Informacijski pooblaščenec Republika Slovenija
    SLO | ENG
dekorativna slika

Iskalnik po mnenjih GDPR

+ -
Datum: 17.11.2020
Naslov: Obdelava OP v skupini
Številka: 07121-1/2020/2068
Vsebina: Pravne podlage, Upravljanje gospodarskih družb
Pravni akt: Mnenje

Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaše zaprosilo za mnenje v zvezi z obdelavo osebnih podatkov v okviru povezanih podjetij.

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba o varstvu podatkov), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju: ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju: ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.

IP uvodoma poudarja, da v okviru mnenja ne more presojati ustreznosti določenih rešitev z vidika skladnosti z obstoječimi predpisi. Presojo o ustreznosti lahko izvede le v okviru konkretnega inšpekcijskega ali upravnega postopka. IP tako ne nudi storitve pregleda ali vnaprejšnje odobritve različnih storitev, projektov, aplikacij ali drugih sistemov, ki jih uvajajo posamezni upravljavci, z vidika njihove skladnosti z veljavnimi predpisi. IP tako v okviru mnenja ne more presojati ustreznosti projekta, ki ga opisujete v vašem zaprosilu za mnenje.

IP nadalje splošno pojasnjuje, da mora upravljavec pred uvedbo rešitve (v konkretnem primeru projekta) presoditi dopustnost in sorazmernost obdelav osebnih podatkov, če bodo v njenem okviru obdelovani osebni podatki. Vsaka obdelava osebnih podatkov mora potekati transparentno in skladno z določbami Splošne uredbe o varstvu podatkov. Upravljavec je dolžan posameznike, ki bodo udeleženi v projektu oziroma katerih osebni podatki bodo v okviru izvajanja projekta obdelovani, seznaniti s projektom, nameni, za katere bodo pridobljeni podatki uporabljeni, ter o ostalih pomembnih vidikih obdelave osebnih podatkov, ki so določeni v 13. členu Splošne uredbe o varstvu podatkov. Navedene informacije morajo biti čim bolj jasne, pregledne in udeležencem razumljive ter lahko dostopne.

IP nadalje pojasnjuje, da v skladu s 4. členom Splošne uredbe o varstvu podatkov pojem »upravljavec« pomeni fizično ali pravno osebo, javni organ, agencijo ali drugo telo, ki samo ali skupaj z drugimi določa namene in sredstva obdelave, pojem »povezana družba« pa pomeni obvladujočo družbo in njene odvisne družbe. Recital 48 pa določa, da upravljavci, ki so del povezane družbe ali institucij, povezanih z osrednjim telesom, lahko imajo zakoniti interes za posredovanje osebnih podatkov znotraj povezane družbe v notranje upravne namene, vključno z obdelavo osebnih podatkov strank ali zaposlenih.

IP pojasnjuje, da mora za vsako obdelavo osebnih podatkov obstajati ustrezna pravna podlaga. Skladno s prvim odstavkom 6. člena Splošne uredbe je obdelava zakonita le in kolikor je izpolnjen vsaj eden od naslednjih pogojev:

a)    posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov;
b)    obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe; 
c)    obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca; 
d)    obdelava je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe; 
e)    obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu; 
f)    obdelava je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok.

 

Kot omenjeno zgoraj, recital 48 določa, da upravljavci, ki so del povezane družbe ali institucij, povezanih z osrednjim telesom, lahko imajo zakoniti interes (torej pravno podlago v smislu točke (f) prvega odstavka 6. člena Splošne uredbe o varstvu podatkov) za posredovanje osebnih podatkov znotraj povezane družbe v notranje upravne namene, vključno z obdelavo osebnih podatkov strank ali zaposlenih. To pomeni, da bi v konkretnem primeru morda lahko pravno podlago za posamezne obdelave osebnih podatkov znotraj povezane družbe (tudi tiste, ki jih opisujete v vašem zaprosilu) predstavljali zakoniti interesi, za katere si prizadevate kot upravljavec, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki.

IP ob tem opozarja, da je presoja glede zakonitosti obdelave oziroma obstoja ustrezne pravne podlage za posamezno obdelavo in odgovornost zanjo vedno na upravljavcu osebnih podatkov.

IP posebej opozarja tudi na načelo najmanjšega obsega podatkov, ki določa, da morajo biti pod pogojem, da obstaja pravna podlaga, osebni podatki, ki se obdelujejo, ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo. Navedeno načelo pomeni, da je potrebno obdelovati samo toliko osebnih podatkov udeležencev, kolikor je nujno potrebno za izpolnitev namena projekta.

Ob tem mora upravljavec poskrbeti tudi za zavarovanje zbirke osebnih podatkov, ki nastane pri izvajanju projekta. Gre za organizacijske in tehnične ukrepe, ki jih določata Splošna uredba o varstvu podatkov (32. člen) in ZVOP-1 (24. in 25. člen). Ob tem IP posebej opozarja, da mora delodajalec kot upravljavec osebnih podatkov v okviru ukrepov zavarovanja osebnih podatkov v skladu s 24. členom ZVOP-1 med drugim zagotoviti tudi, da do podatkov ne dostopajo nepooblaščene osebe in omogočiti poznejše ugotavljanje kdaj so bili posamezni osebni podatki vneseni v zbirko osebnih podatkov, uporabljeni ali drugače obdelani in kdo je to storil, in sicer za obdobje, ko je mogoče zakonsko varstvo pravice posameznika zaradi nedopustnega posredovanja ali obdelave osebnih podatkov. Omenjena obveznost velja za vse upravljavce, ne glede na področje njihovega delovanja. S tem v zvezi IP pojasnjuje tudi, da po mnenju IP pravica do seznanitve iz 15. člena Splošne uredbe o varstvu podatkov ne omogoča tudi pravice do pridobitve podatka o zaposlenih osebah pri upravljavcu, ki so vpogledovale ali drugače obdelovale osebne podatke posameznika. IP namreč meni, da podatkov o tem, kdo in kdaj je uporabljal posameznikove osebne podatke, ki se nahajajo v t.i. zapisih upravljavca o sledljivosti obdelave osebnih podatkov po 5. točki prvega odstavka 24. člena ZVOP-1 (t.i. notranja sledljivost), ne bi smeli šteti za osebne podatke posameznika, saj gre za podatke o dostopu do njegovih podatkov, ne pa za njegove podatke.

IP sklepno ponovno poudarja, da ustreznosti določenih rešitev v okviru mnenja ne more presojati, niti ne more vnaprej priporočati ali celo potrjevati posameznih rešitev z vidika skladnosti s Splošno uredbo o varstvu podatkov. Presoja glede zakonitosti obdelave oziroma obstoja pravne podlage za posamezno obdelavo in odgovornost zanjo je vedno na upravljavcu osebnih podatkov.

 

S spoštovanjem.

 

 

 

Pripravil:

Matej Sironič,                                                  

Svetovalec pooblaščenca

za varstvo osebnih podatkov

 

Mojca Prelesnik, univ. dipl. prav.,

Informacijska pooblaščenka