Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Iskalnik po mnenjih GDPR

+ -
Datum: 18.04.2019
Naslov: Pogodbena obdelava in odvisna družba
Številka: 0712-1/2019/917
Vsebina: Delovna razmerja, Pogodbena obdelava podatkov
Pravni akt: Mnenje

Informacijski pooblaščenec (v nadaljevanju IP) je po elektronski pošti prejel vašo prošnjo za pojasnilo, ali je dejansko obvladujoča družba lahko pogodbeni obdelovalec osebnih podatkov zaposlenih v odvisni družbi, tudi brez posebnega pisnega pristanka zaposlenih.

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Uredba), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašimi vprašanji.

 

IP uvodoma izpostavlja, da v sklopu neobvezujočega mnenja vsekakor ne more presojati konkretnih dejanj obdelav, temveč lahko to stori šele v okviru inšpekcijskega postopka, zato v nadaljevanju podaja splošna pojasnila.

 

V skladu s členom 4 Uredbe pojem »upravljavec« pomeni fizično ali pravno osebo, javni organ, agencijo ali drugo telo, ki samo ali skupaj z drugimi določa namene in sredstva obdelave, pojem »obdelovalec« pomeni fizično ali pravno osebo, javni organ, agencijo ali drugo telo, ki obdeluje osebne podatke v imenu upravljavca, pojem »povezana družba« pa pomeni obvladujočo družbo in njene odvisne družbe. Uvodni določbi 36 in 37 Uredbe dodatno pojasnjujeta razmerja znotraj povezane družbe. Tako določata, da bi obvladujoča družba morala biti tista, ki ima lahko na druge družbe odločilen vpliv (npr. zaradi lastništva, finančne udeležbe ali pooblastila za izvajanje predpisov o varstvu osebnih podatkov). Družbo, ki nadzira obdelovanje osebnih podatkov v družbah, povezanih z njo, bi bilo treba skupaj s temi družbami razumeti kot povezano družbo. Bistven pomen ima torej določitev namenov in sredstev obdelave. Uvodna določba 48 pa določa, da upravljavci, ki so del povezane družbe ali institucij, povezanih z osrednjim telesom, lahko imajo zakoniti interes za posredovanje osebnih podatkov znotraj povezane družbe v notranje upravne namene, vključno z obdelavo osebnih podatkov strank ali zaposlenih. Bistveno je torej, da presodite, ali gre v vašem primeru za povezane družbe v smislu Uredbe ali pa gre za dva povsem ločena upravljavca, ki v medsebojnem razmerju nastopajo kot upravljavec in pogodbeni obdelovalec. Pogodbeni obdelovalci so tiste organizacije oziroma posamezniki, ki po naročilu določenega upravljavca osebnih podatkov in v skladu z njegovimi zahtevami za določeno nalogo oz. namen zanj obdelujejo osebne podatke posameznikov. Razmerje med upravljavcem in obdelovalcem Uredba ureja v členu 28, kjer določa, da obdelavo s strani obdelovalca ureja pogodba ali drug pravni akt v skladu s pravom Unije ali pravom države članice, ki določa obveznosti obdelovalca do upravljavca, v katerem so določeni vsebina in trajanje obdelave, narava in namen obdelave, vrsta osebnih podatkov, kategorije posameznikov, na katere se nanašajo osebni podatki, ter obveznosti in pravice upravljavca. Ta pogodba ali drug pravni akt zlasti določa, da obdelovalec:

  1. osebne podatke obdeluje samo po dokumentiranih navodilih upravljavca, vključno glede prenosov osebnih podatkov v tretjo državo ali mednarodno organizacijo, razen če to od njega zahteva pravo Unije ali pravo države članice, ki velja za obdelovalca; v slednjem primeru obdelovalec o tej pravni zahtevi pred obdelavo podatkov obvesti upravljavca, razen če zadevno pravo prepoveduje takšno obvestilo na podlagi pomembnih razlogov v javnem interesu;

  2. zagotovi, da so osebe, ki so pooblaščene za obdelavo osebnih podatkov, zavezane k zaupnosti ali jih k zaupnosti zavezuje ustrezen zakon;

  3. sprejme vse ukrepe, potrebne v skladu s členom 32;

