Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Iskalnik po mnenjih GDPR

+ -
Datum: 17.04.2019
Naslov: Posredovanje osebnih podatkov zaposlenih med povezanimi družbami
Številka: 0712-1/2019/899
Vsebina: Prenos osebnih podatkov v tretje države ali mednarodne organizacije
Pravni akt: Mnenje

Informacijski pooblaščenec (v nadaljevanju IP) je po elektronski pošti prejel vaš dopis, v katerem pojasnjujete, da je določeno podjetje del skupine podjetij, ki so lastniško povezana. Podjetja znotraj skupine so v različnih državah EU, eno pa je v Bosni. Večinski lastnik od družbe v Sloveniji zahteva posredovanje podatkov o delavcih slovenske družbe. Delavce je družba zaprosila za soglasje glede posredovanja osebnih podatkov, vendar ti soglasja niso podali. Zanima vas, ali lahko slovenska družba posreduje osebne podatke delavcev omenjeni skupini.

 

***

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju na podlagi 58. člena Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba), 7. točke prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07, uradno prečiščeno besedilo, v nadaljevanju ZVOP-1) ter 2. člena Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.

 

IP uvodoma izpostavlja, da v sklopu neobvezujočega mnenja ne more presojati konkretnih dejanj obdelav, temveč lahko to stori šele v okviru inšpekcijskega postopka, zato v nadaljevanju podaja le splošna pojasnila.

 

IP pojasnjuje, da mora za vsako obdelavo osebnih podatkov obstajati ustrezna pravna podlaga. Skladno s prvim odstavkom 6. člena Splošne uredbe je obdelava zakonita le in kolikor je izpolnjen vsaj eden od naslednjih pogojev:

  1. posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov;
  2. obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe;
  3. obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca;
  4. obdelava je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe;
  5. obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu;
  6. obdelava je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok.

 

Uredba v 7. točki 4. člena določa, da »upravljavec« pomeni fizično ali pravno osebo, javni organ, agencijo ali drugo telo, ki samo ali skupaj z drugimi določa namene in sredstva obdelave. Zakon o gospodarskih družbah (Ur.l. RS, št. 65/09 uradno prečiščeno besedilo, s spremembami in dopolnitvami, v nadaljevanju ZGD-1) pa v 529. členu odvisno družbo opredeljuje kot pravno samostojno družbo, ki jo neposredno ali posredno obvladuje druga družba (obvladujoča družba). Ne glede na dejstvo, v kakšnem medsebojnem razmerju sta odvisna in obvladujoča družba, predstavljata glede na določbe ZGD-1 v celoti samostojni pravni osebi. Uredba torej ne dopušča možnosti, da bi kot isti upravljavec osebnih podatkov veljali povezani družbi temveč določa, da je vsaka gospodarska družba, ne glede na kapitalski delež drugih družb, samostojen upravljavec osebnih podatkov. Družbenik je torej samostojna pravna oseba, ki mora iskati ustrezno pravno podlago za obdelavo osebnih podatkov skladno s 6. členom Uredbe.

 

Pojem »povezana družba« je definiran v 19. točki člena 4 Splošne uredbe kot obvladujoča družba in njene odvisne družbe. Recitala 36 in 37 dodatno pojasnjujeta razmerja znotraj povezane družbe. Tako določata, da bi obvladujoča družba morala biti tista, ki ima lahko na druge družbe odločilen vpliv (npr. zaradi lastništva, finančne udeležbe ali pooblastila za izvajanje predpisov o varstvu osebnih podatkov). Družbo, ki nadzira obdelovanje osebnih podatkov v družbah, povezanih z njo, bi bilo treba skupaj s temi družbami razumeti kot povezano družbo. Kadar obdelavo izvaja povezana družba, bi bilo treba glavni sedež obvladujoče družbe šteti za glavni sedež povezane družbe, razen kadar namene in sredstva obdelave določa druga družba. Bistven pomen ima torej določitev namenov in sredstev obdelave. Recital 48 pa določa, da upravljavci, ki so del povezane družbe ali institucij, povezanih z osrednjim telesom, lahko imajo zakoniti interes za posredovanje osebnih podatkov znotraj povezane družbe v notranje upravne namene, vključno z obdelavo osebnih podatkov strank ali zaposlenih. To pomeni, da bi v konkretnem primeru, v kolikor gre za povezane družbe, lahko pravno podlago za prenos podatkov zaposlenih predstavljali zakoniti interesi, za katere si prizadeva upravljavec, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki. Vsekakor pa je dokončna presoja glede ustrezne pravne podlage za konkretno obdelavo v rokah upravljavca osebnih podatkov.

 

V kolikor bo do osebnih podatkov vaših delavcev dostopala tudi družba v Bosni, bi lahko šlo za prenos podatkov v tretjo državo. Če gre za prenos osebnih podatkov v Bosno, je v ta namen potrebno sprejeti ustrezne zaščitne ukrepe iz člena 46, s katerimi izvoznik in uvoznik podatkov zagotovita, da ni ogrožena raven varstva osebnih podatkov. Več o prenosih v tretje države si lahko preberete v naših smernicah na to temo:

https://www.ip-rs.si/fileadmin/user_upload/Pdf/smernice/Smernice_glede_prenosa_OP_v_tretje_drzave_in_mednarodne_organizacije_po_Splosni_uredbi.pdf.

 

Splošna uredba se v skladu s prvim odstavkom člena 3 uporablja za obdelavo osebnih podatkov v okviru dejavnosti sedeža upravljavca ali obdelovalca v EU, ne glede na to, ali obdelava poteka v EU ali ne. To pomeni, da je potrebno presoditi, ali konkretna obdelava poteka v okviru dejavnosti sedeža upravljavca v EU (npr. materinskega podjetja ali slovenskega podjetja). V takšnem je primeru je potrebno upoštevati tudi ostale določbe Splošne uredbe. 

 

V upanju, da ste dobili odgovor na svoje vprašanje, vas lepo pozdravljamo.

 

 

                                                                                               Mojca Prelesnik, univ.dipl.prav.,                                                 

                                                                                               informacijska pooblaščenka

 

Pripravila:                                                                                                                              

Neja Domnik, mag. prav.,

raziskovalka pri IP