Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Iskalnik po mnenjih GDPR

+ -
Datum: 25.10.2019
Naslov: Dostop do podatkov dolžnikov za člane nadzornega sveta
Številka: 0712-1/2019/2048
Vsebina: Upravljanje gospodarskih družb
Pravni akt: Mnenje

Obrnili ste se na Informacijskega pooblaščenca RS (v nadaljevanju IP) s svojim zaprosilom za mnenje. Zanima vas ali se lahko nadzorni svet v komunalnem podjetju seznani z vsemi terjatvami družbe (ime in priimek oziroma naziv dolžnika, znesek in datum zapadlosti). Pojasnjujete, da je uprava družbe že podala nadzornemu svetu seznam dolžnikov podjetja s šifro posameznega dolžnika, ki izkazuje, višino in znesek zapadlih terjatev. Na podlagi mnenja Združenja nadzornikov Slovenije, da je nadzorni svet upravičen dostopati do vseh informacij družbe, vključno z osebnimi imeni in priimki dolžnikov, je nadzorni svet zahteval dopolnitev seznama z imeni in priimki dolžnikov. Zanima vas, kako lahko v konkretnem primeru zagotovite izvajanje načela najmanjšega obsega podatkov skladno s členom 6(1)(c) Splošne uredbe.

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba o varstvu podatkov), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašimi vprašanji.

 

IP pojasnjuje, da je na vprašanje podobno vašemu že odgovoril v mnenju Posredovanje podatkov članom nadzornega sveta, št. 0712-1/2019/1040 z dne 06.05.2019, ki je dostopno na spletni strani IP.

 

IP dodaja, da je nadzorni svet družbe kot del upravljavca praviloma upravičen dostopati tudi do podatkov o dolžnikih, kolikor je to potrebno za izvajanje njegovih nalog kot nadzornega sveta družbe. V skladu z 281. členom Zakona o gospodarskih družbah (Uradni list RS, št. 65/09, s spremembami in dopolnitvami; v nadaljevanju ZGD-1) nadzorni svet med drugim nadzoruje tudi vodenje poslov družbe. Po mnenju IP vodenje poslov družbe vključuje tudi nadzor nad izterjavo neplačanih terjatev, kar je lahko povezano tudi z dostopom do osebnih podatkov dolžnikov. Nadzorni svet je ob tem zavezan spoštovati tudi pogoje zavarovanja osebnih podatkov, ki jih predpisujeta 25. člen ZVOP-1 in člen 32 Splošne uredbe; podrobnejše pogoje glede zavarovanja osebnih podatkov pa določajo tudi interna pravila upravljavca.

 

Iz določbe 5 (1)(c) Splošne uredbe izhaja načelo najmanjšega obsega podatkov, po katerem morajo biti osebni podatki ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo. Slednje načelo velja tudi za primere omejitve dostopa v smislu varnosti zbirk osebnih podatkov. To pomeni, da je za varno obdelavo osebnih podatkov treba omejiti dostope do osebnih podatkov na relevantne glede na namen obdelave. Kot navajate, ste nadzorni svet že seznanili s podatki o dolžnikih (brez imeni in priimkov, le s šifro). IP pojasnjuje, da gre v tem primeru za t.i. psevdonimizacijo osebnih podatkov, kar še vedno predstavlja obdelavo osebnih podatkov. Psevdonimizacija je eden od ukrepov varnosti, ki jo predpisuje tudi člen 32 Splošne uredbe, kot primer ukrepa za zagotavljanje varnosti, ki zmanjšuje tveganja za neupravičen poseg v varovane pravice in svoboščine posameznikov. Tak ukrep nedvomno zagotavlja višjo raven varstva osebnih podatkov. Ali bi bila obdelava osebnih podatkov s strani nadzornega sveta lahko upravičena tudi brez tovrstnega ukrepa, pa je IP lahko ugotavlja le v okviru inšpekcijskega postopka po presoji vseh okoliščin primera. Glede na zakonsko ureditev položaja nadzornega sveta, pa IP meni, da se nadzornemu svetu praviloma ne bi smelo omejevati dostop do informacij družbe, vključno z osebnimi podatki dolžnikov, razen če za to obstajajo konkretna in utemeljena tveganja. 

 

Lep pozdrav,

 

 

Mojca Prelesnik, univ. dipl. prav.

informacijska pooblaščenka

 

 

Pripravil:

Anže Novak, univ. dipl. prav.                                       

Svetovalec Pooblaščenca za preventivo