Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Mnenja - VOP

+ -
Datum: 07.03.2018
Naslov: Obveznosti povezanih družb
Številka: 0712-3/2018/75
Vsebina: Razno
Pravni akt: Mnenje

Dne 6. 2. 2018 ste na Informacijskega pooblaščenca RS (v nadaljevanju IP) naslovili svoje zaprosilo za mnenje s področja uporabe Splošne Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov). Zanima vas, ali ste dolžni izpolnjevati vse zahteve Splošne uredbe o varstvu podatkov, ki so povezane z družbami nad 250 zaposlenih, ker v Sloveniji delujete kot hčerinska družba s 6 zaposlenimi, vaše matično podjetje pa s hčerinskimi podjetji po Evropi zaposluje okoli 450-500 oseb. Pojasnjujete, da opravljate storitve dostave pošiljk spletnih prodajalcev blaga fizičnim strankam. Vaš naročnik - spletni prodajalec, vam za namen izvedbe storitve dostave posreduje ime, priimek, naslov in v večini primerov tudi telefonsko številko njihovega kupca. Podatke kupcev za namen dostave posredujete svojim podizvajalcem – prevoznikom. Podatki kupcev spletnih nakupov ostanejo v vašem računalniškem programu in na potrdilu o dostavi, ki vam ga potrdi prejemnik pošiljke.

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju na podlagi 7. točke prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07, uradno prečiščeno besedilo, v nadaljevanju ZVOP-1) ter 2. člena Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašimi vprašanji.

 

 

IP pojasnjuje, da je omejitev 250 zaposlenih zgolj eden od kriterijev glede obveznosti vodenja evidenc zbirk osebnih po 30. členu Splošne uredbe. Obveznosti veljajo tudi v primeru, da obdelava, ki jo izvajate predstavlja tveganje za pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki, ni občasna, ali obdelava vključuje posebne vrste osebnih podatkov iz člena 9(1) ali osebne podatke v zvezi s kazenskimi obsodbami in prekrški iz člena 10. Presoja je torej na vas. Po informacijah, ki ste nam jih posredovali IP ne more sklepati ali morate evidence zbirk voditi, ker delujete kot povezana družba, saj je odgovor odvisen zlasti od narave procesov obdelave (npr. ali le občasno obdelujete osebne podatke kupcev spletnih prodajaln ali organizirate dobavo za vse države, kjer deluje skupina podjetij ipd.). Prav tako bi odvisno od narave podatkov lahko šlo morda celo za posebne vrste osebnih podatkov npr. če neka oseba pogosto naroča določen izdelek podjetja, ki izdeluje zgolj nek tip izdelkov, in bi se iz tega podatka lahko sklepalo na neko zdravstveno stanje ali drugo osebno okoliščino.

 

Ne glede na to, ali za vas veljajo obveznosti po 30. členu Splošne uredbe, pa IP priporoča, da ima vsak upravljavec (ne glede na velikost) popisane svoje zbirke osebnih podatkov – na ta način lažje izpolni obveznost, ki izhaja iz načela odgovornosti po členu 5 (2) Splošne uredbe, po katerem mora biti upravljavec sposoben dokazati, da osebne podatke obdeluje skladno s pravili varstva osebnih podatkov.

 

 

O b r a z l o ž i t e v:

 

