Obdelava OP zaposlenih v kadrovske namene

Datum

10.07.2025

Številka

07121-1/2025/860

Kategorije

Delovna razmerja, Pravne podlage

Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaše zaprosilo za mnenje glede zbiranja osebnih podatkov zaposlenih v kadrovske namene.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22, 40/25 – ZInfV-1; ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba o varstvu podatkov) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, 51/07 – ZUstS-A; ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

Upravljavci, ki so del povezane družbe ali institucij, povezanih z osrednjim telesom, imajo lahko zakoniti interes (torej pravno podlago v smislu točke (f) prvega odstavka 6. člena Splošne uredbe) za posredovanje osebnih podatkov znotraj povezane družbe v notranje upravne namene, vključno z obdelavo osebnih podatkov strank ali zaposlenih.

IP uvodoma poudarja, da lahko podaja neobvezujoča mnenja in pojasnila, ne sme pa izven konkretnih nadzornih ali drugih upravnih postopkov preverjati primernosti izbrane pravne podlage ali namenov oziroma obsega obdelave osebnih podatkov v konkretnem primeru.

IP uvodoma pojasnjuje, da je treba za vsako obdelavo osebnih podatkov najprej zagotoviti ustrezno pravno podlago. Izbor ustrezne pravne podlage za posamezno obdelavo je obveznost upravljavca, ki mora pri tem upoštevati konkretne okoliščine in namene obdelave. Sama obdelava osebnih podatkov mora potekati na eni od pravnih podlag, ki jih določa 6. člen Splošne uredbe. V skladu s tem je obdelava osebnih podatkov zakonita le in kolikor je izpolnjen vsaj eden od naslednjih pogojev:

(a)posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov;

(b)obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe;

(c)obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca;

(d)obdelava je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe;

(e)obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu;

(f)obdelava je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok.«.

IP pojasnjuje, da v skladu s 4. členom Splošne uredbe pojem »povezana družba« pomeni obvladujočo družbo in njene odvisne družbe. Uvodna določbi št. 36 in 37 Splošne uredbe dodatno pojasnjujeta razmerja znotraj povezane družbe. Tako določata, da bi obvladujoča družba morala biti tista, ki ima lahko na druge družbe odločilen vpliv (npr. zaradi lastništva, finančne udeležbe ali pooblastila za izvajanje predpisov o varstvu osebnih podatkov). Družbo, ki nadzira obdelovanje osebnih podatkov v družbah, povezanih z njo, bi bilo treba skupaj s temi družbami razumeti kot povezano družbo.

IP nadalje pojasnjuje, da uvodna določba št. 48 Splošne uredbe določa, da imajo upravljavci, ki so del povezane družbe ali institucij, povezanih z osrednjim telesom, lahko zakoniti interes (torej pravno podlago v smislu točke (f) prvega odstavka 6. člena Splošne uredbe) za posredovanje osebnih podatkov znotraj povezane družbe v notranje upravne namene, vključno z obdelavo osebnih podatkov strank ali zaposlenih.

To pomeni, da bi v konkretnem primeru morda lahko pravno podlago za posamezne obdelave osebnih podatkov znotraj povezane družbe (tudi tiste, ki jih opisujete v vašem zaprosilu) predstavljali zakoniti interesi, za katere si prizadeva delodajalec kot upravljavec, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki. IP ob tem opozarja, da je presoja glede zakonitosti obdelave oziroma obstoja ustrezne pravne podlage za posamezno obdelavo in odgovornost zanjo vedno na upravljavcu osebnih podatkov (v konkretnem primeru hčerinski družbi kot delodajalca)). Ta mora za uporabo tovrstne pravne podlage izvesti t.i. predhodni test tehtanja, v povezavi s katerim presodi, ali so nameni, za katere si prizadeva: (i) zakoniti; (ii) ali je nameravana obdelava podatkov primerna in nujna za doseganje teh namenov ter (iii) ali obstaja ravnovesje med zasledovanim ciljem na eni strani in posegom v pravice ter svoboščine posameznikov na drugi strani.

Pri tem IP ponovno poudarja, da je treba pravno podlago zakonitih interesov po točki (f) prvega odstavka 6. člena Splošne uredbe v povezavi z uvodno določbo št. 48 razlagati na način, da le ta pride v poštev takrat, kadar gre pri namenu obdelave osebnih podatkov za notranje upravne namene, ne pa tudi za  druge namene posredovanja podatkov znotraj povezanih družb. Če upravljavec z izvedbo testa tehtanja ne uspe izkazati ustreznosti obdelave osebnih podatkov glede na zasledovan zakoniti interes (torej za notranje upravne namene, kot izhaja iz uvodne določbe št. 48), mora za tovrstno obdelavo osebnih podatkov (posredovanje osebnih podatkov) zagotoviti drugo pravno podlago iz zgoraj navedenega prvega odstavka 6. člena Splošna uredbe.

IP posebej opozarja tudi na načelo najmanjšega obsega podatkov, ki določa, da morajo biti pod pogojem, da obstaja pravna podlaga, osebni podatki, ki se obdelujejo, ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo. Navedeno načelo pomeni, da je (ob pogoju izkazane pravne podlage) treba obdelovati samo toliko osebnih podatkov zaposlenih, kolikor je nujno potrebno za dosego zakonitega namena obdelave.

IP pojasnjuje tudi, da Zakon o gospodarskih družbah (Uradni list RS, št. 65/09 – UPB, 33/11, 91/11, 32/12, 57/12, 44/13 – odl. US, 82/13, 55/15, 15/17, 22/19 – ZPosS, 158/20 – ZintPK-C, 18/21, 18/23 – ZDU-1O, 75/23, 102/24; v nadaljevanju ZGD-1) v 529. členu odvisno družbo opredeljuje kot pravno samostojno družbo, ki jo neposredno ali posredno obvladuje druga družba (obvladujoča družba). Ne glede na dejstvo, v kakšnem medsebojnem razmerju sta odvisna in obvladujoča družba, predstavljata glede na določbe ZGD-1 v celoti samostojni pravni osebi. IP ob tem dodaja, da v skladu s 4. členom Splošne uredbe pojem »upravljavec« pomeni fizično ali pravno osebo, javni organ, agencijo ali drugo telo, ki samo ali skupaj z drugimi določa namene in sredstva obdelave Uredba torej ne dopušča možnosti, da bi kot isti upravljavec osebnih podatkov veljali povezani družbi, temveč določa, da je vsaka gospodarska družba, ne glede na kapitalski delež drugih družb, samostojen upravljavec osebnih podatkov.

IP sklepno ponavlja, da v okviru neobvezujočega mnenja ne more presojati, ali so v konkretnem primeru in za konkreten namen izpolnjeni pogoji za obdelavo (posredovanje) določenih osebnih podatkov. Presojo o ustreznosti lahko izvede le v okviru konkretnega nadzornega ali drugega upravnega postopka.

Lepo vas pozdravljamo,

Pripravil:

Matej Sironič,

Svetovalec pooblaščenca I

dr. Jelena Virant Burnik,

Informacijska pooblaščenka