Posredovanje podatkov med povezanimi družbami in nadaljnja obdelava

Informacijski pooblaščenec (v nadaljevanju: IP) je po elektronski pošti prejel vaš dopis, v katerem izpostavljate, da je tuja gospodarska družba (družba A) kupila gospodarsko družbo B, ki deluje na slovenskem trgu in vodi svoj program zvestobe. Družba B in družba C naj bi bili po združitvi hčerinski (odvisni) družbi materinske družbe A. Družba B namerava svoj program zvestobe postopoma ukinjati, pri čemer je namen vseh treh družb, da se baza podatkov programa zvestobe družbe B prenese na družbo A za namen analize nakupnih navad. Družba B namerava izvesti ta prenos na podlagi pravne podlage zakonitih interesov, kot naj bi to določala uvodna določba (48) Splošne uredbe o varstvu podatkov. Zanima vas, ali lahko družba A nadalje obdeluje osebne podatke (izvajanje analiz nakupnih navad na podlagi baze podatkov družbe B) iz prenesene baze na podlagi prvotne pravne podlage družbe B, to je privolitve posameznikov?

*** 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22, ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A, ZInfP) posredujemo naše nezavezujoče mnenje v zvezi z vašim vprašanjem.

1.     Vsak upravljavec osebnih podatkov mora za vsako obdelavo osebnih podatkov zagotoviti samostojno in ločeno pravno podlago, upoštevaje česar bi najverjetneje v danem primeru prišli v poštev zlasti pravni podlagi: (i) privolitve posameznikov ali (ii) zakonitih interesov, vsaka pod svojimi pogoji pojasnjenimi spodaj.

2.     Prenos zbirke osebnih podatkov v okviru prenosa celotne dejavnosti podjetja lahko pomeni uresničevanje zakonitega interesa zasebnega sektorja, ki očitno prevladuje nad interesi posamezne stranke le v primeru, da je bila baza strank prvotno pridobljena v skladu z veljavno zakonodajo in da se ta prenaša kot del celotnega poslovanja ter se nameni obdelave ne spreminjajo. Prenos osebnih podatkov na drugo (hčerinsko) podjetje je torej eventualno zakonit, v kolikor gre za prenos celotne dejavnosti (poslovanja), za opravljanje katere so osebni podatki iz zbirke, ki se prenaša, po naravi stvari nujno potrebni.

3.     Če bi se osebni podatki prenašali v državo izven EU, bi lahko šlo za prenos osebnih podatkov v tretjo državo v zvezi s katerim je potrebno izpolnjevati dodatne pogoje in obveznosti.

4.     Kadar obdelava podatkov za drug namen kot za tistega, za katerega so bili osebni podatki zbrani, ne temelji na privolitvi posameznika, na katerega se nanašajo osebni podatki, ali na zakonu, je obdelava osebnih podatkov za druge namene kot tiste, za katere so bili osebni podatki prvotno zbrani, dovoljena le, kadar je združljiva z nameni, za katere so bili osebni podatki prvotno zbrani. Presoja združljivosti namenov spada pod obveznosti upravljavca, ki mora v njej upoštevati zlasti: (i) povezavo med obema namenoma; (ii) okoliščine zbranih podatkov v povezavi z razmerjem, ki ga ima s posamezniki; (iii) naravo osebnih podatkov; (iv) posledice načrtovane nadaljnje obdelave za posameznike, (v) obstoj ustreznih zaščitnih ukrepov.

5.    Če gre v opisanem primeru za spremembo upravljavca osebnih podatkov, ki naj bi podatke obdeloval, in spremembo namena (npr. ustanovitev novega kluba zvestobe ali obdelavo za dodatne namene) mora novi upravljavec za obdelavo osebnih podatkov zagotoviti novo, ločeno pravno podlago za obdelavo (npr. v tem kontekstu pridobiti privolitve, ki bodo odražale novo dejansko stanje obdelave). 

O b r a z l o ž i t e v:

IP uvodoma poudarja, da konkretnega in dokončnega odgovora o zakonitosti obdelave osebnih podatkov v okviru mnenja v nobenem primeru ne more podati, saj lahko IP posamezne primere obdelave podatkov konkretno presoja zgolj v okviru inšpekcijskega ali drugega upravnega postopka.

1. Nameni obdelave osebnih podatkov

V zvezi s prenosom baze osebnih podatkov o strankah - iz družbe B k povezani družbi A - in nadaljnjo obdelavo osebnih podatkov, vas IP napotuje na številna že objavljena nezavezujoča mnenja, v katerih je IP na podobna vprašanja vašemu že odgovarjal (glej zlasti mnenje št. 07121-1/2023/915 z dne 7. 7. 2023; št. 07121-1/2022/1464 z dne 4. 1. 2023; št. 07121-1/2023/898 z dne 4. 7. 2023; št. 07121-1/2022/1075 z dne 11. 10. 2023; št. 07121-1/2021/1442 z dne 12. 8. 2021[1]).

