Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Iskalnik po mnenjih GDPR

+ -
Datum: 19.11.2019
Naslov: Obdelava OP stank banke A s strani zaposlenih banke B
Številka: 0712-1/2019/2636
Vsebina: Bančništvo, Pravne podlage, Upravljanje gospodarskih družb
Pravni akt: Mnenje

Informacijski pooblaščenec (v nadaljevanju: IP) je dne 2. 11. 2019 prejel vaše elektronsko sporočilo, v katerem sprašujete v zvezi z dostopom do osebnih podatkov strank banke A s strani zaposlenih v banki B, ki je kupila banko A.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju v skladu z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju: ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju: ZInfP) posredujemo naše pisno neobvezno mnenje v zvezi z vašim vprašanjem.

 

Po mnenju IP je posredovanje osebnih podatkov strank med banko A in banko B, ki predstavljata povezani družbi v skladu z 19. točko 4. člena Splošne uredbe, dopustno, kadar gre za obdelavo osebnih podatkov za notranje upravne namene in kadar je za takšno obdelavo osebnih podatkov tudi sicer mogoče utemeljiti zakoniti interes upravljavca oziroma povezane družbe v skladu s točko (f) prvega odstavka 6. člena Splošne uredbe. Povezana družba, ki so ji bili na tak način posredovani osebni podatki, je dolžna zagotoviti obdelavo pridobljenih osebnih podatkov strank v skladu z vsemi načeli Splošne uredbe.

 

 

Obrazložitev:

 

Splošna uredba v prvem odstavku 6. člena opredeljuje zakonite pravne podlage za obdelavo osebnih podatkov, in sicer določa, da je obdelava zakonita le in kolikor je izpolnjen vsaj eden od naslednjih pogojev: (a) posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov;  (b) obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe;  (c) obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca;  (d) obdelava je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe;  (e) obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu;  (f) obdelava je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok. Pri tem se točka (f) prvega pododstavka ne uporablja za obdelavo s strani javnih organov pri opravljanju njihovih nalog.

 

Uvodna določba 47 Splošne uredbe podrobneje opredeljuje pravno podlago iz točke (f) prvega odstavka 6. člena Splošne uredbe, in sicer med drugim določa, da zakoniti interesi upravljavca, tudi upravljavca, ki se mu osebni podatki lahko razkrijejo, ali tretje osebe lahko predstavljajo pravno podlago za obdelavo, če ne prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, pri čemer se upoštevajo razumna pričakovanja posameznikov, na katere se nanašajo osebni podatki, glede na njihovo razmerje do upravljavca. Tak zakoniti interes lahko na primer obstaja, kadar obstaja zadevno in ustrezno razmerje med posameznikom, na katerega se nanašajo osebni podatki, in upravljavcem, na primer kadar je tak posameznik stranka upravljavca ali dela zanj. V vsakem primeru bi bila za ugotovitev obstoja zakonitega interesa potrebna skrbna ocena, tudi glede tega, ali posameznik, na katerega se nanašajo osebni podatki, lahko v času zbiranja osebnih podatkov in v njegovem okviru razumno pričakuje, da se bodo ti obdelali v zadevni namen. […] Tudi obdelava osebnih podatkov, nujno potrebna za preprečevanje zlorab, pomeni zakoniti interes zadevnega upravljavca podatkov. […] Nadalje uvodna določba 48 Splošne uredbe določa, da lahko imajo upravljavci, ki so del povezane družbe ali institucij, povezanih z osrednjim telesom, […] zakoniti interes za posredovanje osebnih podatkov znotraj povezane družbe v notranje upravne namene, vključno z obdelavo osebnih podatkov strank ali zaposlenih, in da to ne vpliva na splošna načela znotraj povezane družbe glede prenosa osebnih podatkov družbi v tretji državi.

 

Splošna uredba povezano družbo opredeljuje v 19. točki 4. člena kot obvladujočo družbo in njene odvisne družbe.

 

Iz navedenih določb Splošne uredbe izhaja, da je za vsakršno obdelavo osebnih podatkov, kar je tudi posredovanje osebnih podatkov, potrebna ustrezna pravna podlaga. Eno od pravnih podlag predstavljajo tudi zakoniti interesi, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika. Zakoniti interes Splošna uredba v uvodni določbi 48 izrecno izpostavlja kot možno in primerno pravno podlago za posredovanje osebnih podatkov strank znotraj povezanih družb.

 

Po mnenju IP je torej posredovanje osebnih podatkov strank med banko A in banko B, ki predstavljata povezani družbi v skladu z določbo 19. točke 4. člena Splošne uredbe, dopustno, kadar gre za obdelavo osebnih podatkov za notranje upravne namene in kadar je za takšno obdelavo osebnih podatkov tudi sicer mogoče utemeljiti zakoniti interes upravljavca oziroma povezane družbe v skladu s točko (f) prvega odstavka 6. člena Splošne uredbe. Povezana družba, ki so ji bili na tak način posredovani osebni podatki, je dolžna zagotoviti obdelavo pridobljenih osebnih podatkov v skladu z vsemi načeli obdelave osebnih podatkov iz Splošne uredbe, vključno z zagotavljanjem ustreznih pravnih podlag za nadaljnjo obdelavo, nudenjem ustreznih informacij posameznikom, na katere se osebni podatki nanašajo, omejevanjem dostopa do podatkov ter zagotavljanjem varnosti podatkov nasploh.

 

S spoštovanjem,

 

 

Pripravila:

Mojca Leitinger Okršlar,univ.dipl.prav.,

državna nadzornica za varstvo osebnih podatkov

 

 

Informacijski pooblaščenec:

Mojca Prelesnik,

informacijska pooblaščenka