Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Iskalnik po mnenjih GDPR

+ -
Datum: 19.12.2018
Naslov: Obveznosti revizijskih družb od posameznikov
Številka: 0712-3/2018/2608
Vsebina: Razno
Pravni akt: Mnenje

IP meni, da ko revizijska družba pridobiva in obdeluje osebne podatke od upravljavca (naročnika revizijske storitve) na podlagi zakona (ZRev-2) za namen izvedbe zunanje revizije, obveščanje posameznikov po členu 14 Splošne uredbe ni potrebno, saj gre za izjemo po členu 14 (5) (c) Splošne uredbe.

 

Ko revizijska družba nastopa kot samostojen upravljavec osebnih podatkov zaposlenih pri revidirancu, potem zanjo veljajo vse zahteve glede varstva osebnih podatkov, ki veljajo za upravljavca po Splošni uredbi.

brnili ste se na Informacijskega pooblaščenca RS (v nadaljevanju IP) s svojim zaprosilom za mnenje, v katerem pojasnjujete, da revizijske družbe pri izvajanju zunanje revizije pridobivate osebne podatke svojih naročnikov (zlasti zaposlenih pri naročniku) na podlagi prvega odstavka 37. člena ZRev-2. Zanima vas:

 

1. ali morate v okviru svojih obveznosti obveščanja, obveščati zaposlene glede obdelave osebnih podatkov, oziroma ali za ta primer velja izjema po členu 14(5) Splošne uredbe, ki izvzema obveznost obveščanja, kadar obdelava poteka na podlagi zakona.

2. katere so obveznosti revizijske družbe glede varstva osebnih podatkov zaposlenih pri naročniku zunanje revizije.

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba o varstvu podatkov), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašimi vprašanji.

 

 

IP meni, da ko revizijska družba pridobiva in obdeluje osebne podatke od upravljavca (naročnika revizijske storitve) na podlagi zakona (ZRev-2) za namen izvedbe zunanje revizije, obveščanje posameznikov po členu 14 Splošne uredbe ni potrebno, saj gre za izjemo po členu 14 (5) (c) Splošne uredbe.

 

Ko revizijska družba nastopa kot samostojen upravljavec osebnih podatkov zaposlenih pri revidirancu, potem zanjo veljajo vse zahteve glede varstva osebnih podatkov, ki veljajo za upravljavca po Splošni uredbi.

 

 

Obrazložitev

 

Ad. 1

 

Člen 14 (1) Splošne uredbe določa, da kadar osebni podatki niso bili pridobljeni od posameznika, na katerega se ti nanašajo, upravljavec posamezniku, na katerega se nanašajo osebni podatki, zagotovi določene informacije. V 5. odstavku so določene izjeme od obveznosti obveščanja. Iz točke (c) izhaja, da informacij ni treba posredovati, ko je pridobitev ali razkritje izrecno določeno s pravom Unije ali pravom države članice, ki velja za upravljavca in s katerim so določeni ustrezni ukrepi za zaščito zakonitih interesov posameznika, na katerega se nanašajo osebni podatki. Iz evropskih Smernic o transparentnosti z dne 11. 4. 2018 izhaja, da je treba izjemo zapisano v določbi (c) razumeti v luči uvodne določbe 41, ki za zahteva, da mora biti zakonska podlaga za obdelavo osebnih podatkov jasna in natančna, njena oziroma njegova uporaba pa predvidljiva za osebe, na katere se nanašata, v skladu s sodno prakso Sodišča Evropske unije (v nadaljnjem besedilu: Sodišče) in Evropskega sodišča za človekove pravice.

