Zakonitost obdelave podatkov pri pripojitvi gospodarske družbe

Pri Informacijskem pooblaščencu (IP) smo dne 1. 3. 2023 prejeli vaše zaprosilo za mnenje glede zakonitosti obdelave podatkov v primeru pripojitve gospodarske družbe. Zanima vas, kaj vse mora prevzemna družba storiti, da lahko še naprej uporablja osebne podatke prevzete družbe, predvsem ali zadostuje, če posameznike zgolj obvesti, da so podatki shranjeni pri prevzemni družbi. Nadalje sprašujete, ali lahko prevzemna družba osebne podatke uporablja za trženje širšega obsega storitev, kot je to prej počela prevzeta družba.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22, ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba), 76. člena Zakona o varstvu osebnih podatkov na področju obravnavanja kaznivih dejanj (Uradni list RS, št. 177/20, ZVOPOKD) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A, ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

1. Prevzemna družba kot univerzalna pravna naslednica prevzete družbe lahko še naprej obdeluje osebne podatke, ki jih je zakonito obdelovala prevzeta družba, vendar le za namen in v obsegu, kot jih je obdelovala prevzeta družba.

2. Prevzemna družba mora ob pripojitvi sama oceniti, ali so pravne podlage za obdelavo osebnih podatkov, na katerih je obdelavo podatkov utemeljevala prevzeta družba, zakonite in ustrezne glede na okoliščine konkretnega primera.

3. V splošnem mora prevzemna družba, če želi obdelovati podatke prevzete družbe za druge namene, ki niso združljivi z nameni, za katere jih je obdelovala prevzeta družba, za takšno obdelavo podatkov zagotoviti ustrezno pravno podlago.

O b r a z l o ž i t e v:

IP uvodoma pojasnjuje, da izven postopka inšpekcijskega nadzora oziroma drugega upravnega postopka nima zakonskih pooblastil za presojo zakonitosti konkretnih obdelav osebnih podatkov in morebitnih kršitev pravic posameznikov, na katere se podatki nanašajo, zato ne moremo presojati zakonitosti konkretnega primera obdelave podatkov s strani prevzemne družbe. V nadaljevanju vam zato podajamo zgolj splošna pojasnila in pravna izhodišča v zvezi z vašim dopisom.

Pri združitvi dveh gospodarskih družb s pripojitvijo v skladu z določbami Zakona o gospodarskih družbah (Uradni list RS, št. 65/09 – uradno prečiščeno besedilo, 33/11, 91/11, 32/12, 57/12, 44/13 – odl. US, 82/13, 55/15, 15/17, 22/19 – ZPosS, 158/20 – ZIntPK-C, 18/21 in 18/23 – ZDU-1O), postane prevzemna družba univerzalna pravna naslednica prevzete družbe. Bistvena pravna posledica univerzalnega pravnega nasledstva je, da prevzemna družba celostno vstopi v pravni položaj prevzete družbe: na pravno naslednico preidejo vse pravice in obveznosti prevzete družbe, vstopi pa tudi v vsa pravna razmerja, katerih subjekt je bila prevzeta družba, vključno s pravnimi razmerji na področju varstva osebnih podatkov.

Prevzemna družba kot univerzalna pravna naslednica prevzete družbe lahko še naprej obdeluje osebne podatke, ki jih je zakonito obdelovala prevzeta družba, vendar le za namen in v obsegu, kot jih je obdelovala prevzeta družba. V tem primeru prevzemna družba vstopi v vlogo upravljavca in mora v skladu s 13. členom Splošne uredbe posameznika, na katerega se nanašajo osebni podatki, obvestiti o nekaterih ključnih okoliščinah obdelave osebnih podatkov, na primer o identiteti in kontaktnih podatkih upravljavca, kontaktnih podatkih pooblaščene osebe za varstvo podatkov, namenih obdelave in roku hrambe podatkov.

IP ob tem izpostavlja, da v skladu z načelom odgovornosti iz drugega odstavka 5. člena Splošne uredbe odgovornost za zagotavljanje skladnosti obdelave podatkov leži na upravljavcu, ki jo mora biti zmožen tudi dokazati. Prevzemna družba mora zato ob pripojitvi sama oceniti, ali so pravne podlage za obdelavo osebnih podatkov, na katerih je obdelavo podatkov utemeljevala prevzeta družba, zakonite in ustrezne glede na okoliščine konkretnega primera. Če meni, da pravne podlage niso ustrezne, mora preveriti, ali je podana kakšna druga pravna podlaga za obdelavo osebnih podatkov, in v nasprotnem primeru bodisi pridobiti soglasje za obdelavo (če je takšna pravna podlaga ustrezna) ali pa osebne podatke izbrisati.

V splošnem mora prevzemna družba, če želi obdelovati podatke prevzete družbe za druge namene, ki niso združljivi z nameni, za katere jih je obdelovala prevzeta družba, za takšno obdelavo podatkov zagotoviti ustrezno pravno podlago. V skladu s členom 6(1) Splošne uredbe je obdelava osebnih podatkov zakonita le in kolikor je izpolnjen vsaj eden od naslednjih pogojev:

(a) posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov;

(b) obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe;

(c) obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca;

(d) obdelava je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe;

(e) obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu;

(f) obdelava je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok.

Vendar pa posebej glede neposrednega trženja preko elektronske pošte Zakon o elektronskih komunikacijah (Uradni list RS, št. 130/22 in 18/23 – ZDU-1O, v nadaljevanju: ZEKom-2) v 226. členu določa, da lahko pravna oseba, ki od kupca svojih izdelkov ali storitev pridobi njegov elektronski naslov za elektronsko pošto, ta naslov uporablja za neposredno trženje svojih podobnih izdelkov ali storitev pod pogojem, da kupcu ponuja jasno in izrecno možnost, da brezplačno in enostavno zavrne takšno uporabo svojega elektronskega naslova takrat, ko so ti podatki za stike pridobljeni, in ob vsakem sporočilu, če kupec ni zavrnil takšne uporabe že na začetku. IP ob tem opozarja, da je za nadzor nad izvajanjem 226. člena ZEKom-2 pristojna Agencija za komunikacijska omrežja in storitve Republike Slovenije (AKOS) in ne Informacijski pooblaščenec.

V upanju, da ste dobili odgovor na vaša vprašanja, vas lepo pozdravljamo.

Pripravila:

dr. Pika Šarf,

Svetovalka IP za mednarodne odnose

Mojca Prelesnik, univ. dipl. prav.

informacijska pooblaščenka