Page contents Page contents Odgovor Upravljavec podatkov določi namene, za katere se obdelujejo osebni podatki, ter sredstva za njihovo obdelavo. Če torej odločate, „zakaj“ in „kako“ je treba osebne podatke obdelati, ste upravljavec podatkov. Zaposleni, ki obdelujejo osebne podatke v vaši organizaciji, to delajo zato, da izpolnjujejo vaše naloge, ki jih izvajate kot upravljavec podatkov. Kadar o tem, „zakaj“ in „kako“ je treba obdelati osebne podatke, odločate skupaj z eno ali več organizacijami, potem ste skupni upravljavci. Skupni upravljavci morajo skleniti dogovor, v katerem določijo dolžnosti vsakega od njih z namenom izpolnjevanja pravil iz splošne uredbe o varstvu podatkov. Posameznike, katerih podatki se obdelujejo, je treba seznaniti z glavnimi vidiki dogovora. Obdelovalec podatkov obdeluje osebne podatke samo v imenu upravljavca. Obdelovalec podatkov je po navadi tretja oseba zunaj podjetja; v primeru skupin podjetij lahko eno od njih deluje kot obdelovalec za drugo podjetje. Dolžnosti, ki jih ima obdelovalec do upravljavca, morajo biti določene v pogodbi ali drugem pravnem aktu. V pogodbi je treba na primer navesti, kaj se zgodi z osebnimi podatki, ko se pogodba prekine. Tipična dejavnost obdelovalcev je zagotavljanje rešitev IT, vključno s shranjevanjem v oblaku. Obdelovalec podatkov lahko prenese del svoje naloge na drugega obdelovalca ali imenuje skupnega obdelovalca samo, če pridobi predhodno pisno dovoljenje od upravljavca podatkov. Obstajajo primeri, v katerih je subjekt lahko upravljavec ali obdelovalec podatkov ali oboje. Primera Upravljavec in obdelovalec Pivovarna ima veliko zaposlenih, zato sklene pogodbo z računovodskim podjetjem, ki bo izplačevalo njihove plače. Pivovarna obvesti računovodsko podjetje, kdaj je treba izplačevati plače, kdaj se zaposlenemu prekine delovno razmerje ali se mu poviša plača, in priskrbi vse druge potrebne podatke za plačilno listo in izplačilo. Računovodsko podjetje priskrbi sistem IT in hrani podatke o zaposlenih. Pivovarna je upravljavec podatkov, računovodsko podjetje pa obdelovalec. Skupni upravljavci Vaše podjetje ponuja storitve varstva otrok prek spletne platforme. Obenem imate z drugim podjetjem sklenjeno pogodbo, na podlagi katere lahko ponudite storitve z dodano vrednostjo. Te storitve med drugim omogočajo staršem, da si poleg izbire varuške izposojajo igre in DVD, ki jih varuška lahko prinese s sabo. Obe podjetji sodelujeta pri tehničnem oblikovanju spletnega mesta. V tem primeru sta se dve podjetji odločili, da uporabita platformo za oba namena (varstvo otrok in izposojo DVD/iger), zato zelo pogosto izmenjujeta imena strank. Podjetji sta skupna upravljavca, ker sta soglašali, da bosta ponudili možnost „kombinirane storitve“ in obenem skupaj oblikovali in uporabljali skupno platformo. Reference Reference Členi 4(7), 4(8), 24, 26, 28, 29; uvodne izjave 74, 79, 81 Splošne uredbe o varstvu podatkov Mnenje 1/2010 delovne skupine iz člena 29 o pojmih „upravljavec“ in „obdelovalec“ (WP 169) Examples Controller and processor A brewery has many employees. It signs a contract with a payroll company to pay the wages. The brewery tells the payroll company when the wages should be paid, when an employee leaves or has a pay rise, and provides all other details for the salary slip and payment. The payroll company provides the IT system and stores the employees’ data. The brewery is the data controller and the payroll company is the data processor. Joint controllers Your company/organisation offers babysitting services via an online platform. At the same time your company/organisation has a contract with another company allowing you to offer value-added services. Those services include the possibility for parents not only to choose the babysitter but also to rent games and DVDs that the babysitter can bring. Both companies are involved in the technical set-up of the website. In that case, the two companies have decided to use the platform for both purposes (babysitting services and DVD/games rental) and will very often share clients’ names. Therefore, the two companies are joint controllers because not only do they agree to offer the possibility of ‘combined services’ but they also design and use a common platform. References References: Article 4(7) and (8), Articles 24, 26, 28 and 29 and Recitals (74), (79) and (81) of the GDPR Article 29 Working Party Opinion 1/2010 on the concepts of 'controller' and 'processor' (WP 169)