Na podlagi izpostavljenih mnenj tako poudarjamo, da mora vsak upravljavec za vsako obdelavo osebnih podatkov (npr. za prenos baze osebnih podatkov družbe B k družbi A) izkazati ustrezno in zakonito pravno podlago pri tem pa upoštevati, da je obdelava osebnih podatkov vedno vezana na posamezen namen za katerega se osebni podatki obdelujejo. Z drugimi besedami to pomeni, da morajo osebni podatki biti zbrani za določene, izrecne in zakonite namene ter se ne smejo nadalje obdelovati na način, ki ni združljiv s temi nameni (t. i. načelo omejitve namena). Če bi torej upravljavec, ki je sicer prvotno ustrezno zagotovil pravno podlago za obdelavo osebnih podatkov (npr. pridobil ustrezne privolitve posameznikov za namen zagotavljanja programa zvestobe), spremenil namen obdelave osebnih podatkov (npr. želi prenašati osebne podatke k drugemu upravljavcu ali želi podatke nadalje analizirati) mora upravljavec, za drug namen, zagotoviti novo (lahko sicer enako) pravno podlago.

Uvodna določba št. 50 jasno poudarja splošna pravilo, da je obdelava osebnih podatkov za druge namene kot tiste, za katere so bili osebni podatki prvotno zbrani, dovoljena le, kadar je združljiva z nameni, za katere so bili osebni podatki prvotno zbrani. V takšnem primeru ni potrebna ločena pravna podlaga od tiste, na podlagi katere so bili osebni podatki zbrani. V skladu s 4. odstavkom 6. člena Splošne uredbe bi moral upravljavec v primerih, kadar obdelava podatkov za drug namen kot za tistega, za katerega so bili osebni podatki zbrani, ne temelji na privolitvi posameznika, na katerega se nanašajo osebni podatki, ali zakonu za ugotovitev, ali je namen nadaljnje obdelave združljiv z namenom, za katerega so bili osebni podatki prvotno zbrani, potem ko je izpolnil vse zahteve glede zakonitosti prvotne obdelave, med drugim upoštevati:

      I.        morebitno povezavo med prvotnimi nameni in nameni načrtovane nadaljnje obdelave;

     II.        okoliščine, v katerih so bili osebni podatki zbrani, zlasti razumna pričakovanja posameznikov, na katere se nanašajo osebni podatki, o nadaljnji uporabi teh podatkov ob upoštevanju njihovega razmerja z upravljavcem;

   III.        naravo osebnih podatkov;

  IV.        posledice načrtovane nadaljnje obdelave za te posameznike in obstoj ustreznih zaščitnih ukrepov, tako pri prvotnih kot načrtovanih nadaljnjih dejanjih obdelave.

Ob tem pa je treba še poudariti, da morajo ustrezno pravno podlago za obdelavo osebnih podatkov zagotoviti vsi upravljavci osebnih podatkov (torej tako tisti, ki podatke prejema kot vzporedno tudi tisti, ki podatke posreduje), saj je dolžnost zakonite obdelave osebnih podatkov na vseh upravljavcih osebnih podatkov, ki podatke na kakršnikoli način obdelujejo (jih posredujejo; hranijo; v njih vpogledajo; zbirajo itd.).

2. Pravna podlaga zakonitih interesov

Glede na to, da v svojem dopisu omenjate, da bi osebne podatke strank prenašali iz družbe B na matično družbo A na pravni podlagi zakonitih interesov, opozarjamo, da mora upravljavec za uporabo tovrstne pravne podlage izvesti t.i. predhodni test tehtanja v povezavi s katerim presodi, ali so nameni, za katere si prizadeva: (i) zakoniti; (ii) ali je nameravana obdelava podatkov primerna in nujna za doseganje teh namenov ter (iii) ali obstaja ravnovesje med zasledovanim ciljem na eni strani in posegom v pravice ter svoboščine posameznikov na drugi strani.

V kontekstu tehtanja zakonitih interesov mora upravljavec še posebej upoštevati tudi vidik razumnih pričakovanj posameznikov, predvsem v tistih kontekstih obdelave, ko posamezniki razumno ne pričakujejo nadaljnje obdelave njihovih osebnih podatkov. V vašem primeru bi bila na mestu potrebna torej presoja: ali stranke družbe B razumno lahko pričakujejo, da bodo njihovi podatki, ki so jih družbi B posredovali za konkretni namen (npr. za namen vključitve v program zvestobe), uporabljeni za obdelavo (npr. za prenos ali za analizo nakupnih navad) s strani družbe A? Pri tehtanju prevladujočih interesov (v povezavi z oceno tveganja) je treba absolutno upoštevati tudi načelo transparentnosti (Ali so bile posameznikom podane ustrezne informacije, da so lahko razumno pričakovali posledice obdelave?) in sorazmernosti (npr. Ali so bili sprejeti ustrezni zaščitni ukrepi?).

