Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Mnenja - VOP

+ -
Datum: 19.06.2018
Naslov: obdelovalec vs. upravljavec
Številka: 0712-3/2018/702
Vsebina: Razno
Pravni akt: Mnenje

Na Informacijskega pooblaščenca (v nadaljevanju IP) ste naslovili zaprosilo za mnenje glede vprašanja, ali je treba revizorje in revizijske družbe šteti kot upravljavce ali obdelovalce osebnih podatkov, in sicer v primerih, kadar revizijo opravljajo na podlago naročila pravne osebe iz 2. odstavka 4. člena Zakona o revidiranju (v nadaljevanju ZRev-2).

 

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba o varstvu podatkov), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju ZVOP-1) ter  2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.

 

***

 

Po določbi 7. točke 4. člena Splošne uredbe o varstvu podatkov je upravljavec fizična ali pravna oseba, javni organ, agencija ali drugo telo, ki samo ali skupaj z drugimi določa namene in sredstva obdelave. Po določbi 8. točke 4. člena Splošne uredbe o varstvu podatkov je obdelovalec fizična ali pravna oseba, javni organ, agencija ali drugo telo, ki obdeluje osebne podatke v imenu upravljavca. Po določbi člena 29 Splošne uredbe o varstvu podatkov pa obdelovalec (…) podatkov ne sme obdelati brez navodil upravljavca, razen če to od njega zahteva pravo Unije ali pravo države članice.

 

Iz navedenih opredelitev deležnikov posameznih obdelav osebnih podatkov je mogoče izluščiti tri bistvene razlikovalne elemente med upravljavcem in obdelovalcem. V vlogi obdelovalca bo nastopala tista pravna oziroma fizična oseba, ki bo obdelavo osebnih podatkov izvrševala (1) izključno v imenu in za račun upravljavca osebnih podatkov, (2) bo pri tem črpala podlago za obdelavo osebnih podatkov iz upravičenj upravljavca ter (3) bo v zvezi s samimi dejanji obdelave vezana na navodila upravljavca.

 

Glede prvega pogoja – da bo obdelavo izvrševala v imenu in za račun upravljavca – je odločilna predpostavka, da gre po naravi stvari za obdelave osebnih podatkov, ki bi jih lahko v celoti opravil upravljavec, vendar jih predvsem zaradi pomanjkanja sredstev obdelave (npr. ustrezne informacijske infrastrukture) oziroma ustreznih znanj zaposlenih pri upravljavcu (npr. znanj računovodstva, programerskih znanj …) ne more opravljati sam in zato za izvedbo posameznih storitev najame pomoč pri zunanjem izvajalcu. Bistveno pri tem je, ali pravo omogoča upravljavcu, da določena dejanja, storitve, ki vključujejo obdelavo osebnih podatkov, lahko izvrši sam. V zvezi s prvo predpostavko IP ugotavlja, da je mogoče šteti posamezne revizorje oziroma revizijsko družbo kot obdelovalce izključno v primerih, ko pravna oseba najame storitve teh subjektov za namene izvedbe notranje revizije. Kadar se torej upravljavec odloči izvesti notranjo revizijo, ki služi predvsem kot pomoč poslovodstvu  podjetja,  da  bi  učinkovito  opravljalo naloge vodenja ter zagotavljanje strokovnih ocen stanja in priporočil za izboljšanje poslovanja na revidiranem področju. Notranja revizija je namenjena preverjanju ustreznosti notranjih sistemov poslovanja ter svetovanju poslovodstva pri izboljšanju poslovanja in je povsem fakultativne narave. Za izvedbo notranje revizije lahko pravna oseba zaposli osebo, ki bo revidiranje opravljala v okviru delovnega razmerja, lahko pa se pravna oseba posluži tudi najema zunanjih strokovnjakov z ustreznim znanjem, pri čemer je pri odločitvi ali ter koga bo pravna oseba pri tem najela, povsem svobodna in je zahteva iz 1. odstavka 5. člena ZRev-2 ne zavezuje. Kadar torej gre za izvajanje storitev v okviru notranje revizije za drugo pravno osebo (upravljavca), je mogoče šteti, da revizorji oziroma pravne osebe, najete za izvedbo notranje revizije, nastopajo kot podaljšana roka upravljavca in s tem v vlogi pogodbenega obdelovalca.

