Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Mnenja - VOP

+ -
Datum: 09.10.2017
Naslov: Posredovanje osebnih podatkov nadzornemu svetu
Številka: 0712-1/2017/1943
Vsebina: Upravljanje gospodarskih družb, Delovna razmerja
Pravni akt: Mnenje

Spoštovani,

 

Informacijski pooblaščenec (v nadaljevanju IP) je prejel vaše zaprosilo za mnenje, v katerem sprašujete, ali lahko nadzorni svet delniške družbe zahteva, da se v poročilu o tveganjih, ki ga pripravlja določeno področje, navedejo tudi imena vodij določenih organizacijskih enot. Seznanjeni ste z določbami ZGD-1 glede pristojnosti nadzornega sveta in mnenji IP, se vam pa poraja vprašanje, kako lahko ime in priimek določene osebe prispeva k nadzoru nad sistemom obvladovanja tveganj.

 

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju na podlagi 7. točke prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07, uradno prečiščeno besedilo, v nadaljevanju ZVOP-1) ter 2. člena Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašimi vprašanji.

 

Splošno pravno podlago za obdelavo osebnih podatkov opredeljuje ZVOP-1 kot temeljni in sistemski predpis s področja varstva osebnih podatkov v 8. členu, ki določa, da se osebni podatki lahko obdelujejo (posredujejo, sporočajo, razkrivajo, zbirajo, uporabljajo ipd.) le, če obdelavo osebnih podatkov in osebne podatke, ki se obdelujejo, določa zakon, ali če je za obdelavo določenih osebnih podatkov podana osebna privolitev posameznika. Pravno podlago za obdelavo osebnih podatkov v zasebnem sektorju (kamor sodijo tudi zavarovalnice) določa 10. člen ZVOP-1. Obdelava osebnih podatkov v zasebnem sektorju je na podlagi prvega odstavka 10. člena ZVOP-1 dopustna, če obdelavo osebnih podatkov in osebne podatke, ki se obdelujejo, določa zakon ali če je za obdelavo določenih osebnih podatkov podana osebna privolitev posameznika.

V konkretnem primeru pravno podlago, ki jo za obdelavo osebnih podatkov zahteva 10. člen ZVOP-1, predstavlja 281. člen Zakona o gospodarskih družbah (Uradni list RS, št. 65/09 – uradno prečiščeno besedilo, 33/11, 91/11, 32/12, 57/12, 44/13 – odl. US, 82/13, 55/15 in 15/17, v nadaljevanju: ZGD-1),  na podlagi katerega nadzorni svet nadzoruje vodenje poslov družbe, pregleduje in preverja knjige in dokumentacijo družbe, njeno blagajno, shranjene vrednostne papirje in zaloge blaga ter druge stvari, prav tako lahko od uprave zahteva kakršnekoli informacije, potrebne za izvajanje nadzora. Če torej povzamemo, lahko nadzorni svet zahteva od uprave kakršnekoli informacije, potrebne za izvajanje nadzora, tudi določene podatke o zaposlenih.

Kot ste že sami navedli, nadzorni svet za izvajanje svojih nalog (nadzor vodenja poslov družbe) lahko zahteva kakršnekoli informacije, potrebne za izvajanje nadzora. Katere osebne podatke potrebuje v zvezi z nadzorom nad vodenjem poslov družbe, IP ne more presojati, a glede na 281. člen ZGD-1 bi lahko pridobival tudi podatke o vodjih posameznih področij. Poleg tega 48. člen Zakona o delovnih razmerjih (Uradni list RS, št. 21/13, 78/13 – popr., 47/15 – ZZSDT, 33/16 – PZ-F, 52/16 in 15/17 – odl. US, v nadaljevanju ZDR-1) v prvem odstavku določa, da se osebni podatki delavcev lahko zbirajo, obdelujejo, uporabljajo in posredujejo tretjim osebam samo, če je to določeno s tem ali drugim zakonom ali če je to potrebno zaradi uresničevanja pravic in obveznosti iz delovnega razmerja ali v zvezi z delovnim razmerjem. Imena delavcev se tako lahko obdelujejo v povezavi z delom, ki ga v podjetju opravljajo.

IP ponovno poudarja, da je navedeno mnenje neobvezno, oblikovano glede na razpoložljive informacije, o ustreznosti in zakonitosti posredovanja osebnih podatkov v konkretnem primeru pa lahko presoja le v okviru inšpekcijskega postopka, ko so znane vse konkretne okoliščine posameznega primera.

Na koncu IP le še izpostavlja, da Splošna Uredba (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov), ki bo »nasledila« ZVOP-1, vsebuje določbe o dopustnih pravnih podlagah za obdelavo osebnih podatkov v členu 6, ki v točki (1)(c) določa, da je obdelava osebnih podatkov zakonita, če je (med drugim) potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca, pri čemer pa Splošna uredba o varstvu podatkov v odstavku 2 istega člena določa, da države članice lahko ohranijo ali uvedejo podrobnejše določbe, da bi prilagodile uporabo pravil te uredbe v zvezi z obdelavo osebnih podatkov za zagotovitev skladnosti s točkama (c) in (e) odstavka 1, tako da podrobneje opredelijo posebne zahteve v zvezi z obdelavo ter druge ukrepe za zagotovitev zakonite in poštene obdelave, tudi za druge posebne primere obdelave iz poglavja IX.

 

Lepo vas pozdravljamo,

 

Pripravila:

Sonja Božič Testen,

državna nadzornica za varstvo osebnih podatkov

 

Informacijski pooblaščenec:

Mojca Prelesnik, univ. dipl. prav.,

informacijska pooblaščenka