Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Iskalnik po mnenjih GDPR

+ -
Datum: 15.10.2019
Naslov: Obdelava OP za presojo neodvisnosti in nepristranskosti po ZRev-2
Številka: 0712-1/2019/2336
Vsebina: Delovna razmerja, Pravne podlage, Zavarovanje osebnih podatkov
Pravni akt: Mnenje

Informacijski pooblaščenec (v nadaljevanju IP) je po elektronski pošti prejel vaše zaprosilo za mnenje, v katerem najprej pojasnjujete, da je vaša družba z dejavnostjo revidiranja, skupaj s še dvema družbama v Sloveniji, del globalne mreže povezanih družb. Navajate, da so zaradi revizijske dejavnosti vse tri družbe v Sloveniji podvržene: Zakonu o revidiranju in nadzoru Agencije za nadzor nad revidiranjem, IESBA kodeksu, ki določa delovanje revizijskih družb ter pravilom globalne mreže družb, ki so zapisana v globalnem priročniku za obvladovanje tveganj. Pojasnjujete, da posamezna družba z namenom zagotavljanja neodvisnosti in preverbe osebnih aktivnosti zaposlenih: - preko različnih dokumentov zbira različne podatke o zaposlenih in njihovih ožjih družinskih članih, med katere po definiciji štejejo zakonski in izvenzakonski partnerji, mladoletni otroci in otroci, ki ji starši še preživljajo; - za izbrane zaposlene in njihove ožje družinske člane zahteva izvorno dokumentacijo, ki potrjuje navedbe v zgoraj omenjenih dokumentih (npr. dohodninske napovedi, izpiski iz transakcijskih računov pri borzno posredniških družbah, zavarovalne police, kreditne pogodbe, …). Dokumentacijo družbam za svoje družinske člane posredujejo zaposleni. Vezano na zakonodajo o varstvu osebnih podatkov in drugo zakonodajo, vas zanima sledeče: Ali lahko tovrstne podatke, predvsem pa dokumentacijo zahtevate od zaposlenih oz. neposredno od njihovih ožjih družinskih članov? Ali je kakšna razlika pri zahtevanih postopkih, če vam to dokumentacijo zaposleni posredujejo samo na vpogled? Kakšni so pogoji za hrambo tovrstne dokumentacije?

 

***

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju na podlagi 58. člena Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba), 7. točke prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07, uradno prečiščeno besedilo, v nadaljevanju ZVOP-1) ter 2. člena Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem. Ob tem IP poudarja, da izven postopka inšpekcijskega nadzora konkretnih obdelav osebnih podatkov ne more presojati.

 

Temeljna zahteva pri obdelavi osebnih podatkov je, da za vsako obdelavo obstaja ustrezna pravna podlaga. Pravne podlage so urejene v členu 6 (1) Splošne uredbe. Ta določa, da je obdelava zakonita le in kolikor je izpolnjen vsaj eden od naslednjih pogojev:

(a) posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov;

(b) obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe;

(c) obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca;

(d) obdelava je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe;

(e) obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu;

(f) obdelava je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok.

 

Splošna uredba v točki e prvega odstavka člena 5 Splošne uredbe na splošno ureja rok hrambe osebnih podatkov enotno za vse vrste osebnih podatkov. Ta določa, da so osebni podatki lahko hranjeni v obliki, ki dopušča identifikacijo posameznikov, na katere se nanašajo osebni podatki, le toliko časa, kolikor je potrebno za namene, za katere se osebni podatki obdelujejo. Osebni podatki se lahko shranjujejo za daljše obdobje, če bodo obdelani zgolj za namene arhiviranja v javnem interesu, za znanstveno ali zgodovinsko raziskovalne namene ali statistične namene v skladu s prvim odstavkom člena 89, pri čemer je treba izvajati ustrezne tehnične in organizacijske ukrepe iz Splošne uredbe, da se zaščitijo pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki. Po izpolnitvi namena obdelave se torej osebni podatki zbrišejo, uničijo, blokirajo ali anonimizirajo, če niso na podlagi zakona, ki ureja arhivsko gradivo in arhive, opredeljeni kot arhivsko gradivo, oziroma če zakon za posamezne vrste osebnih podatkov ne določa drugače. V tovrstnih primerih pravica posameznika do izbrisa podatkov ne pride v poštev. V skladu s členom 17 Splošne uredbe ima namreč vsak posameznik pravico doseči, da upravljavec brez nepotrebnega odlašanja izbriše osebne podatke v zvezi z njim, kadar so izpolnjeni določeni pogoji, pri čemer pa opozarjamo na določbe točke b tretjega odstavka 17. člena Splošne uredbe, ki določa, da se prva dva odstavka ne uporabljata, če je obdelava potrebna za izpolnjevanje pravne obveznosti obdelave na podlagi prava Unije ali prava države članice, ki velja za upravljavca, ali za uveljavljanje, izvajanje ali obrambo pravnih zahtevkov.