 

Drugače pa IP ocenjuje pri najemu revizijske družbe za izvedbo zunanje revizije v smislu ZRev-2. Že iz določbe 1. odstavka 5. člena izhaja, da revizijo v smislu ZRev-2 lahko izvaja izključno revizijska družba. ZRev-2 sicer določa, da se revidiranje opravlja v primerih, določenih z zakonom, ali na podlagi naročila pravne osebe, vendar z vidika položaja revizijske družbe glede obdelav osebnih podatkov IP meni, da ločevanje glede na »prisilnost« oziroma »prostovoljnost« pri izvedbi zunanje revizije, ni na mestu. Tako v primerih, ko revizijo izvaja revizijska družba zaradi zakonske obveze revidiranca, kot tudi kadar se revizija izvaja na podlagi povsem prostovoljne odločitve pravne osebe, bosta položaja revizijske družbe pri izvedbi ene ali druge revizije povsem izenačena, saj bo revizor, oziroma revizijska družba tako v enem, kot v drugem primeru primorana v celoti upoštevati zahteve ZRev-2 (prim 1. odstavke 4. člena ZRev-2). V obeh primerih pa je glede na položaj revizijske družbe to šteti kot upravljavca osebnih podatkov, saj revizijo izvaja sicer po naročilu pravne osebe (zakon ne predvideva izvajanja revizije po uradni dolžnosti), vendar v svojem imenu, v takšnem svojstvu pa tudi obdeluje osebne podatke za namene, ki jih določa ZRev-2.    

 

Glede drugega pogoja – da obdelovalec črpa pravno podlago za obdelavo osebnih podatkov iz upravičenj upravljavca – je odločilno, da notranji revizor oziroma oseba, ki jo pravna oseba najame za izvedbo notranje revizije obdeluje osebne podatke v imenu in za račun pravne osebe, pri čemer sme obdelovalec obdelovati osebne podatke, če jih sme za ta namen obdelovati sam upravljavec. Z drugimi besedami navedeno pomeni, da obdelovalec nima ločene, od upravljavca neodvisne pravice do obdelovanja osebnih podatkov, pač pa se ta črpa iz upravičenja samega upravljavca. Praviloma bo imel upravljavec podlago za obdelavo osebnih podatkov za namene izvajanja notranjega revidiranja v določbi (f) točke 1. odstavka 6. člena Splošne uredbe o varstvu podatkov. Na drugi strani, bo pri izvedbi zunanje revizije revizor upravičen do seznanitve z relevantno dokumentacijo ter osebnimi podatki v njej na podlagi določb ZRev-2, in sicer 1. odstavek 37. člena. Navedena zakonska določba je namreč podlaga tako za posredovanje osebnih podatkov revizorju s strani pravne osebe, kot tudi pridobivanje osebnih podatkov na strani samega revizorja. Ker ima revizor v primeru izvedbe revizije na podlagi ZRev-2 izvorno pravico, da za namene izvedbe revizije pridobiva ter obdeluje osebne podatke od revidiranca, tudi po tem kriteriju revizijske družbe oziroma revizorja ni mogoče šteti kot obdelovalca osebnih podatkov.  