  4. spoštuje pogoje iz odstavkov 2 in 4 za zaposlitev drugega obdelovalca;

  5. ob upoštevanju narave obdelave pomaga upravljavcu z ustreznimi tehničnimi in organizacijskimi ukrepi, kolikor je to mogoče, pri izpolnjevanju njegovih obveznosti, da odgovori na zahteve za uresničevanje pravic posameznika, na katerega se nanašajo osebni podatki, iz poglavja III;

  6. upravljavcu pomaga pri izpolnjevanju obveznosti iz členov 32 do 36 ob upoštevanju narave obdelave in informacij, ki so dostopne obdelovalcu;

  7. v skladu z odločitvijo upravljavca izbriše ali vrne vse osebne podatke upravljavcu po zaključku storitev v zvezi z obdelavo ter uniči obstoječe kopije, razen če pravo Unije ali pravo države članice predpisuje shranjevanje osebnih podatkov;

  8. da upravljavcu na voljo vse informacije, potrebne za dokazovanje izpolnjevanja obveznosti iz tega člena, ter upravljavcu ali drugemu revizorju, ki ga pooblasti upravljavec, omogoči izvajanje revizij, tudi pregledov, in pri njih sodeluje.

 

V zvezi s točko (h) obdelovalec nemudoma obvesti upravljavca, če po njegovem mnenju navodilo krši to uredbo ali druge določbe Unije ali predpisov držav članic o varstvu podatkov. Pravni akt mora torej vsebovati vsaj zgoraj naštete vsebine, saj člen 28 Uredbe določa njegov minimalni obseg, lahko pa seveda vsebuje tudi dodatne elemente v zvezi z obdelavo podatkov. Zgolj enostranska izjava obdelovalca seveda ne zadostuje za skladnost z zahtevami člena 28 Uredbe. IP poudarja, da je bistvenega pomena dejstvo, da lahko obdelovalec osebne podatke obdeluje zgolj za namene, za katere ga je pooblastil upravljavec in torej osebnih podatkov ne obdeluje za lastne namene. V kolikor boste na podlagi navedenega ocenili, da gre v vašem primeru za pogodbeno obdelavo, je treba njuno medsebojno razmerje urediti na zgoraj opisan način. Če pa bi šlo pri prenosu osebnih podatkov k družbi materi oz. kaki drugi članici skupine za širši obseg nalog in pooblastil, tudi takih, ki jih sam upravljavec osebnih podatkov ne bi mogel izvajati, pač pa jih na ravni celotne skupine izvaja, npr. družba mati, potem je težko govoriti o pogodbeni obdelavi osebnih podatkov, saj gre dejansko za prenos podatkov k drugemu upravljavcu, za kar mora obstajati primerna pravna podlaga. V primeru povezanih družb je to za posredovanje podatkov znotraj povezane družbe lahko zakoniti interes (člen 6(1)(f) v povezavi z uvodno določbo 48 Uredbe) in ni potrebno iskati pravne podlage v soglasju zaposlenih, kot ga določa člen 6(1)(a) Uredbe. Na tem mestu vas IP usmerja na smernice o pogodbeni obdelavi osebnih podatkov, ki se nahajajo na povezavi: https://www.ip-rs.si/fileadmin/user_upload/Pdf/smernice/Smernice_o_pogodbeni_obdelavi_web.pdf.

 

Upoštevajoč navedeno je torej bistveno vprašanje, kaj je pravna podlaga za posredovanje in če to ni privolitev, potem posebnih privolitev zaposlenih ni potrebno niti primerno pridobivati. Vsekakor pa morajo biti v skladu s 13. členom Uredbe ustrezno seznanjeni z informacijami o obdelavi njihovih osebnih podatkov (vzorec takšnega obvestila je na voljo tudi na spletni strani IP: www.ip-rs.si/obrazci/varstvo-osebnih-podatkov/).

 

V upanju, da ste dobili odgovor na svoje vprašanje, vas lepo pozdravljamo.

 

 

Mojca Prelesnik, univ.dipl.prav.,

informacijska pooblaščenka

 

 

 

 

Pripravila:

Jasmina Mešić,
svetovalka pooblaščenca za preventivo