Kot izhaja iz vašega dopisa, osebne podatke nameravate prenašati na podlagi pravne podlage zakonitih interesov v povezavi z uvodno določbo št. 48 Splošne uredbe, s katere izhaja, da:

 »upravljavci, ki so del povezane družbe ali institucij, povezanih z osrednjim telesom, lahko imajo zakoniti interes za posredovanje osebnih podatkov znotraj povezane družbe v notranje upravne namene, vključno z obdelavo osebnih podatkov strank ali zaposlenih. To ne vpliva na splošna načela znotraj povezane družbe glede prenosa osebnih podatkov družbi v tretji državi.«.

Pri tem pa poudarjamo, da je treba pravno podlago zakonitih interesov po točki (f) prvega odstavka 6. člena Splošne uredbe v povezavi z uvodno določbo št. 48 razlagati na način, da le ta pride v poštev takrat, kadar gre pri namenu obdelave osebnih podatkov, za notranje upravne namene, ne pa tudi za vsakršni drug namen posredovanja podatkov znotraj povezanih družb.

Če upravljavec z izvedbo testa tehtanja ne uspe izkazati ustreznosti obdelave osebnih podatkov glede na zasledovan zakoniti interes (oz. upravno-notranje namene, kot izhaja iz uvodne določbe št. 48), mora za tovrstno obdelavo osebnih podatkov (posredovanje osebnih podatkov med povezanima družbama) iskati pravno podlago drugje (npr. v privolitvi posameznikov).

3. Pravna podlaga privolitve                                

V zvezi z obdelavo osebnih podatkov na podlagi privolitve posameznikov poudarjamo, da privolitev kot pravna podlaga za obdelavo osebnih podatkov zahteva izpolnjevanje (skupno) petih zahtev in sicer privolitve morajo biti: dokazljive, prostovoljne, specifične, informirane in nedvoumne. Privolitev za en namen (npr. za sodelovanje v programu zvestobe) ne gre enačiti s privolitvijo za drug namen (npr. za namen analize nakupovalnih vzorcev), saj mora vsaka pridobljena privolitev biti specifična in podana za vsak namen posebej (načelo granularnosti oziroma razčlenjenosti privolitve). Nameni obdelave osebnih podatkov morajo posamezniku biti transparentno predstavljeni, skladno z 12. oz. 13. členom Splošne uredbe, kot tudi vsi ostali pomembni vidiki obdelave (kdo je upravljavec; na kateri pravni podlagi podatke obdeluje; s katerimi nameni…). Če bi v danem primeru torej šlo za dva različna namena, kjer je prvi sodelovanje v programu zvestobe, drugi pa analiza nakupnih navad, mora posamezniku biti omogočeno, da upravljavcu oz. upravljavcema poda dve ločeni privolitvi.

4. Prenos osebnih podatkov

Glede na to, da v vašem vprašanju navajate tudi, da naj bi bila družba A »tuja družba«, dodatno poudarjamo, da bi v primeru, ko bi se osebni podatki prenašali v državo izven EU, lahko šlo za prenos osebnih podatkov v tretjo državo v zvezi s katerim je potrebno izpolnjevati še dodatne pogoje in obveznosti. Glede na to, da iz vašega vprašanja ni popolnoma jasno, v kateri državi se nahaja ustanovitev družbe A, vas glede prenosov osebnih podatkov v tretje države napotujemo na naše smernice in nezavezujoča mnenja objavljena na naši spletni strani (pod kategorijo: »Prenos osebnih podatkov v tretje države ali mednarodne organizacije«):

5. Sklepno

IP v okviru mnenj zaradi pomanjkanja informacij ne more namesto upravljavca presojati ustreznosti in zakonitosti pravnih podlag za konkretne obdelave osebnih podatkov pri upravljavcu. IP niti ne more namesto upravljavca iskati odgovor na vprašanje; ali so različni nameni obdelave osebnih podatkov med seboj združljivi, saj je le-ta odvisen vedno od presoje upravljavca v konkretnem primeru, ki za tovrstno odločitev tudi odgovarja. IP bi lahko zakonitost in sorazmernost določene obdelave osebnih podatkov preveril izključno le v inšpekcijskem oz. drugem nadzornem postopku.

V upanju, da ste dobili odgovor na svoje vprašanje, vas lepo pozdravljamo.

Pripravil:

Grega Rudolf,

asistent svetovalca pri IP          

Mojca Prelesnik, univ.dipl.prav.,                                                  

informacijska pooblaščenka

[1] Vsa mnenja IP si lahko preberete na naši spletni s strani na povezavi: https://www.ip-rs.si/mnenja-zvop-2