 

Glede tretjega pogoja – vezanost na navodila upravljavca v zvezi s samimi dejanji obdelave osebnih podatkov – bo v primeru izvajanja revizije po določbah ZRev-2 odločilna zahteva iz 1. odstavka 37. člena ZRev-1, ki določa, da mora revidiranec revizijski družbi posredovati vso zahtevano dokumentacijo. Katera dokumentacije in s tem osebni podatki bodo predmet revizije tako ni v pristojnosti odločanja revidiranca, pač pa revizijske družbe. Drži sicer, da lahko pride do primera, da revidiranec določene dokumentacije noče izročiti, vendar navedeno ne pomeni, da je odločitev o tem, kateri podatki so za revizijo potrebni, v rokah revidiranca. Navedeno izhaja nenazadnje iz določbe 4. odstavka 37. člena ZRev-2, ki nalaga revizorju, da v primeru opustitve sodelovalne dolžnosti revidiranca, to zapiše v samo poročilo. Dejstvo, da pri tem revizor nima na voljo vzvodov, s katerimi bi lahko prisilil upravljavca v posredovanje relevantnih dokumentov, ne pomeni, da bo revizor pripravil mnenje zgolj in izključno na podlagi posredovanih podatkov. Kadar bodo ti do te mere pomanjkljivi, da bo revizorju onemogočena izdaja strokovnega, celostnega ter nepristranskega mnenja, bo moral na podlagi 5. odstavka 41. člena ZRev-2 tudi zavrnil izdelavo mnenja.  Na tem mestu IP še dodaja, da dejstvo, da revizor pridobiva podatke od revidiranca in ne neposredno od posameznikov ali tretjih oseb, na presojo predmetnega vprašanja ne vpliva. Vir pridobivanja informacij ter podatkov pri presoji vloge določenega subjekta, ki obdeluje osebne podatke ni bistven. Bistveno je upravičenje oziroma oblast nad odločitvijo, katere podatke bo za določen namen subjekt obdeloval. In kot že navedeno, je odločitev o tem, katera dokumentacijo in s tem osebni podatki so potrebni za izvedbo revizije, v rokah revizorja in ne revidiranca.

 

Da je revizijska družba v položaju upravljavca kaže tudi določba 38. člena ZRev-2, ki opredeljuje, komu in v katerih primerih sme revizijska družba razkriti podatke, ki jih je pridobila v okviru izvajanja revizije. Tudi v tem delu revizijska družba ni vezana na navodila revidiranca, pač pa na zakonsko določene primere, v katerih bo morala razkriti podatke, četudi bi takšnemu posredovanju revidiranec nasprotoval. Izrecen pristanek oziroma soglasje revidiranca za posredovanje podatkov je namreč zgolj en izmed položajev, ko je revizijska družba upravičena razkrivati podatke (gre za 3. alinejo 4. odstavka 38. člena ZRev-2).

 

V zvezi z vašimi navedbami, da rok hrambe osebnih podatkov določa revidiranec, drži zgolj glede zbirk podatkov, ki jih obdeluje revidiranec sam, pri čemer je dolžnost hrambe revizijske dokumentacije za revizijsko družbo zapovedana v 5. odstavku 39. člena ZRev-2. Na tem mestu je še dodati, da vprašanje morebitne anonimizacije revizijske dokumentacije ni v rokah revidiranca, pač pa kvečjemu Slovenskega inštituta za revizijo, ki po navedeni določbi določa način hranjenja dokumentacije. Če bi revizijska družba v nasprotju z navodili Inštituta ter Pravili Mednarodne zveze računovodskih strokovnjakov hranila pomanjkljivo dokumentacijo, in bo iz nje izbrisala osebne podatke po navodilu revidiranca, bi po oceni IP kršila dolžnost, zapovedano v 5. odstavku 39. člena ZRev-2.

 

Ob navedenem, IP tako zaključuje, da kadar določeni subjekt (revizor ali revizijska družba) oseba izvaja revizijo po določbah ZRev-2, ta nastopa v vlogi upravljavca, ne obdelovalca tistih osebnih podatkov, ki jih pridobiva ter nadalje obdeluje za namene izvedbe revizije.

 

Lep pozdrav,

 

 

 

 

 

 

Pripravila:                                                                                              Mojca Prelesnik

Katarina Medved                                                                          informacijska pooblaščenka

državna nadzornica

za varstvo osebnih podatkov