Informacijski pooblaščenec: Podizvajalci, ki samo hranijo infrastrukturo s podatki, niso zavezanci po GDPR

Upravljavec podatkov mora z vsakim od pogodbenih obdelovalcev podatkov skleniti pogodbo o obdelavi, kjer točno določi pogoje, načine, namene in vse kar sodi zraven. To je ena izmed novosti, ki jih je vpeljal GDPR. Vendar, kot kaže primer iz prakse, ni vedno tako.

Teorija: Upravljavec in obdelovalec

Za lažje razumevanje začnimo z malo teorije: glede na GDPR je "upravljavec" oseba, ki ima nadzor nad podatki. Torej določa kateri podatki se zbirajo, kako se obdelujejo in kako se uporabljajo. "Obdelovalec" jih obdeluje – za upravljavca. Obdelovanje je po dosedanji praksi Informacijskega pooblaščenca “karkoli” nekdo naredi s podatki: hramba, pregledovanje, upravljanje zbirke, brisanje …

Takšno razumevanje je pomenilo, da so bili praktično vsi subjekti, ki so imeli karkoli s hrambo in obdelovanjem podatkov, vsaj obdelovalci. Ne samo trgovec, ki je zbiral in uporabljal podatke o uporabi kartice zvestobe, pač pa tudi družba, ki je zanj upravljala podatkovno bazo in izdelovala poročila, njen podizvajalec, ki je skrbel za programiranje in vzdrževanje aplikacije, njen ponudnik oblačnih storitev, v katerih je gostoval virtualni strežnik, ponudnik fizičnih strežnikov in nenazadnje tudi družba, ki je ponujala kolokacijo strežnikov. Vsi imajo neke vrste dostop do podatkov, vsi imajo v končni fazi možnost, da obdelavo ustavijo, pa čeprav tako, da iz fizičnega strežnika odklopijo električni kabel. Kot je razvidno iz smernic IP o pogodbeni obdelavi, je do sedaj IP za podobdelavo štel celo hrambo kodiranih kopij podatkov, kjer ponudnik, ki izvaja hrambo pravzaprav nikoli ne pride v stik s podatki (7. stran smernic).

To razumevanje ima neko logiko. Pomeni pa veliko administrativno breme, saj mora upravljavec podatkov zagotoviti sklenitev pogodbe z vsemi v verigi. Do sedaj.

Ministrstvo za javno upravo vs. Ministrstvo za pravosodje

Od Informacijskega pooblaščenca smo po zahtevi po Zakonu o dostopu do informacij javnega značaja prejeli sklep o ustavitvi postopka zoper Ministrstvo za pravosodje. IP je izvedel inšpekcijski nadzor nad izvajanjem določb Splošne uredbe in ZVOP-1 glede obdelave posnetkov, ki so del sistema za zvočno snemanje razprav na sodiščih.

Ministrstvo je pojasnilo, da je v okviru operacije »e-pravosodje« za sodišča izvedlo nabavo opreme in vzpostavitev sistema za izvajanje zvočnega snemanja. Ministrstvo ima sicer v posesti infrastrukturo za zvočno snemanje, in sicer v kleti na lokaciji Župančičeva 6, 1000 Ljubljana in zagotavlja fizično varovanje, spremlja temperaturo v prostoru (hlajenje), skrbi za elektriko (tudi napajanje preko UPS za izpad do dve uri) in požarno varnost, vendar infrastrukturo na nivoju strojne opreme in operacijskega sistema vzdržuje Ministrstvo za javno upravo na podlagi Sporazuma o zagotavljanju storitev in razmejitvi odgovornosti. Celotna infrastruktura je po sporazumu v upravljanju Ministrstva za javno upravo. Vse pogodbe, ki jih je imel zavezanec sklenjene, so bile prenesene na Ministrstvo za javno upravo, to pa je po preteku pogodb uredilo podporo preko svojih pogodb. Ministrstvo za pravosodje s sodišči nima sklenjenega dogovora o razmejitvi odgovornosti (zvočno in slikovno snemanje sta del vpisnikov sodišč, podatki so v lasti sodišč). Virtualni strežnik je del od ministrstva vsebinsko ločene instance, kjer je to eden od strežnikov pod upravljanjem in dostopom sodišč, do koder imajo izključen dostop le dodeljeni uporabniki s strani sodišča na določen posnetek.

Nova razlaga pojmov

Nadzorni organ se je s pojasnili zadovoljil in tudi sprejel argument, da Ministrstvo za pravosodje ne upravlja s sistemom za snemanje obravnav na sodiščih, temveč zgolj daje sodiščem oziroma Ministrstvu za javno upravo na razpolago prostore. V teh se sicer nahaja strežniška infrastruktura, namenjena temu sistemu, vendar s to strežniško opremo ne upravlja niti ni njen skrbnik. Prav tako pa nima vpogleda v podatke, ki so shranjeni na njej. Za tovrstno razbremenitev odgovornosti zadošča že, da je Ministrstvo za pravosodje predalo svojo opremo v upravljanje Ministrstvu za javno upravo (v nekih drugih bolj administrativno obremenjenih časih bi temu rekli, da so si omislili pogodbenega podobdelovalca).

Nova razlaga Informacijskega pooblaščenca glede vsebine pojmov "upravljavec" in "obdelovalec" pomeni dobrodošlo razbremenitev za vse podizvajalce, ki hranijo infrastrukturo za podatke in ki se podatkov sicer ne dotikajo (policy), pa vseeno imajo možnost, da podatke kadarkoli vzamejo, ker se fizično nahajajo pri njih. Oziroma po domače: za podizvajalce, ki samo hranijo infrastrukturo (v lasti in posesti), na kateri so shranjeni podatki, GDPR ne velja. Obrazložitev, kako je tovrstna hramba smiselno drugačna od hrambe, ki jo zagotavljajo nekateri ponudniki oblačnih storitev pa bomo seveda z veseljem objavili, ko se bo v zvezi s tem pojavila kakšna inšpekcijska odločba.