdelavo osebnih podatkov v okviru naročnikovih pooblastil in osebnih podatkov ne sme obdelovati za noben drug namen. Medsebojne pravice in obveznosti se uredijo s pogodbo, ki mora biti sklenjena v pisni obliki in mora vsebovati tudi dogovor o postopkih in ukrepih iz 24. člena tega zakona. Upravljavec osebnih podatkov mora izvajanje postopkov in ukrepov ves čas nadzorovati.

Določena so tudi stroga pravila za primer spora med upravljavcem osebnih podatkov in pogodbenim obdelovalcem. V tem primeru je dolžan pogodbeni obdelovalec na podlagi zahteve upravljavca osebne podatke, ki jih je pogodbeno obdeloval, nemudoma vrniti upravljavcu, morebitne kopije teh podatkov pa takoj uničiti ali jih posredovati državnemu organu, ki je v skladu z zakonom pristojen za odkrivanje ali pregon kaznivih dejanj, sodišču ali drugemu državnemu organu, če tako določa zakon.
Kljub temu, da je na to temo zelo malo sodne prakse, je pomembna odločba Upravnega sodišča RS iz leta 2008, ki potrdi, da je obdelava osebnih podatkov zaposlenih v zasebnem sektorju načeloma potrebna za izpolnjevanje pogodb o zaposlitvi. V kontekst shranjevanja in obdelave osebnih podatkov v zvezi z urejanjem delovnih razmerij spada tudi obdelava osebnih podatkov za namen kontrole bolniškega staleža zaposlenih v zasebnem sektorju. V tem smislu bi si lahko bili v nasprotju določila ZVOP-1 in specialna določba 48. člena Zakona o delovnih razmerjih (ZDR-1) pravi, da osebne podatke delavcev lahko zbira, obdeluje, uporablja, in dostavlja tretjim osebam samo delodajalec ali delavec, ki ga delodajalec za to posebej pooblasti. Striktna razlaga tega določila bi pomenila, da če delodajalec sam ne izvaja obdelave osebnih podatkov zaposlenih, za to dejavnost lahko pooblasti zgolj delavca, ki je pri delodajalcu zaposlen.

Po mnenju Upravnega sodišča bi takšna razlaga nesorazmerno posegla v pravico do svobodne gospodarske pobude podjetij (74. člen Ustave) in ker je predpis s področja varstva osebnih podatkov (ZVOP-1) v določilu 1. odstavka 11. člena predvidel možnost, da upravljavec osebnih podatkov posamezna opravila v zvezi z obdelavo osebnih podatkov s pogodbo zaupa pogodbenemu obdelovalcu, si ta navedena pravna predpisa nista v nasprotju, temveč se pojem “delavec” iz ZDR-1 ne uporablja ozko v smislu osebe, ki je zaposlena pri delodajalcu, temveč velja to tudi za osebo, ki ni zaposlena pri delodajalcu – upravljavcu osebnih podatkov.

Določilo 1. odstavka 11. člena ZVOP-1 pravi, da upravljavec osebnih podatkov lahko posamezna opravila v zvezi z obdelavo osebnih podatkov s pogodbo zaupa pogodbenemu obdelovalcu, ki je registriran za opravljanje takšne dejavnosti in zagotavlja ustrezne postopke in ukrepe iz 24. člena tega zakona. Pojma “registracije” za opravljanje dejavnosti ni mogoče razlagati kot (sinonim za) “licenco” za opravljanje dejavnosti, ker gre po naravi stvari pri licencah navadno za to, da mora oseba izpolnjevati posebne pogoje, ki jih registracija ne zahteva.

Delodajalec, ki je imel težave z zaposlenim, ki je (očitno) zlorabljal pravico do zadržanosti z dela zaradi bolezni, je angažiral detektiva, ki je imel nalogo preveriti upravičenost razlogov za izkoriščanje pravice do zadržanosti z dela zaradi bolezni. Nesporno je detektivom dovoljeno pridobivati informacije od oseb, na katero se podatki nanašajo, lahko pa tudi od drugih oseb, ki imajo podatke in so jih pripravljeni dati prostovoljno, in iz sredstev javnega obveščanja, tudi o zlorabah pravice do zadržanosti z dela zaradi bolezni. Pa vendar se je postavilo vprašanje, ali detektiv to pa lahko počne v smislu določil ZVOP-1.

Upravno sodišče je v prej navedeni sodbi poudarilo, da je bistveno – z vidika varstva osebnih podatkov posameznikov, da mora vsak, ki se ukvarja s to dejavnostjo tudi, če ni detektiv, upoštevati določbe ZVOP-1. Končna odločitev sodišča je torej bila, da ni potrebno, da je pogodbeni obdelovalec osebnih podatkov detektiv oziroma da mora imeti ustrezno licenco, vendar pa mora izpolnjevati pogoje iz 24. člena ZVOP-1, da se mu ne more očitati, da nezakonito obdeluje osebne podatke na podlagi pogodbe s posameznimi podjetji oziroma organizacijami.

Sodišče je v isti sodbi poudarilo, da mora pogodba o obdelavi osebnih podatkov s posameznim podjetjem zelo natančno opredeliti vrsto podatkov, ki se posredujejo, obdelujejo in hranijo ter pravila glede varovanja, prenosa odgovornosti pri obdelavi osebnih podatkov, da mora iz pogodbe zelo natančno izhajati, kdo je upravljavec in kdo pogodbeni obdelovalec zbirke osebnih podatkov. V tem primeru je obdelava osebnih podatkov, četudi po zunanjem obdelovalcu, povsem zakonita.

Podjetja so precej pod nadzorom državnega organa Informacijskega pooblaščenca, ki kontrolira zbiranje osebnih podatkov. Da bi se podjetja izognila zlorabam osebnih podatkov ter posledičnim visokim globam, ki jih lahko Informacijski pooblaščenec predpiše v primeru ugotovljenih kršitev, je zelo pomembno, da izvedejo vse ukrepe, ki jih določa ZVOP-1.

V tem smislu je potrebno izdelati katalog zbirk osebnih podatkov, sprejeti izjave in pravilnike o varovanju osebnih podatkov, skleniti pogodbe za obdelavo osebnih podatkov ter zagotoviti in vzdrževati druge potrebne evidence, posameznikom – strankam omogočiti, da se seznanijo, za kaj vse se uporabljajo njihovi osebnih podatki , ter jim ponuditi, da prostovoljno podajo soglasje za obdelavo njihovih osebnih podatkov, vse z namenom zavarovanja osebnih podatkov, preprečitve njihove zlorabe oziroma onemogočitve neustavnih, nezakonitih in neupravičenih posegov v zasebnost in dostojanstvo posameznika, ter z namenom zagotovitve zakonite in poštene obdelave.*

*Članek pod avtorstvom mag. Primoža Feguša je objavila revija HR&M – strokovna revija za področja razvoja organizacij in vodenja ljudi pri delu št. 8/2017 dne 1.2.2017 z naslovom: Iz sodne prakse varstva osebnih podatkov