Splošna uredba o varstvu osebnih podatkov v 28. členu določa, da lahko upravljavec sodeluje zgolj z obdelovalci, ki zagotovijo zadostna jamstva za izvedbo ustreznih tehničnih in organizacijskih ukrepov. Zaradi navedenega je ključno, da upravljavec z vsemi svojimi pogodbenimi obdelovalci sklene pogodbo o obdelavi osebnih podatkov. Področje varstva osebnih podatkov se sicer lahko uredi tudi v okviru krovne pogodbe (pogodbe o izvajanju storitev) ali v okviru splošnih pogojev, v vsakem primeru, pa mora takšen zavezujoč dogovor vsebovati vse zahteve po 28. členu Splošne uredbe.

Ureditev pogodbene obdelave je ključna, zato vam ponovno svetujemo, da preverite ali imate z vsemi pogodbenimi obdelovalci urejeno pogodbeno obdelavo osebnih podatkov. O vseh spremembah obvestite svojo pooblaščeno osebo za varstvo podatkov (DPO). 

Pri pogodbeni obdelavi je ključno tudi, da se pogodbenim obdelovalcem posredujejo izključno podatki, ki jih ta obdelovalec nujno potrebuje za opravljanje svojih nalog.

V mnenju Informacijskega pooblaščenca številka 07120-1/2023/416 z dne 27.09.2023 je Informacijski pooblaščenec pojasnil, da je treba ponudnike storitev virtualne (npr. spletnega gostovanja) ali fizične hrambe podatkov (npr. sefi, skladiščni prostori) obravnavati kot obdelovalce. Pogodbeni obdelovalci npr. ponudniki storitev ne morejo nositi odgovornosti glede varstva osebnih podatkov, dokler jih upravljavec ne seznani z dejstvom, da namerava pri njih hraniti osebne podatke in da morata njuno razmerje urediti skladno z 28. členom Splošne uredbe. Iz inšpekcijske prakse namreč izhaja, da je prišlo do zlorabe osebnih podatkov (npr. javnega razkritja, omogočanja dostopa nepooblaščenim osebam) ravno zaradi dejstva, ker upravljavci niso ustrezno uredili pogodbenega razmerja z obdelovalci, slednji pa se niso zavedali, da se pri njih hranijo osebni podatki, za katere bi morali zagotoviti ustrezno raven varnosti. V tem primeru odgovornost nosi upravljavec osebnih podatkov. Celotno mnenje Informacijskega pooblaščenca je dostopno tukaj.