 

Področje delovnega prava je specialno urejeno predvsem v Zakonu o evidencah na področju dela in socialne varnosti (Uradni list RS, št. 40/06; v nadaljevanju ZEPDSV) in Zakonu o delovnih razmerjih (Uradni list RS, št. 21/13, s spremembami in dopolnitvami; v nadaljevanju ZDR-1). Zaradi izrazite neenakosti moči strank v delovnopravnih razmerjih oziroma zaradi varstva delavca, ki je v razmerju do delodajalca zagotovo šibkejša stranka, je zakonodajalec to področje uredil strožje, zaradi česar na tem področju praviloma ne dopušča avtonomije strank v smislu, da bi delodajalec lahko brez podlage v zakonu od delavca zahteval katerekoli osebne podatke. Delodajalec mora za vsak podatek, ki ga zahteva od delavca, izkazati, da njegovo obdelavo določa zakon ali da ga potrebuje za izvrševanje pravic in obveznosti iz delovnega razmerja. Osebna privolitev delavca je dopustna le izjemoma pod pogojem, da zavrnitev soglasja nima posledic na delovno razmerje oziroma na delavčev pravni položaj.

 

ZEPDSV v 12. členu določa vrste in vsebino evidenc na področju dela in socialne varnosti, ki jih vodi delodajalec, podrobnejša vsebina posamezne evidence pa je opredeljena v členih od 13 do 21. ZEPDSV v 14. členu določa, da se evidenca o zaposlenih delavcih iz 13. člena začne za posameznega delavca voditi z dnem, ko sklene pogodbo o zaposlitvi, preneha pa z dnem, ko mu preneha pogodba o zaposlitvi, pri čemer je obveznost delavca, da delodajalcu prijavi spremembe osebnih podatkov iz a) točke 13. člena ZEPDSV v osmih dneh po nastanku spremembe. Dokumenti s podatki o delavcu, za katerega se preneha voditi evidenca o zaposlenih delavcih, in izvirne listine, na podlagi katerih se vpisujejo podatki v evidenco o zaposlenih delavcih, se hranijo kot listina trajne vrednosti, ki jo mora delodajalec predložiti na zahtevo pristojnega organa (3. odst. 14. člena ZEPDSV). Smiselno enako se kot listina trajne vrednosti, ki jo mora delodajalec predložiti na zahtevo pristojnega organa, hranijo dokumenti o podatkih o delavcu, za katerega se preneha voditi evidenca o stroških dela (2. odst. 17. člena ZEPDSV) oz. evidenca o izrabi delovnega časa (2. odst. 19. člena ZEPDSV). Ob prenehanju dejavnosti delodajalca prevzame arhiv podatkov o delavcu pravni naslednik. Če pravnega naslednika ni, arhivsko gradivo prevzame Arhiv Republike Slovenije.

 

ZDR-1 v 48. členu določa, da se lahko osebni podatki delavcev zbirajo, obdelujejo, uporabljajo in dostavljajo tretjim osebam samo, če je to določeno z zakonom ali če je to potrebno zaradi uresničevanja pravic in obveznosti iz delovnega razmerja ali v zvezi z delovnim razmerjem. Osebne podatke delavcev lahko zbira, obdeluje, uporablja in posreduje tretjim osebam samo delodajalec ali delavec, ki ga delodajalec za to posebej pooblasti. Osebni podatki delavcev, za zbiranje katerih ne obstoji več zakonska podlaga, se morajo v skladu s 3. odst. 48. člena ZDR-1 takoj zbrisati in prenehati uporabljati.

