Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Iskalnik po mnenjih GDPR

+ -
Datum: 28.08.2019
Naslov: Posredovanje osebnih podatkov novemu lastniku družbe
Številka: 0712-1/2019/1969
Vsebina: Posredovanje OP med upravljavci, Pravne podlage, Prenos osebnih podatkov v tretje države ali mednarodne organizacije, Privolitev, Upravljanje gospodarskih družb
Pravni akt: Mnenje

Informacijski pooblaščenec (v nadaljevanju IP) je po pošti prejel vaš dopis, v katerem pojasnjujete, da ima vaša družba sedaj novega lastnika – družbo iz Avstrije. Ta družba pa je del francoskega koncerna. Zanima vas sledeče:

  1. Na kateri pravni podlagi lahko posredujete osebne podatke zaposlenim v avstrijskem podjetju in francoskem koncernu.
  2. Ali za takšno posredovanje podatkov potrebujete kakšna zavezujoča poslovna pravila, izjave.
  3. Ali morate dopolniti interne akte.
  4. S strani stanovalcev in zaposlenih imate podpisane privolitve k obdelavo osebnih podatkov, ali jih boste morali dopolniti. 

***

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju na podlagi 58. člena Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba), 7. točke prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07, uradno prečiščeno besedilo, v nadaljevanju ZVOP-1) ter 2. člena Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.

 

IP uvodoma pojasnjuje, da vam v okviru neobvezujočega mnenja ne more podati dokončnih odgovorov, saj to lahko stori zgolj v okviru postopka inšpekcijskega nadzora. Ne glede na to pa vam podajamo splošne usmeritve, ki vam bodo lahko v pomoč pri vašim vprašanjih.

 

K 1. vprašanju:

Za vsako obdelavo osebnih podatkov je potrebno zagotoviti ustrezno pravno podlago, kakor to določa člen 6 Splošne uredbe. Obdelava je tako zakonita le in kolikor je izpolnjen vsaj eden od naslednjih pogojev:

  1. posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov;
  2. obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe;
  3. obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca;
  4. obdelava je potrebna za zaščito posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe;
  5. obdelava je potrebna za opravljanje nalog v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu;
  6. obdelava je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok.

IP vas v zvezi z vprašanjem glede pravne podlage za posredovanje osebnih podatkov med povezanimi družbami napotuje na svoje mnenje, ki je objavljeno na spletni strani:

 

Dokončno presojo o ustrezni pravni podlagi za konkretne obdelave osebnih podatkov pa je dolžan opraviti upravljavec sam. IP izpostavlja, da je lahko ustrezna pravna podlaga za obdelavo različnih osebnih podatkov različna.  

 

K 2. vprašanju:

IP ni povsem jasno, ali imate v mislih prenos osebnih podatkov iz Evropske unije (EU) oz. Evropskega gospodarskega prostora (EGP) v tretje države. V takšnem primeru so lahko poslovna zavezujoča pravila (ang. Binding Corporate Rules, BCR), kakor so urejena v členu 47 Splošne uredbe, instrument, na podlagi katerega je mogoče prenesti osebne podatke iz EU/EGP.

 

Vendar pa pri posredovanju podatkov iz Slovenije zgolj v Avstrijo in Francijo načeloma ne pride do prenosa osebnih podatkov v tretje države, saj so te države znotraj EU (bodite pa pozorni saj lahko pride do prenosa že z npr. hrambo podatkov na ameriških strežnikih). Več o prenosu podatkov v tretje države si lahko preberete tukaj: https://www.ip-rs.si/varstvo-osebnih-podatkov/obveznosti-upravljavcev/iznos-osebnih-podatkov-v-tretje-drzave/.

 

V kolikor pa ste imeli v mislih dokumente, pravila oz. kodekse, ki predstavljajo interne akte ali akte znotraj skupine podjetij, vam vsekakor svetujemo, da jih imate. Namreč na takšen način lahko uredite svojo politiko oz. politiko skupine podjetij glede varstva osebnih podatkov. Napotujemo vas na našo spletno stran, ki je namenjena upravljavcem osebnih podatkov in vam bo lahko v pomoč: https://upravljavec.si/.

 

K 3. vprašanju:

Svetujemo vam, da interne akte prilagodite spremembam, do katerih je prišlo s prevzemom družbe.

 

K 4. vprašanju:

Od pravne podlage, na podlagi katere obdelujete osebne podatke, je odvisno, ali potrebujete nove privolitve s strani zaposlenih in stanovalcev. V kolikor določene osebne podatke obdelujete na podlagi privolitve in je zaradi spremembe lastništva prišlo do sprememb pri tej obdelavi (npr. te podatke posredujete materinskemu podjetju), bo najverjetneje potrebno pridobiti nove privolitve posameznikov. IP vas v zvezi s privolitvijo napotuje na svojo spletno stran, ki vam bo lahko v pomoč: https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/kljucna-podrocja-uredbe/privolitev/. V kolikor pa obdelujete osebne podatke na drugi pravni podlagi, ni potrebno pridobiti privolitve posameznikov. Dokončna presoja glede ustrezne pravne podlage za obdelavo osebnih podatkov je v rokah upravljavca osebnih podatkov.

 

V upanju, da ste dobili odgovor na svoje vprašanje, vas lepo pozdravljamo.

 

                                                                                               Mojca Prelesnik, univ.dipl.prav.,                                                  

                                                                                               informacijska pooblaščenka

 

Pripravila:                                                                                                                              

Neja Domnik, mag. prav.,

raziskovalka pri IP