 

Ko revizijska družba obdeluje osebne podatke upravljavcev (svojih naročnikov) za namen izvedbe zunanje revizije, podatke obdeluje v skladu z Zakonom o revidiranju (Uradni list RS, št. 65/08 in 63/13 – ZS-K; v nadaljevanju ZRev-2). Prvi odstavek 37. člena ZRev-2 določa, da mora poslovodstvo pravne osebe, pri kateri poteka revidiranje, revizijski družbi posredovati vso zahtevano dokumentacijo in ji omogočiti vpogled v poslovne knjige, spise in računalniške zapise. Revizijski družbi mora pravna oseba v okviru običajnega poslovnega časa omogočiti dostop do poslovnih prostorov.« Dostop do dokumentacije in s tem tudi do osebnih podatkov (zaposlenih in drugih oseb), omogoča nadaljnjo obdelavo, ki je potrebno za izvedbo revizijske storitve.

 

IP ugotavlja, da se izjema po določbi 14(5) (c) nanaša na pravno podlago, ki omogoča pravno varnost in s tem predvidljivost pravnih razmerij. Pravna varnost kot temeljno načelo delovanja pravne države mora predstavljati podstat vsaki zakonski določbi, sicer bi lahko bila takšna določba neustavna. ZRev-2 poleg omenjene določbe po prvem odstavku 37. člena, ZRev-2 vsebuje tudi druge določbe, ki opredelujejo pogoje izvajanja revizije. ZRev-2 tako npr. določa, da mora revizijska družba revidiranje v pravni osebi opravljati neodvisno, nepristransko ter v skladu s pravili revidiranja. Določa tudi obvezno sklenitev pisne pogodbe za vsak revizijski posel posebej. Dalje ZRev-2 določa, da mora revizijska družba kot zaupne varovati vse podatke, dejstva in okoliščine, za katere je izvedela pri opravljanju revidiranja. Iz ureditve izvajanja revizije po mnenju IP izhaja zadostna mera predvidljivosti, da je mogoče pravila za izvajanje revidiranja razumeti kot ustrezno zakonsko podlago za obdelavo osebnih podatkov. Povedano drugače, zakonska podlaga za obdelavo osebnih podatkov, ki izhaja iz ZRev-2 ustreza zahtevi po jasni in predvidljivi pravni normi, ki je osnovni element izjeme po členu 14 (5) (c) Splošne uredbe. Ko torej revizijska družba pridobiva in obdeluje osebne podatke od upravljavca (naročnika revizijske storitve) na podlagi zakona (ZRev-2) za namen izvedbe zunanje revizije, obveščanje posameznikov po členu 14 Splošne uredbe ni potrebno, saj gre za izjemo po členu 14 (5) (c) Splošne uredbe.

 

Ob zgoraj navedenem pa poudarjamo, da 13. člen Splošne uredbe ne vsebuje izjem glede obveščanja, zgolj zato, ker se podatki zbirajo na podlagi zakona. Iz navedenega razloga ima revidiranec (naročnik revizije) dolžnost obvestiti posameznike, komu bo posredoval osebne podatke. Posledično pa imajo posamezniki tudi možnost pri revizijski družbi kot upravljavcu njihovih podatkov, uveljavljati vse svoje pravice glede obdelave osebnih podatkov – med drugim tudi pravico do seznanitve z lastnimi osebnimi podatki po členu 15 Splošne uredbe.

 

Ad. 2

 

Ko revizijska družba obdeluje osebne podatke zaposlenih pri revidirancu in pri tem nastopa kot upravljavec osebnih podatkov, mora zagotavljati varstvo osebnih podatkov, kot velja za upravljavce po Splošni uredbi. S tem v zvezi mora npr. posameznikom omogočiti uresničevanje njihovih pravic, zagotoviti varnost obdelave osebnih podatkov, vzpostaviti morebitne evidence, kjer je to potrebno, itd. Za natančnejši pregled obveznosti upravljavcev predlagamo pregled spletne strani IP (https://www.ip-rs.si/) oziroma spletne strani upravljavec.si (https://upravljavec.si/), ki jo je IP pred kratkim izdal s ciljem približevanja zahtev s skladnostjo s Splošno uredbo.

 

 

Lep pozdrav,

 

Pripravil:

 

 

Anže Novak, univ. dipl. prav.

 

Mojca Prelesnik

Asistent svetovalca IP

 

informacijska pooblaščenka