Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Mnenja - VOP

+ -
Datum: 24.09.2017
Naslov: Mnenje - višina plače, organa nadzora oz. upravljanja
Številka: 0712-1/2017/1826
Vsebina: Upravljanje gospodarskih družb, Zavarovanje osebnih podatkov, Delovna razmerja
Pravni akt: Mnenje

Spoštovani!

 

Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaše elektronsko sporočilo, s katerim prosite za odgovor na vprašanje, ali ima član organa nadzora ali upravljanja subjekta, ki je oseba zasebnega prava, pravico zahtevati podatek o višini plače za posameznega zaposlenega v tem subjektu.

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju na podlagi 7. točke prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07 - uradno prečiščeno besedilo; v nadaljevanju ZVOP-1) ter 2. člena Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A; v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašimi vprašanji.

 

 

IP meni, da ima nadzorni svet pravico pridobiti osebne podatke zaposlenih pod pogojem, da gre za zakonito izvrševanje njegovih pristojnosti, družbeniki družbe z omejeno odgovornostjo pa imajo že po zakonu pravico do obveščenosti o zadevah družbe ter vpogleda v knjige in spise družbe.

 

Vsi, ki obdelujejo osebne podatke posameznikov, s katerimi se seznanijo pri opravljanju svojih funkcij, del in nalog, so dolžni te osebne podatke varovati, upravljavec pa je dolžan sprejeti ustrezne ukrepe za zavarovanje teh podatkov.

 

Konkretne presoje primera IP tudi z vidika varstva osebnih podatkov izven inšpekcijskega postopka v nobenem primeru ne more narediti.

 

 

1. Splošno o podlagah za obdelavo osebnih podatkov

 

Krovni zakon, ki določa pravice, obveznosti, načela in ukrepe, s katerimi se preprečujejo neustavni, nezakoniti in neupravičeni posegi v zasebnost in dostojanstvo posameznika pri obdelavi osebnih podatkov, je ZVOP-1.

 

Na podlagi ZVOP-1 je osebni podatek katerikoli podatek, ki se nanaša na posameznika, ne glede na obliko, v kateri je izražen, posameznik pa je določena ali določljiva fizična oseba, na katero se nanaša osebni podatek. Fizična oseba je določljiva, če se jo lahko neposredno ali posredno identificira, predvsem s sklicevanjem na identifikacijsko številko ali na enega ali več dejavnikov, ki so značilni za njeno fizično, fiziološko, duševno, ekonomsko, kulturno ali družbeno identiteto, pri čemer način identifikacije ne povzroča velikih stroškov, nesorazmerno velikega napora ali ne zahteva veliko časa.

 

ZVOP-1 nadalje v prvem odstavku 8. člena določa, da se lahko osebni podatki obdelujejo le, če obdelavo osebnih podatkov in osebne podatke, ki se obdelujejo, določa zakon ali če je za obdelavo določenih osebnih podatkov podana osebna privolitev posameznika. Namen obdelave osebnih podatkov mora biti na podlagi drugega odstavka 8. člena ZVOP-1 določen v zakonu, v primeru obdelave na podlagi osebne privolitve posameznika pa mora biti posameznik predhodno pisno ali na drug ustrezen način seznanjen z namenom obdelave osebnih podatkov.

Pravno podlago za obdelavo osebnih podatkov v zasebnem sektorju, ki jo je potrebno upoštevati v obravnavanem primeru, določa 10. člen ZVOP-1:

(1) Osebni podatki v zasebnem sektorju se lahko obdelujejo, če obdelavo osebnih podatkov in osebne podatke, ki se obdelujejo, določa zakon ali če je za obdelavo določenih osebnih podatkov podana osebna privolitev posameznika.

(2) Ne glede na prejšnji odstavek se lahko v zasebnem sektorju obdelujejo osebni podatki posameznikov, ki so z zasebnim sektorjem sklenili pogodbo ali pa so na podlagi pobude posameznika z njim v fazi pogajanj za sklenitev pogodbe, če je obdelava osebnih podatkov potrebna in primerna za izvedbo pogajanj za sklenitev pogodbe ali za izpolnjevanje pogodbe.

(3) Ne glede na prvi odstavek tega člena se lahko v zasebnem sektorju obdelujejo osebni podatki, če je to nujno zaradi uresničevanja zakonitih interesov zasebnega sektorja in ti interesi očitno prevladujejo nad interesi posameznika, na katerega se nanašajo osebni podatki.«.

 

Ob tem IP opozarja na načelo sorazmernosti iz 3. člena ZVOP-1, ki pomeni, da morajo biti osebni podatki, ki se obdelujejo, ustrezni in po obsegu primerni glede na namene, za katere se zbirajo in nadalje obdelujejo. Navedeno načelo pomeni, da je potrebno obdelovati samo toliko osebnih podatkov, kolikor je nujno potrebno za izvrševanje zakonitih pristojnosti, nalog ali obveznosti.

