Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Iskalnik po mnenjih GDPR

+ -
Datum: 12.09.2019
Naslov: Revizijska kontrola poslovanja
Številka: 0712-1/2019/2085
Vsebina: Pogodbena obdelava podatkov
Pravni akt: Mnenje

Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaše zaprosilo za mnenje glede obdelave osebnih podatkov ob izvedbi revizijske kontrole poslovanja.

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba o varstvu podatkov), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju: ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju: ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.

 

IP poudarja, da v okviru mnenja ne more presojati ustreznosti določene rešitve z vidika skladnosti z obstoječimi predpisi. Presojo o ustreznosti lahko izvede le v okviru konkretnega inšpekcijskega ali upravnega postopka. Presoja glede zakonitosti obdelave oziroma obstoja pravne podlage za posamezno obdelavo je na vsakem upravljavcu (oz. obdelovalcu) posebej.

 

IP uvodoma pojasnjuje, da v skladu s 4. členom Splošne uredbe o varstvu podatkov pojem »upravljavec« pomeni fizično ali pravno osebo, javni organ, agencijo ali drugo telo, ki samo ali skupaj z drugimi določa namene in sredstva obdelave, pojem »obdelovalec« pa pomeni fizično ali pravno osebo, javni organ, agencijo ali drugo telo, ki obdeluje osebne podatke v imenu upravljavca.

 

Pogodbeni obdelovalci so tiste organizacije oziroma posamezniki, ki po naročilu določenega upravljavca osebnih podatkov in v skladu z njegovimi zahtevami za določeno nalogo oz. namen zanj obdelujejo osebne podatke posameznikov. IP poudarja, da je bistvenega pomena dejstvo, da lahko obdelovalec osebne podatke obdeluje zgolj za namene, za katere ga je pooblastil upravljavec in torej osebnih podatkov ne obdeluje za lastne namene. V vlogi obdelovalca bo tako nastopala tista pravna oziroma fizična oseba, ki bo obdelavo osebnih podatkov izvrševala izključno v imenu in za račun upravljavca osebnih podatkov, bo pri tem črpala podlago za obdelavo osebnih podatkov iz upravičenj upravljavca ter bo v zvezi s samimi dejanji obdelave vezana na navodila upravljavca.

 

Za določitev medsebojnega razmerja so torej bistvene vloge posameznih subjektov pri pridobivanju podatkov, določanju namenov in sredstev obdelave ter izvrševanju pravic posameznikov, katerih podatki se obdelujejo. Za razlikovanje med upravljavcem in obdelovalcem osebnih podatkov je tako ključno, da je obdelovalec samostojna, od upravljavca ločena pravna entiteta, in da osebne podatke vselej obdeluje le v imenu in za račun upravljavca. Gre torej za primere, ko upravljavec, ki bi posamezne aktivnosti v zvezi z osebnimi podatki lahko izvedel sam, sprejme odločitev, da jih bo iz različnih razlogov zaupal obdelovalcu. Takšni razlogi so npr.  pomanjkanje sredstev obdelave (npr. ustrezne informacijske infrastrukture) oziroma ustreznih znanj zaposlenih pri upravljavcu (npr. znanj računovodstva, programerskih znanj, …): Zaradi teh in podobnih razlogov upravljavec posameznih dejanj ali storitev ne more opravljati sam in zato za izvedbo posameznih storitev najame pomoč pri zunanjem izvajalcu. Bistveno pri tem je, ali pravo omogoča upravljavcu, da določena dejanja, storitve, ki vključujejo obdelavo osebnih podatkov, lahko izvrši sam.