IP uvodoma ugotavlja, da nastopate kot upravljavec zbirk podatkov kupcev (fizičnih oseb) iz spletnih prodaj. Treba je poudariti, da za samo obdelavo osebnih podatkov ni bistveno, od koga podatke pridobite (neposredno od kupcev ali od spletnega prodajalca), pomembno je, da z osebnimi podatki razpolagate oziroma jih obdelujete, za kar potrebujete ustrezno pravno podlago in morate izpolnjevati druge pogoje iz Splošne uredbe. IP poudarja, da morate kot upravljavec zbirk osebnih podatkov izpolnjevati vse obveznosti iz Splošne uredbe o varstvu podatkov, ki veljajo za vas kot upravljavca. Omejitev 250 zaposlenih, ki jo omenjate, velja le glede obveznosti vodenja evidenc skladno s 30. členom Splošne uredbe o varstvu podatkov. Ob tem IP poudarja, da je omejitev 250 zaposlenih le eden od kriterijev za določitev obveznosti po 30. členu Splošne uredbe. Po 30 (5) se obveznosti iz odstavkov 1 in 2 ne uporabljajo za podjetje ali organizacijo, ki zaposluje manj kot 250 oseb, razen če je verjetno, da obdelava, ki jo izvaja, predstavlja tveganje za pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki, ni občasna, ali obdelava vključuje posebne vrste podatkov iz člena 9(1) ali osebne podatke v zvezi s kazenskimi obsodbami in prekrški iz člena 10. Ali ste dolžni ne glede na izpolnjevanje kriterija 250 zaposlenih vseeno zadostiti zahtevam po vodenju evidenc je odvisno tudi npr. od narave blaga, spletnega prodajalca in drugih okoliščin nakupa (če bi na primer okoliščine nakupa kazale na zdravstvene podatke, spolne navade in druge osebne okoliščine kupcev, ki spadajo med »posebne vrste osebnih podatkov«).

 

Dalje, glede vašega vprašanja ali je treba pri omejitvi 250 zaposlenih upoštevati tudi povezane družbe pa IP pojasnjuje, da iz okoliščin, ki ste jih predstavili v svojem dopisu ni možno ugotoviti, ali je treba pri presoji izpolnjevanja kriterija 250 zaposlenih v zvezi z izpolnjevanjem obveznosti po 30. členu Splošne uredbe upoštevati celotno skupino podjetij. Slednje je zlasti odvisno od vseh okoliščin procesov obdelave (npr. ali obdelujete osebne podate za namen organizacije dostave le za slovenske kupce spletnih prodajaln ali za vse kupce v skupini podjetij, itd.).

 

Ne glede na to, ali izpolnjujete pogoje za obveznost vodenja evidenc po 30. členu Splošne uredbe pa IP priporoča, da imajo vsi upravljavci zbirk osebnih podatkov sistematično popisan nabor zbirk in vrst osebnih podatkov, ki jih vodijo. Le na ta način se namreč lahko zagotavlja (in preverja) skladnost z vsemi obveznostmi po Splošni uredbi, ki se nanašajo na vse upravljavce zbirk osebnih podatkov, ne glede na njihovo velikost (npr. zagotavljanje zakonitosti, pravičnosti in preglednosti obdelave; omejitve namena obdelave; obdelava najmanjšega obsega podatkov; zagotavljanje točnosti in ažurnosti podatkov; omejitve roka hrambe podatkov; zagotavljanje celovitosti in zaupnosti podatkov (informacijska varnost). Biti zmožen dokazati, da upravljavec osebne podatke obdeluje skladno s pravili varstva osebnih podatkov, pa je tudi splošna obveznost, ki jo mora po 5 (2) členu Splošne uredbe izpolniti vsak upravljavec zbirk osebnih podatkov, ne glede na svojo velikost ali obseg obdelav osebnih podatkov, ki jih izvaja.

 

Predlagamo, da za podrobnejšo seznanitev z zahtevami, ki jih uvaja evropska reforma varstva osebnih podatkov in določbami, ki veljajo tudi za vas kot upravljava zbirk, pregledate spletno stran IP, kjer so objavljena tudi pomožna gradiva v zvezi s posameznimi vprašanji varstva osebnih podatkov (gradiva, ki se nanašajo na reformo varstva osebnih podatkov so dostopna na naslednji povezavi: https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/).

 

Upamo, da smo s svojimi pojasnili uspeli pomagati.

 

Lep pozdrav,

 

Pripravil:

 

 

Anže Novak, univ. dipl. prav.

 

Mojca Prelesnik

Asistent svetovalca IP

 

informacijska pooblaščenka