Ali veste, kaj bo novega pri posredovanju osebnih podatkov zaposlenih računovodskemu servisu za obračun plač?

Nova Uredba EU o varstvu podatkov (t. i. Uredba GDPR), ki bo začela veljati 25. maja 2018, prinaša nekaj novosti tudi na področju t. i. pogodbene obdelave osebnih podatkov. Gre za primere, ko pravna oseba, ki osebne podatke ima (npr. NVO), te podatke posreduje neki tretji osebi z namenom, da jih ta uporabi za potrebe NVO. Tipičen primer je posredovanje podatkov o zaposlenih, honorarnih delavcih ali o prostovoljcih računovodskemu servisu za potrebe obračuna plač, prispevkov ali povračila stroškov v zvezi z delom ali posredovanje podatkov članov društva podjetju, da natisne članske izkaznice, ali vnos podatkov uporabnikov programa ali projekta NVO v spletno aplikacijo, ki jo zagotavlja tretje podjetje.

Tovrstno pogodbeno obdelavo pozna tudi že obstoječi Zakon o varstvu osebnih podatkov, a jo omenjena Uredba nekoliko spreminja in dopolnjuje. Uredba po eni strani ne zahteva več, da lahko NVO kot upravljalec za takšnega pogodbenega partnerja izbere samo osebo, ki je za to dejavnost registrirana, a po drugi strani zahteva, da mora NVO kot upravljalec skrbno izbrati, komu bo podatke zaupala, in sicer jih lahko zgolj tistemu podjetju, ki bo zagotovilo zadostno varstvo teh podatkov in delovanje po uredbi.

Uredba nekoliko podrobneje ureja tudi obvezne pogodbene določbe med NVO in njihovimi poslovnimi partnerji, ki zanje obdelujejo osebne podatke. Določbe teh pogodb bo tako pri večini zelo verjetno potrebno nekoliko dopolniti (npr. z aneksom), tako da bodo te ustrezale zahtevam uredbe. Ta namreč zahteva, da pogodba določa sledeče:

• vsebino, trajanje in namen obdelave osebnih podatkov, ki jih pogodbeni obdelovalec (npr. računovodskih servis, tiskarna ...) obdeluje za NVO,
• kategorije posameznikov, o katerih se osebni podatki obdelujejo,
• da pogodbeni obdelovalec osebne podatke obdeluje samo na podlagi dokumentiranih navodil NVO,
• da pogodbeni obdelovalec zagotovi, da so njegovi delavci zavezani k zaupnosti osebnih podatkov, s katerimi delajo,
• da pogodbeni obdelovalec sprejme ustrezne tehnične in organizacijske ukrepe za varovanje osebnih podatkov,
• ali lahko pogodbeni upravljalec najame podizvajalce, ki bodo delali z osebnimi podatki, ki jih je zagotovila NVO, in če da, pod kakšnimi pogoji,
• da mora pogodbeni obdelovalec pomagati NVO pri izpolnjevanju njegovih obveznosti do posameznikov, katerih osebne podatke ime (npr. pri uresničevanju pravice do prenosljivosti),
• da pogodbeni obdelovalec na zahtevo NVO izbriše ali vrne vse osebne podatke, ki jih je obdeloval za NVO in
• da omogoči NVO nadzor nad izvajanjem te pogodbe.