Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Iskalnik po mnenjih GDPR

+ -
Datum: 28.04.2020
Naslov: Revizorji kot pogodbeni obdelovalci
Številka: 07121-1/2020/737
Vsebina: Pogodbena obdelava podatkov, Pravne podlage
Pravni akt: Mnenje

Informacijski pooblaščenec RS (v nadaljevanju IP) je dne 23. 4. 2020 prejel vaše vprašanje, ali je revizijsko družbo za izvajanje določenih storitev računovodskega in davčnega svetovanja, mogoče šteti za pogodbene obdelovalce?

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba o varstvu podatkov), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašimi vprašanji.

 

 

IP uvodoma pojasnjuje, da v okviru mnenja ne more presojati skladnosti konkretnih pravnih razmerij s pravili varstva osebnih podatkov. Slednje lahko stori le v okviru konkretnega inšpekcijskega postopka, ob preučitvi vseh okoliščin primera. Odgovornost in posledice neskladnega ravnanja pa lahko nosita tako upravljavec, kot obdelovalec osebnih podatkov. IP ob tem opozarja, da je ureditev razmerja pogodbene obdelave osebnih podatkov s pisno pogodbo ali drugim ustreznim aktom v skladu s členom 28 Splošne uredbe, obvezna tako za upravljavca kot tudi obdelovalca.

 

Glede davčnega in računovodskega svetovanja IP na splošno ugotavlja, da ni mogoč izključiti, da je sama narava svetovalne storitve neposredno povezana z obdelavo osebnih podatkov (npr. pregled obračunov plač zaposlenih; preverjanje finančnih transakcij s fizičnimi osebami; itd.). Kadar torej pride od obdelave osebnih podatkov, je dolžan subjekt, ki obdelavo izvaja, zagotoviti ustrezno pravno podlago – bodisi kot upravljavec v skladu s členom 6(1) Splošne uredbe bodisi kot obdelovalec po pogodbi o obdelavi osebnih podatkov v skladu s členom 28 Splošne uredbe.

 

IP na splošno še dodaja – kot pravilno ugotavljate že sami v svojem dopisu – da je IP opisal svoje stališče glede razmejitve med storitvami, ki jih revizijske družbe izvajajo kot obdelovalci in upravljavci, v Smernicah o (pogodbeni) obdelavi osebnih podatkov, str. 10 in 11. Iz smernic med drugim izhaja: »Kadar torej gre za izvajanje storitev v okviru notranje revizije in drugih zgoraj navedenih storitev za drugo pravno osebo (upravljavca), je mogoče šteti, da revizorji oziroma pravne osebe, najete za izvedbo notranje revizije (ali storitev na ostalih strokovnih področjih povezanih z revidiranjem, kot jih opredeljuje ZRev-2: računovodstvo, poslovne finance, notranje revidiranje, revidiranje informacijskih sistemov, davčno proučevanje in svetovanje, ocenjevanje vrednosti podjetij, nepremičnin ter strojev in opreme), nastopajo kot podaljšana roka upravljavca in s tem v vlogi pogodbenega obdelovalca.« Iz smernic dalje izhaja, da velja drugače glede t.i. »zunanjih revizij«, pri katerih mora revizijska družba v celoti upoštevati zahteve iz ZRev-2. Glede obdelav osebnih podatkov, ki jih revizijska družba izvede v okviru »zunanje revizije«, pa nastopa kot upravljavec osebnih podatkov.

 

Lep pozdrav,

 

 

Informacijski pooblaščenec

Mojca Prelesnik, univ. dipl. prav.

informacijska pooblaščenka

 

Pripravil:

Anže Novak, univ. dipl. prav.

Svetovalec Pooblaščenca za preventivo