 

Delodajalec lahko torej praviloma obdeluje tiste delavčeve osebne podatke, ki jih določa ZEPDSV in v skladu z 48. členom ZDR-1 tiste osebne podatke, za katere izkaže, da jih potrebuje zaradi uresničevanja pravic in obveznosti iz delovnega razmerja ali v zvezi z delovnim razmerjem, med te pa sodijo tudi osebni podatki družinskih članov delavca, katere ZDR-1 opredeljuje v 26. členu. Delodajalec torej tudi podatke o družinskih članih pridobi na podlagi zakona, in sicer zaradi uresničevanja pravic in obveznosti iz delovnega razmerja ali v zvezi z delovnim razmerjem delavca, zato jih delodajalec praviloma zbere oz. pridobi posredno preko delavca, s katerim ima pogodbeno razmerje in ne neposredno od posameznih družinskih članov.

 

Med osebne podatke delavca, ki jih delodajalec potrebuje zaradi uresničevanja pravic in obveznosti iz delovnega razmerja ali v zvezi z delovnim razmerjem sodijo tudi obdelave, ki jih natančneje določajo področni predpisi, ki pridejo v poštev tudi v vašem konkretnem primeru izpolnjevanja zahtev po neodvisnosti in nepristranskosti iz 44. do 45.a člena Zakona o revidiranju (Uradni list RS, št. 65/08, 63/13 – ZS-K in 84/18; v nadaljevanju ZRev-2), skladno z vzpostavljenim mehanizmom notranjega obvladovanja kakovosti, ki obsega usmeritve in postopke revizijske družbe iz 1. odst. 45.a člena ZRev-2. Obdelava osebnih podatkov v obsegu, nujno potrebnem in sorazmernem za izpolnjevanje zahtev po neodvisnosti in nepristranskosti iz 44. do 45.a člena ZRev-2 pomeni obdelavo, ki se izvaja v skladu s pravno obveznostjo, ki velja za upravljavca in ima podlago v pravu Unije ali pravu države članice.

 

Ker pa ZRev-2 načina zbiranja, shranjevanja, uporabe, posredovanja in drugih vrst obdelav osebnih podatkov iz zbirk, ki se v revizijski družbi oblikujejo pri izpolnjevanju zahtev po neodvisnosti in nepristranskosti posebej ne ureja, revizijske družbe to lahko podrobneje predpišejo v okviru sistema notranjega obvladovanja kakovosti, ki med drugim obsega ustrezne in učinkovite organizacijske in administrativne ureditve za preprečevanje, ugotavljanje, odpravljanje ali obvladovanje in razkritje nevarnosti za njeno neodvisnost in nepristranskost ter ustrezne usmeritve in postopke za izvajanje revidiranja, usposabljanja, nadzora in pregleda dejavnosti zaposlenih ter organiziranje strukture revizijskega spisa. Sestavni del teh usmeritev in postopkov so seveda lahko tudi obdelave osebnih podatkov po IESBA kodeksu oz. obdelave, ki izhajajo iz pravil globalne mreže družb, če niso v nasprotju s pravnimi obveznostmi, ki veljajo za upravljavca in imajo podlago v pravu Unije ali pravu države članice (v konkretnem primeru zlasti obveznosti iz Splošne uredbe in ZVOP-1 ter ZDR-1 in ZEPDSV). Revizijska družba pri izpolnjevanju zahtev iz 1. odst. 45.a člena ZRev-2 upošteva obseg in kompleksnost svojih dejavnosti, da lahko Agenciji za nadzor nad revidiranjem dokaže ustreznost vzpostavljenih usmeritev in postopkov, katere skladno z 2. odst. 45.a člena ZRev-2 dokumentira in posreduje vsem zaposlenim v revizijski družbi.