 

IP meni, da je mogoče šteti posamezne revizorje oziroma revizijske družbe kot obdelovalce izključno v primerih, ko pravna oseba najame storitve teh subjektov za namene izvedbe notranje revizije. Gre torej za primere, ko se upravljavec odloči izvesti notranjo revizijo, ki služi predvsem kot pomoč poslovodstvu  podjetja, da bi učinkovito opravljalo naloge vodenja ter zagotavljanje strokovnih ocen stanja in priporočil za izboljšanje poslovanja na revidiranem področju. Notranja revizija je namenjena preverjanju ustreznosti notranjih sistemov poslovanja ter svetovanju poslovodstva pri izboljšanju poslovanja in je povsem fakultativne narave. Za izvedbo notranje revizije lahko pravna oseba zaposli osebo, ki bo revidiranje opravljala v okviru delovnega razmerja, lahko pa se pravna oseba posluži tudi najema zunanjih strokovnjakov z ustreznim znanjem, pri čemer je pri odločitvi, ali ter koga bo pravna oseba  najela, povsem svobodna. Ker takšna oseba deluje v imenu in za račun upravljavca, je eden pomembnih elementov razmerja med njima tudi nadzor upravljavca nad obdelavo osebnih podatkov, ki jo zanj izvaja obdelovalec. Če gre torej v vašem primeru za izvajanje storitev v okviru notranje revizije za vašo družbo kot upravljavca, je mogoče šteti, da pooblaščena revizijska družba, najeta za izvedbo notranje revizije, nastopa kot vaša podaljšana roka in je s tem v vlogi pogodbenega obdelovalca. V takem primeru je treba z obdelovalcem skleniti pogodbo ali drug pravni akt o obdelavi osebnih podatkov v smislu 28. člena Splošne uredbe o varstvu podatkov.

 

Drugače pa IP ocenjuje najem revizijske družbe za izvedbo zunanje revizije v smislu Zakona o revidiranju (ZRev-2; Uradni list RS, št. 65/08, 63/13 – ZS-K, 84/18). Že iz določbe 1. odstavka 5. člena izhaja, da revizijo v smislu ZRev-2 lahko izvaja izključno revizijska družba. ZRev-2 sicer določa, da se revidiranje opravlja v primerih, določenih z zakonom, ali na podlagi naročila pravne osebe, vendar z vidika položaja revizijske družbe glede obdelav osebnih podatkov IP meni, da ločevanje glede na »prisilnost« oziroma »prostovoljnost« pri izvedbi zunanje revizije, ni na mestu. Tako v primerih, ko revizijo izvaja revizijska družba zaradi zakonske obveze revidiranca, kot tudi kadar se revizija izvaja na podlagi povsem prostovoljne odločitve pravne osebe, bosta položaja revizijske družbe pri izvedbi ene ali druge revizije povsem izenačena, saj bo morala revizijska družba v obeh primerih v celoti upoštevati zahteve ZRev-2. V obeh primerih pa je glede na položaj revizijske družbe to treba šteti kot upravljavca in ne obdelovalca osebnih podatkov, ki jih pridobiva in nadalje obdeluje za namene izvedbe revizije. Revizijo sicer izvaja po naročilu pravne osebe (zakon ne predvideva izvajanja revizije po uradni dolžnosti), vendar v svojem imenu, v takšnem svojstvu pa tudi obdeluje osebne podatke za namene, ki jih določa ZRev-2. Prav tako ZRev-2 določa (prvi odstavek 37. člena), da mora poslovodstvo pravne osebe, pri kateri poteka revidiranje, revizijski družbi posredovati vso zahtevano dokumentacijo in ji omogočiti vpogled v poslovne knjige, spise in računalniške zapise. Odločitev o tem, katera dokumentacija in s tem kateri osebni podatki bodo predmet revizije, je tako v pristojnosti revizijske družbe, sam revidiranec nanjo nima nikakršnega vpliva.

 

IP sklepno svetuje, da natančno preučite dejansko stanje in naravo vašega medsebojnega odnosa s pooblaščeno revizijsko družbo v smislu pojasnil, ki jih IP podaja v tem mnenju.

 

 

S spoštovanjem.

 

 

Pripravil:

Matej Sironič,                                                  

Svetovalec pooblaščenca

za varstvo osebnih podatkov

 

 

Mojca Prelesnik, univ. dipl. prav.,

Informacijska pooblaščenka