 

2. Podlaga za obdelavo osebnih podatkov v obravnavanem primeru

 

V obravnavanem primeru gre nedvomno za vprašanje posredovanja osebnih podatkov posameznikov, saj se vprašanje nanaša na višino plače posameznega zaposlenega v pravni osebi zasebnega prava.

 

Iz javno dostopnih podatkov izhaja, da je družba Simbio, d.o.o., družba za ravnanje z odpadki, Celje (v nadaljevanju: Simbio, d.o.o.) v skladu z Zakonom o gospodarskih javnih službah organizirana v obliki javnega podjetja, skladno z Zakonom o gospodarskih družbah (Uradni list RS, št. 65/09 – uradno prečiščeno besedilo, 33/11, 91/11, 32/12, 57/12, 44/13 – Odl. US, 82/13, 55/15 in 15/17; v nadaljevanju: ZGD-1) pa v obliki družbe z omejeno odgovornostjo – d.o.o.. Organi upravljanja družbe so:

  1. skupščina, ki jo predstavljajo štirje člani, ki jih imenujejo občinski sveti občin ustanoviteljic;
  2. nadzorni svet, ki izdaja smernice in navodila za delo direktorja ter nadzoruje poslovanje družbe;
  3. direktor, ki vodi in zastopa družbo neomejeno, samostojno in na lastno odgovornost;
  4. svet ustanoviteljev (v skladu z Zakonom o lokalni samoupravi).

 

Glede na to, da IP ne razpolaga z akti družbe Simbio, d.o.o., ter da ne sme in ne more narediti konkretne presoje primera izven inšpekcijskega postopka, se IP do vašega vprašanja opredeljuje glede na splošne zakonske določbe ZGD-1. V skladu z 28. členom Zakona o gospodarskih javnih službah (Uradni list RS, št. 32/93, 30/98 – ZZLPPO, 127/06 – ZJZP, 38/10 – ZUKN in 57/11 – ORZGJS40) se namreč za vprašanja, ki se nanašajo na položaj javnega podjetja uporabljajo predpisi, ki urejajo položaj podjetij oziroma gospodarskih družb, če s tem ali drugim zakonom niso urejena drugače.

Družba z omejeno odgovornostjo se ustanovi s pogodbo, ki jo podpišejo vsi družbeniki (474. člen ZGD-1). Družbena pogodba določa pravice, ki jih imajo družbeniki pri upravljanju družbe, in način njihovega uresničevanja, če zakon ne določa drugače (prvi odstavek 504. člena ZDG-1). Če družbena pogodba ne vsebuje določb o upravljanju družbe, se uporabljajo določbe 505. do 510. člena ZGD-1 (drugi odstavek 504. člena ZDG-1). V skladu s 505. členom ZGD-1 odločajo družbeniki o:

  • »sprejetju letnega poročila in uporabi bilančnega dobička;
  • zahtevi za vplačilo osnovnih vložkov;
  • vračanju naknadnih vplačil;
  • delitvi in prenehanju poslovnih deležev;
  • postavitvi in odpoklicu poslovodij;
  • ukrepih za pregled in nadzor dela poslovodij;
  • postavitvi prokurista in poslovnega pooblaščenca;
  • uveljavljanju zahtevkov družbe proti poslovodjem ali družbenikom v zvezi s povračilom škode, nastale pri ustanavljanju ali poslovodenju;
  • zastopanju družbe v sodnih postopkih proti poslovodjem, in
  • drugih zadevah, za katere tako določa ta zakon ali družbena pogodba.«.

Sklepe sprejemajo družbeniki praviloma na skupščini (prvi odstavek 507. člena ZDG-1).

Družbeniki imajo prav tako pravico do informacij in vpogleda na podlagi 512. člena ZGD-1, ki določa:

»(1) Poslovodja mora družbenika na njegovo zahtevo nemudoma obvestiti o zadevah družbe ter mu dovoliti vpogled v knjige in spise.

(2) Poslovodja sme zavrniti zahtevo po informacijah ali vpogledu, če je verjetno, da bi jih družbenik uporabil za namen, ki je v nasprotju z interesi družbe, in bi s tem družbi ali z njo povezani družbi prizadel občutno škodo. O odklonitvi zahteve dokončno odločajo družbeniki.«.