 

Revizijske družbe pri zasledovanju obdelav nujno potrebnega in sorazmernega obsega (vrst) osebnih podatkov, da dosežejo namen izpolnitve zahtev po neodvisnosti in nepristranskosti skladno z ZRev-2, predpišejo poštene in pregledne postopke obdelav glede na posameznika, na katerega se osebni podatki nanašajo. Poštena obdelava med ostalim vključuje razumna pričakovanja posameznikov, na katere se nanašajo osebni podatki, upoštevajoč možne negativne posledice zanje, ki izhajajo iz potencialnih učinkov neravnovesja moči med njimi in upravljavcem. Bistvena zahteva načela preglednosti v fazi zbiranja osebnih podatkov je, da so posamezniku, katerega osebni podatki se obdelujejo (zaposlenemu, družinskemu članu, stranki, partnerju,…), pravočasno zagotovljene vse informacije iz členov 13 in / ali 14, na način iz člena 12 Splošne uredbe, v ostalih fazah obdelav osebnih podatkov pa, da je temu posamezniku pri upravljavcu omogočeno še uveljavljanje ostalih pravic po Splošni uredbi: dostop do osebnih podatkov (člen 15), do popravka (člen 16), do izbrisa (ali pozabe, člen 17), do omejitve obdelav (člen 18), do prenosljivosti podatkov (člen 20), do ugovora (člen 21) ter pravica, da zanj ne velja odločitev, ki temelji zgolj na avtomatizirani obdelavi, vključno z oblikovanjem profilov (člen 22).  

 

Pri določitvi usmeritev in postopkov zbiranja osebnih podatkov in shranjevanja dokaznih listin ter drugih dokumentov za preverjanje in potrjevanje verodostojnosti predloženih podatkov, revizijska družba upošteva načelo najmanjšega obsega podatkov, ki določa, da morajo biti pod pogojem, da obstaja pravna podlaga, osebni podatki, ki se obdelujejo, ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo, ter na načelo omejitve shranjevanja, ki določa, da morajo biti osebni podatki hranjeni v obliki, ki dopušča identifikacijo posameznikov, na katere se osebni podatki nanašajo, le toliko časa, kolikor je potrebno za določene, izrecne in zakonite namene.

 

Iz 7. in 8. odst. 45.b člena ZRev-2 izhaja, da izpolnjevanje zahtev po neodvisnosti in nepristranskosti iz 44. do 45.a člena ZRev-2 revizijska družba oceni za vsako revizijo in to dokumentira v revizijskem spisu. Presoja o tem, ali bo izpolnjevanje zahtev dokumentirano z zbranimi in shranjenimi izvirnimi listinami, njihovimi kopijami ali zgoj s prepisom relevantnih osebnih podatkov oz. zaznambo o izpolnitvi določenega pogoja ali prepovedi na podlagi vpogleda pooblaščene osebe revizijske družbe v zahtevane listine oz. dokumentacijo, je v rokah revizijske družbe in zavisi od konkretnih okoliščin (od ocene verodostojnosti do ocene tveganj, ki jih posamična možnost izkazovanja izpolnitve zahtev vsebuje). Večji kot je obseg obdelav osebnih podatkov in zbrane dokumentacije za preverjanje in potrjevanje verodostojnosti zbranih podatkov, višjo raven varnosti (zavarovanja zbirk osebnih podatkov) glede na tveganja za pravice in svoboščine posameznikov mora upravljavec zagotoviti z izvajanjem ustreznih tehničnih in organizacijskih ukrepov.

 

Neodvisnost se skladno s 5. odst. 44. člena ZRev-2 zagotovi v obdobju, ki ga zajemajo računovodski izkazi, ki se revidirajo, in v obdobju, v katerem se izvaja obvezna revizija. Po izteku tega obdobja revizijska družba nima več pravne podlage za hrambo osebnih podatkov (v katerikoli obliki, razen v anonimizirani), ki jih je zaradi uresničevanja pravic in obveznosti iz delovnega razmerja ali v zvezi z delovnim razmerjem delavca zbrala za namen izkazovanja zahtev neodvisnosti in nepristranskosti na podlagi ZRev-2, če niso na podlagi zakona, ki ureja arhivsko gradivo in arhive, opredeljeni kot arhivsko gradivo, oziroma če drug zakon za posamezne vrste osebnih podatkov ne določa drugače.

 

Več o varstvu osebnih podatkov v delovnih razmerjih si lahko preberete v smernicah IP: https://www.ip-rs.si/fileadmin/user_upload/Pdf/smernice/Smernice_-_Varstvo_OP_v_delovnih_razmerjih.pdf.

 

 

Mojca Prelesnik, univ.dipl.prav.,                                                 

informacijska pooblaščenka