Upravljavec ali obdelovalec podatkov

Kdo je upravljavec podatkov?

Upravljavec podatkov določa namene in sredstva obdelave osebnih podatkov. Z drugimi besedami, upravljavec podatkov odloči, kako in zakaj poteka postopek obdelave podatkov. Upravljavec podatkov je lahko pravna oseba, na primer podjetje, MSP, javni organ, agencija ali drug organ.
V nekaterih primerih se lahko nameni in sredstva obdelave osebnih podatkov ter upravljavec določijo s pravom EU ali pravom države članice.

Kdo je skupni upravljavec?

Kadar obstajata dva ali več upravljavcev, ki skupaj določijo namen in sredstva obdelave, se štejejo za skupne upravljavce. Skupaj se odločijo za obdelavo osebnih podatkov za skupni namen. Skupno upravljanje je lahko v različnih oblikah, sodelovanje različnih upravljavcev pa je lahko neenako. Skupni upravljavci morajo zato določiti svoje odgovornosti za skladnost s Splošno uredbo o varstvu podatkov.

Kakšne so odgovornosti upravljavca ali skupnega upravljavca?

Upravljavec ali skupni upravljavci morajo pri odločanju o namenih in sredstvih obdelave osebnih podatkov zagotoviti, da so osebni podatki posameznikov zaščiteni. 

Da bi to dosegli, morajo upravljavec ali skupni upravljavci sprejeti ukrepe za zaščito osebnih podatkov in posameznikom omogočiti uveljavljanje njihovih pravic.
 

Če želite več informacij, glejte »Kontrolni seznam odgovornosti upravljavca/skupnih upravljavcev«.

Kdo je obdelovalec podatkov?

Obdelovalec deluje samo po navodilih upravljavca, tako da obdeluje osebne podatke v imenu upravljavca.
Podobno kot upravljavec podatkov ali skupni upravljavec je lahko obdelovalec podatkov pravna oseba, na primer podjetje, MSP, javni organ, agencija ali drugi organ.

Kdo je podobdelovalec?

Podobdelovalec deluje po navodilih obdelovalca, kar pomeni, da lahko obdeluje osebne podatke posameznikov v imenu obdelovalca. Podobdelovalec je lahko pravna oseba, na primer podjetje, MSP, javni organ, agencija ali drug organ.

Opozoriti je treba, da je podobdelovalec lahko imenovan le, če ga upravljavec ali skupni upravljavec pisno odobri. V tem primeru mora obdelovalec sestaviti zavezujočo pogodbo s podobdelovalcem, v kateri so podrobno navedene odgovornosti podobdelovalca. Ta pogodba med obdelovalcem in podobdelovalcem mora zagotavljati enako varstvo osebnih podatkov posameznikov kot prvotna pogodba med upravljavcem in obdelovalcem.

What are the responsibilities of a processor?

Medtem ko je na splošno odgovoren upravljavec podatkov, imajo obdelovalci podatkov tudi določene odgovornosti v skladu s Splošno uredbo o varstvu podatkov. Obdelovalci morajo postopke obdelave izvajati z ustreznimi tehničnimi in organizacijskimi ukrepi, ki jih naroči upravljavec podatkov ali skupni upravljavec. Pri tem obdelovalec pomaga upravljavcu pri izpolnjevanju obveznosti iz Splošne uredbe o varstvu podatkov.
Odnos med upravljavcem in obdelovalcem, vključno z odgovornostmi obdelovalca, mora urejati pogodba, v kateri so dokumentirani postopki obdelave in sredstva za obdelavo osebnih podatkov.

Če želite več informacij, glejte „Kontrolni seznam odgovornosti obdelovalca“.

 

Kaj vključiti v pogodbo med upravljavcem in obdelovalcem?

