Ustreznost politike zasebnosti podjetja

Datum

26.06.2024

Številka

07121-1/2024/736

Kategorije

Pri Informacijskem pooblaščencu (IP) smo dne 12. 6. 2024 prejeli vaše zaprosilo za mnenje glede ustreznosti politike zasebnosti podjetja, ki se sklicuje na nemško pravo (Zvezni zakon o varstvu podatkov (BDSG)). Zanima vas, ali podjetje z registriranim sedežem v Sloveniji lahko sklicuje na tujo zakonodajo v svoji politiki zasebnosti.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22, ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A, ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

1. ZVOP-2 glede ozemeljske veljavnosti v 4. členu določa, da se njegove določbe uporabljajo za obdelavo osebnih podatkov:

a.javnega sektorja Republike Slovenije;

b.zasebnega sektorja, kadar se izvaja v okviru dejavnosti ustanovitve upravljavca ali obdelovalca, registrirane v Republiki Sloveniji, čeprav obdelava osebnih podatkov ne poteka v Republiki Sloveniji;

c.za obdelavo osebnih podatkov, ki se izvaja v okviru dejavnosti ustanovitve upravljavca ali obdelovalca, ki je registrirana zunaj Evropske unije, če so dejavnosti obdelave povezane z nudenjem blaga ali storitev posameznikom v Republiki Sloveniji, ne glede na to, ali je zanje potrebno plačilo, ali če so povezane s spremljanjem delovanja ali vedenja posameznikov, če to poteka v Republiki Sloveniji.

2. Za obdelavo podatkov, ki se izvaja v okviru dejavnosti podjetja, ki nastopa bodisi kot upravljavec ali obdelovalec osebnih podatkov in je registrirano v Republiki Sloveniji, se uporabljajo določbe Splošne uredbe in ZVOP-2, lahko pa je relevantno tudi tuje pravo.

Obrazložitev

IP uvodoma pojasnjuje, da izven postopka inšpekcijskega nadzora oziroma drugega upravnega postopka nima zakonskih pooblastil za presojo zakonitosti konkretnih obdelav osebnih podatkov in morebitnih kršitev pravic posameznikov, na katere se podatki nanašajo. V nadaljevanju vam zato podajamo zgolj splošna pojasnila in pravna izhodišča v zvezi z vašim dopisom.

Vaše vprašanje se nanaša na ozemeljsko (teritorialno) veljavnost predpisov s področja varstva osebnih podatkov. ZVOP-2 glede ozemeljske veljavnosti v 4. členu določa, da se njegove določbe uporabljajo za obdelavo osebnih podatkov:

a.javnega sektorja Republike Slovenije;

b.zasebnega sektorja, kadar se izvaja v okviru dejavnosti ustanovitve upravljavca ali obdelovalca, registrirane v Republiki Sloveniji, čeprav obdelava osebnih podatkov ne poteka v Republiki Sloveniji;

c.za obdelavo osebnih podatkov, ki se izvaja v okviru dejavnosti ustanovitve upravljavca ali obdelovalca, ki je registrirana zunaj Evropske unije, če so dejavnosti obdelave povezane z nudenjem blaga ali storitev posameznikom v Republiki Sloveniji, ne glede na to, ali je zanje potrebno plačilo, ali če so povezane s spremljanjem delovanja ali vedenja posameznikov, če to poteka v Republiki Sloveniji.

Podobno določbo vsebuje tudi Splošna uredba, ki v 3. členu določa, da se uredba uporablja za obdelavo osebnih podatkov v okviru dejavnosti sedeža upravljavca ali obdelovalca v Uniji, ne glede na to, ali obdelava poteka v Uniji ali ne.

Za obdelavo podatkov, ki se izvaja v okviru dejavnosti podjetja, ki nastopa bodisi kot upravljavec ali obdelovalec osebnih podatkov in je registrirano v Republiki Sloveniji, se uporabljajo določbe Splošne uredbe in ZVOP-2, lahko pa je relevantno tudi tuje pravo, na primer če podjetje namene in sredstva obdelave osebnih podatkov določa skupaj s kakšno drugo pravo osebo, na primer obvladujočo družbo (v tem primeru gre za položaj skupnega upravljavstva), ki ima sedež v tujini, ali pa celo druga pravna oseba glede določenih obdelav v celoti odloča o njihovih namenih in sredstvih in nastopa, slovensko podjetje pa nastopa zgolj v vlogi obdelovalca.

Sklic na nemško pravo v politiki zasebnosti zato ni nujno napačen, bi pa upravljavec moral dodati tudi sklic na relevantno slovensko zakonodajo. V zaprosilu za mnenje ne navajate podrobnejših informacij o podjetju, zato vam IP ne more podati konkretnejših usmeritev in odgovorov na vaše vprašanje.

V upanju, da ste dobili odgovor na vaša vprašanja, vas lepo pozdravljamo.

Pripravila:

dr. Pika Šarf, Svetovalka IP za mednarodne odnose

Mojca Prelesnik, univ. dipl. prav., informacijska pooblaščenka