 

Če je v družbeni pogodbi določeno, da ima družba nadzorni svet, se zanj smiselno uporabljajo določbe o nadzornem svetu v delniški družbi, če družbena pogodba ne določa drugače (514. člen ZGD-1), splošne pristojnosti nadzornega sveta delniške družbe pa določa ZGD-1 v določbah členov 281 in 282. Iz določb 281. člena ZGD-1 izhaja, da nadzorni svet nadzoruje vodenje poslov družbe, pregleduje in preverja knjige in dokumentacijo družbe, njeno blagajno, shranjene vrednostne papirje in zaloge blaga ter druge stvari, prav tako lahko od uprave zahteva kakršnekoli informacije, potrebne za izvajanje nadzora. Če torej povzamemo, lahko nadzorni svet zahteva od uprave kakršnekoli informacije, potrebne za izvajanje nadzora, tudi določene podatke o zaposlenih.

 

Družba z omejeno odgovornostjo ima enega ali več poslovodij (direktorjev), ki na lastno odgovornost vodijo posle družbe in jo zastopajo (515. člen ZGD-1). Če ima družba nadzorni svet, poslovodjo imenuje in odpokliče ta svet (četrti odstavek 515. člena ZGD-1).

 

Izhajajoč iz navedenega in razpoložljivih informacij IP meni, da je nadzorni svet upravičen pridobiti od poslovodje (direktorja) podatke o višini plače posameznega zaposlenega, ko gre v skladu s tretjim odstavkom 10. člena ZVOP-1 za izvajanje njegovih zakonitih pristojnosti. Družbeniki d.o.o. pa imajo že po zakonu, torej po ZGD-1, pravico, da jih poslovodja (direktor) na zahtevo obvesti o zadevah družbe ter jim dovoli vpogled v knjige in spise.

 

IP na tem mestu poudarja, da so vsi, ki obdelujejo osebne podatke posameznikov, dolžni varovati osebne podatke, s katerimi se seznanijo pri opravljanju svojih funkcij, del in nalog, upravljavec pa je dolžan sprejeti ustrezne ukrepe za zavarovanje teh podatkov.

 

Glede načina posredovanja osebnih podatkov IP pojasnjuje, da je pri posredovanju potrebno preprečiti nepooblaščeno obdelavo osebnih podatkov, pa tudi preprečiti slučajno ali namerno nepooblaščeno uničevanje podatkov ter njihovo spremembo ali izgubo. Razlika pri posredovanju je lahko že samo v tem, ali se osebni podatki obdelujejo ročno, ali pa s pomočjo sredstev za avtomatsko obdelavo podatkov. Postopki in ukrepi za zavarovanje podatkov so odvisni tudi od uporabljene strojne in programske opreme, pa od tega, komu in na kakšen način se podatki posredujejo. Na primer pri komunikaciji preko elektronske pošte je zaradi možnosti zlorab in nepooblaščenega dostopa, pri obdelavi osebnih podatkov potrebna posebna skrbnost. IP pojasnjuje, da je posredovanje osebnih podatkov prek elektronskih omrežij pod splošnimi pogoji dopustno.

 

IP je pri svojem delu že obravnaval primere glede posredovanja podatkov članom nadzora oziroma upravljanja poslovnega subjekta. Predlagamo vam, da se z njimi seznanite. Priporočamo vam, da si v zvezi s tem preberete npr. mnenja št. 0712-674/2008/2, 0712-1/2016/1279 in 0712-1/2016/1491.[1]

 

Izpostavljamo, da Splošna Uredba (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba o varstvu podatkov), ki bo s 25. 5. 2018 »nasledila« ZVOP-1, vsebuje določbe o obdelavi osebnih podatkov v II. poglavju, v skladu s katerimi je obdelava osebnih podatkov zakonita le in kolikor je med drugim izpolnjen vsaj eden od določenih pogojev, med katerimi so tudi:

  • posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov (a);
  • obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe (b);
  • obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca (c);
  • obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu (e);
  • obdelava je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok (f).

Države članice lahko ohranijo ali uvedejo podrobnejše določbe, da bi prilagodile uporabo te uredbe v zvezi z obdelavo osebnih podatkov za zagotovitev skladnosti s točkama (c) in (e), tako da podrobneje opredelijo posebne zahteve v zvezi z obdelavo ter druge ukrepe za zagotovitev zakonite in poštene obdelave, tudi za posebne primere obdelave iz poglavja IX (drugi odstavek 6. člena Splošne uredbe o varstvu podatkov). Tretji odstavek 6. člena Splošne uredbe o varstvu podatkov nadalje določa:

»Podlaga za obdelavo iz točk (c) in (e) odstavka 1 je določena v skladu s:

  1. pravom Unije; ali
  2. pravom države članice, ki velja za upravljavca.«.

 

S spoštovanjem!

 

Pripravila:

Nataša Siter, univ. dipl. prav.,

svetovalka IP

 

Informacijski pooblaščenec:

Mojca Prelesnik, univ. dipl. prav.,

informacijska pooblaščenka

 


[1] Dostopna preko našega spletnega iskalnika na povezavi: www.ip-rs.si/varstvo-osebnih-podatkov/iskalnik-po-odlocbah-in-mnenjih/