Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Iskalnik po mnenjih GDPR

+ -
Datum: 06.05.2019
Naslov: Posredovanje podatkov članom nadzornega sveta
Številka: 0712-1/2019/1040
Vsebina: Upravljanje gospodarskih družb
Pravni akt: Mnenje

Informacijski pooblaščenec (v nadaljevanju IP) je prejel vaše elektronsko sporočilo, v katerem navajate, da ste s strani predsednika nadzornega sveta družbe prejeli zadolžitev, da članom nadzornega sveta posredujete vsa sistematizirana delovna mesta, zasedenost le-teh ter podatek o bruto plači za vsako posamezno delovno mesto izplačano v preteklem mesecu. Prosite za povratno informacijo, kako je s posredovanjem zgoraj navedenih podatkov v luči Splošne uredbe o varstvu podatkov (ang. GDPR).

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov; v nadaljevanju Splošna uredba), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07; v nadaljevanju ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, s spremembami in dopolnitvami; v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem. Ob tem IP poudarja, da izven postopka inšpekcijskega nadzora konkretnih obdelav in zavarovanja osebnih podatkov ne more presojati.

 

IP uvodoma pojasnjuje, da Splošna uredba v prvi točki člena 4 »osebni podatek« opredeljuje kot katero koli informacijo v zvezi z določenim ali določljivim posameznikom (v nadaljnjem besedilu: posameznik, na katerega se nanašajo osebni podatki); določljiv posameznik je tisti, ki ga je mogoče neposredno ali posredno določiti, zlasti z navedbo identifikatorja, kot je ime, identifikacijska številka, podatki o lokaciji, spletni identifikator, ali z navedbo enega ali več dejavnikov, ki so značilni za fizično, fiziološko, genetsko, duševno, gospodarsko, kulturno ali družbeno identiteto tega posameznika.

 

Skladno s predhodno navedeno določbo, v primeru posredovanja nadzornemu svetu zgolj sistematiziranih delovnih mest, zasedenosti le-teh in podatka o bruto plači za vsako posamezno delovno mesto, morda niti ne bi šlo za obdelavo osebnih podatkov.

 

V kolikor bi bili v konkretnem primeru posredovani podatki, ki bi skladno s prvo točko člena 4 Splošne uredbe pomenili osebne podatke (v primeru na primer posredovanja zasedenosti mest, še imena in priimki oseb na teh delovnih mestih), bi za zakonito obdelavo osebnih podatkov potrebovali ustrezno pravno podlago. Pravne podlage za obdelavo osebnih podatkov so urejene v prvem odstavku 6. člena Splošne uredbe. Obdelava osebnih podatkov je zakonita le in kolikor je izpolnjen vsaj eden od naslednjih pogojev:

  1. posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov;
  2. obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe
  3. obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca;
  4. obdelava je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe;
  5. obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu;
  6. obdelava je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok.

 

Kot ste že sami navedli, naloge nadzornega sveta določa Zakon o gospodarskih družbah (Uradni list RS, št. 65/09, s spremembami in dopolnitvami; v nadaljevanju ZGD-1) v 281. členu. Nadzorni svet nadzoruje vodenje poslov družbe. Za ta namen lahko pregleduje in preverja knjige in dokumentacijo družbe, njeno blagajno, shranjene vrednostne papirje in zaloge blaga ter druge stvari. Nadzorni svet lahko od uprave zahteva kakršnekoli informacije, potrebne za izvajanje nadzora.

 

V primeru obdelave osebnih podatkov, bi šlo za obdelavo osebnih podatkov znotraj upravljavca, zato IP opozarja na 25. člen ZVOP-1 in člen 32 Splošne uredbe glede dolžnosti zagotovitve zavarovanja osebnih podatkov oziroma zagotovitve ustrezne ravni varnosti glede na tveganje. Upravljavec osebnih podatkov je dolžan v svojih internih aktih (na primer v pravilniku) predpisati postopke in ukrepe za zavarovanje osebnih podatkov ter določiti osebe, ki so odgovorne za določene zbirke osebnih podatkov in osebe, ki lahko zaradi narave njihovega dela obdelujejo določene osebne podatke. Hkrati pa je potrebno upoštevati še načelo najmanjšega obsega podatkov iz točke c prvega odstavka člena 5 Splošne uredbe in sicer, da so osebni podatki ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo.

 

Lep pozdrav,

 

Pripravil:

Žiga Veber

nadzornik pooblaščenca II

 

Mojca Prelesnik

Informacijska pooblaščenka