Pogodba med upravljavcem ali skupnim upravljavcem in obdelovalcem mora določati, da obdelovalec podatkov:

  • obdeluje osebne podatke samo po navodilih upravljavca podatkov, vključno v zvezi s prenosi osebnih podatkov v državo zunaj EGP;
  • zagotavlja, da so se osebe, pooblaščene za obdelavo podatkov, zavezale k zaupnosti ali da zanje velja ustrezna zakonska obveznost zaupnosti;
  • zagotavlja varnost obdelave;
  • brez predhodnega posebnega ali splošnega pisnega dovoljenja upravljavca podatkov, ki ima smiselno možnost nasprotovanja, ne zaposli drugega obdelovalca podatkov;
  • pomaga upravljavcu podatkov pri izpolnjevanju obveznosti upravljavca podatkov, da odgovori na zahteve posameznika za uveljavljanje njegovih pravic;
  • pomaga upravljavcu podatkov pri zavarovanju obdelave, obveščanju o kršitvah varstva podatkov in izvajanju DPIA;
  • po izbiri upravljavca podatkov izbriše ali vrne vse osebne podatke upravljavcu podatkov po koncu opravljanja storitev;
  • upravljavcu podatkov daje na voljo vse potrebne informacije za dokazovanje skladnosti z obveznostmi iz Splošne uredbe o varstvu podatkov;
  • omogoča revizije, vključno s pregledi, ki jih izvaja upravljavec podatkov ali drug revizor, ki ga pooblasti upravljavec podatkov in prispeva k njim.

Kaj vključiti v pogodbo med obdelovalcem in podobdelovalcem?

Pogodba med obdelovalcem in podobdelovalcem mora vsebovati posebne klavzule, ki zagotavljajo, da bodo osebni podatki, ki bodo obdelani, zaščiteni na enak način, kot je določeno v pogodbi med upravljavcem in obdelovalcem.

 

Kdo je komu odgovoren?

Upravljavec ali skupni upravljavec je odgovoren tako za lastno skladnost s Splošno uredbo o varstvu podatkov kot za skladnost izbranega obdelovalca. Konkretno, če obdelovalec krši svoje obveznosti iz Splošne uredbe o varstvu podatkov, bi upravljavec ali skupni upravljavec lahko odgovarjal in je tudi lahko kaznovan z globami in drugimi posledicami. 

Obdelovalec je odgovoren za lastno skladnost s Splošno uredbo o varstvu podatkov in je lahko odgovoren upravljavcu za kršitev pogodbe o obdelavi. Obdelovalec je lahko odgovoren upravljavcu tudi za kršitve, ki jih povzroči podobdelovalec. 

 

Kontrolni seznam odgovornosti

Kontrolni seznam odgovornosti upravljavca ali skupnega upravljavca

  • Skladnost z načeli varstva podatkov iz 5. člena Splošne uredbe o varstvu podatkov
  • Zagotavljanje pravic posameznikov do varstva podatkov
  • Vodenje evidenc dejavnosti obdelave
  • Zagotavljanje varnosti obdelave
  • Izbira ustreznega obdelovalca podatkov
  • Opredelitev razmerja med upravljavcem in obdelovalcem v zavezujoči pogodbi
  • Obveščanje o kršitvah varstva osebnih podatkov ustreznemu organu EGP za varstvo podatkov in posameznikom, kadar je to ustrezno
  • Odgovornost za postopke obdelave, izvajanje vgrajenega in privzetega varstva podatkov, izvajanje ocen učinka v zvezi z varstvom podatkov, kadar je to potrebno
  • Imenovanje pooblaščene osebe za varstvo podatkov, kadar je to potrebno
  • Izpolnjevanje obveznosti glede varstva podatkov pri mednarodnih prenosih osebnih podatkov
  • Sodelovanje z organi za varstvo podatkov

Kontrolni seznam odgovornosti obdelovalca

  • Ravnanje v skladu z navodili upravljavca
  • Vodenje evidenc dejavnosti obdelave
  • Zagotavljanje varnosti obdelave
  • Spoštovanje zavezujoče pogodbe med upravljavcem in obdelovalcem
  • Pridobitev dovoljenja upravljavca pred zaposlitvijo novega podobdelovalca (in upravljavcu omogočiti, da temu ugovarja). Če je primerno, je treba skleniti pogodbo o obdelavi s podobdelovalcem, ki je enakovredna prvotni pogodbi med upravljavcem in obdelovalcem
  • Obveščanje upravljavca o kršitvah varstva osebnih podatkov
  • Obveščanje upravljavca o kršitvah Splošne uredbe o varstvu podatkov
  • Odgovornost za postopke obdelave: npr. izvajanje vgrajenega in privzetega varstva podatkov
  • Imenovanje pooblaščene osebe za varstvo podatkov, kadar je to potrebno
  • Zagotavljanje, da upravljavec odobri mednarodne prenose in da so v skladu s Splošno uredbo o varstvu podatkov
  • Sodelovanje z organi za varstvo podatkov