Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Iskalnik po mnenjih GDPR

+ -
Datum: 21.11.2019
Naslov: Povezana družba
Številka: 0712-1/2019/2672
Vsebina: Pravne podlage, Upravljanje gospodarskih družb, Zakoniti interesi
Pravni akt: Mnenje

Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaše zaprosilo za mnenje v zvezi z ureditvijo obdelave osebnih podatkov v okviru povezanih podjetij.

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba o varstvu podatkov), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju: ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju: ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.

 

IP uvodoma poudarja, da v okviru mnenja ne more presojati ustreznosti določenih rešitev z vidika skladnosti z obstoječimi predpisi. Presojo o ustreznosti lahko izvede le v okviru konkretnega inšpekcijskega ali upravnega postopka.

V skladu s 4. členom Splošne uredbe o varstvu podatkov pojem »upravljavec« pomeni fizično ali pravno osebo, javni organ, agencijo ali drugo telo, ki samo ali skupaj z drugimi določa namene in sredstva obdelave, pojem »povezana družba« pa pomeni obvladujočo družbo in njene odvisne družbe. Recitala 36 in 37 dodatno pojasnjujeta razmerja znotraj povezane družbe. Tako določata, da bi obvladujoča družba morala biti tista, ki ima lahko na druge družbe odločilen vpliv (npr. zaradi lastništva, finančne udeležbe ali pooblastila za izvajanje predpisov o varstvu osebnih podatkov). Družbo, ki nadzira obdelovanje osebnih podatkov v družbah, povezanih z njo, bi bilo treba skupaj s temi družbami razumeti kot povezano družbo. Kadar obdelavo izvaja povezana družba, bi bilo treba glavni sedež obvladujoče družbe šteti za glavni sedež povezane družbe, razen kadar namene in sredstva obdelave določa druga družba. Bistven pomen ima torej določitev namenov in sredstev obdelave. Recital 48 pa določa, da upravljavci, ki so del povezane družbe ali institucij, povezanih z osrednjim telesom, lahko imajo zakoniti interes za posredovanje osebnih podatkov znotraj povezane družbe v notranje upravne namene, vključno z obdelavo osebnih podatkov strank ali zaposlenih.

 

IP pojasnjuje, da mora za vsako obdelavo osebnih podatkov obstajati ustrezna pravna podlaga. Skladno s prvim odstavkom 6. člena Splošne uredbe je obdelava zakonita le in kolikor je izpolnjen vsaj eden od naslednjih pogojev:

a) posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov;

b) obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe;

c) obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca;

d) obdelava je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe;

e) obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu;

f) obdelava je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok.

 

Kot omenjeno zgoraj, recital 48 določa, da upravljavci, ki so del povezane družbe ali institucij, povezanih z osrednjim telesom, lahko imajo zakoniti interes (torej pravno podlago v smislu točke (f) prvega odstavka 6. člena Splošne uredbe o varstvu podatkov) za posredovanje osebnih podatkov znotraj povezane družbe v notranje upravne namene, vključno z obdelavo osebnih podatkov strank ali zaposlenih. To pomeni, da bi v konkretnem primeru lahko pravno podlago za posamezne obdelave osebnih podatkov znotraj povezane družbe (tudi tiste, ki jih naštevate v vašem zaprosilu) predstavljali zakoniti interesi, za katere si prizadevate kot upravljavec, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki.

 

IP ob tem opozarja, da je presoja glede zakonitosti obdelave oziroma obstoja ustrezne pravne podlage za posamezno obdelavo in odgovornost zanjo vedno na upravljavcu osebnih podatkov.

 

Ob tem IP splošno pojasnjuje, da splošni elektronski naslovi podjetij (npr. infoping@podjetjepong.si) načeloma ne predstavljajo osebnih podatkov, ampak podatke o pravnih osebah, ki načeloma ne uživajo zakonskega varstva po predpisih, ki urejajo varstvo osebnih podatkov. Takšni elektronski naslovi bi lahko izjemoma predstavljali osebne podatke le, če bi bili dodeljeni le enemu posamezniku in bi tega posameznika bilo mogoče identificirati.

 

 

S spoštovanjem.

 

 

Pripravil:

Matej Sironič,                                                  

Svetovalec pooblaščenca

za varstvo osebnih podatkov

 

 

Mojca Prelesnik, univ. dipl. prav.,

Informacijska pooblaščenka