Skladno z določbami Zakona o gospodarskih družbah (ZGD-1) so povezane družbe pravno samostojne gospodarske družbe, ki so v medsebojnem razmerju bodisi koncerna, odvisne in obvladujoče družbe, družbe v večinski lasti in družbe z večinskim deležem, družbe z vzajemno kapitalsko udeležbo ali pa gre za družbe, ki so povezane s podjetniškimi pogodbami. Pojem povezane družbe definira tudi Splošna uredba o varstvu osebnih podatkov, in sicer njen pomen definira kot obvladujočo družbo in njene odvisne družbe.

Med takšnimi družbami se prepletajo in medsebojno izmenjujejo ne le poslovno finančni podatki ter informacije, temveč tudi osebni podatki posameznikov (npr. zlasti podatki o zaposlenih, podatki o strankah, podatki o predstavnikih poslovnih partnerjev, kontaktnih osebah poslovnih partnerjev, ipd.). V kolikor dve ali več povezanih družbe deluje na istem poslovnem naslovu ali v isti poslovni stavbi, si pogosto »delijo« videonadzorni sistem vstopov in izstopov iz stavbe, nadzor nad voznim parkom ter uporabo službenih vozil, sistem evidentiranja prihodov in odhodov zaposlenih, ipd.

Kakšna je torej pravna podlaga za izmenjavo osebnih podatkov med družbami ter kakšna je vloga vsake posamezne družbe v okviru povezanih družb v primeru obdelave osebnih podatkov?

Odgovor na zastavljeno vprašanje je deloma mogoče najti v določbi 48. člena preambule Splošne uredbe o varstvu podatkov, ki določa, da upravljavci, ki so del povezane družbe ali institucij, povezanih z osrednjim telesom, lahko imajo zakoniti interes za posredovanje osebnih podatkov znotraj povezane družbe v notranje upravne namene, vključno z obdelavo osebnih podatkov strank in zaposlenih. Navedeno pomeni, da lahko pravno podlago za obdelavo osebnih podatkov znotraj povezanih družb predstavlja zakoniti interes, vendar le, če nad tem interesom ne prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki.

Upravljavec, skupni upravljavec in pogodbeni obdelovalec

Glede na dejstvo, da je zakoniti interes le ena izmed pravnih podlag za obdelavo osebnih podatkov pri kateri je vedno potrebno tehtati interes upravljavca za obdelavo napram interesom ter temeljnim pravicam posameznika in da je vsak upravljavec podatkov sam, neodvisno od statusno pravnih povezav, odgovoren za zakonito obdelavo osebnih podatkov, je potrebno nadalje ugotoviti, ali gre med povezanimi družbami za razmerje skupnih upravljavcev, razmerje več posameznih upravljavcev ali pa za razmerje upravljavca ali obdelovalca podatkov. To razmerje namreč določa, kdo je odgovoren za zakonitost in skladnost obdelave osebnih podatkov.

Upravljavec osebnih podatkov je tisti, ki določa, kdo je odgovoren za spoštovanje pravil varstva osebnih podatkov in kako lahko posamezniki v praksi uveljavljajo svoje pravice. Upravljavec obdeluje osebne podatke za svoj namen in za svoj račun, določa nabor osebnih podatkov, načine obdelave, kdaj bodo podatki izbrisani in kdo so osebe, ki imajo dostop do osebnih podatkov. Če ima torej posamezna gospodarska družba dostop do osebnih podatkov, ki se obdelujejo, določa namene in sredstva obdelave in izvršuje pravice posameznikov, gre za upravljavca osebnih podatkov in ne za pogodbenega obdelovalca.

O skupnih upravljavcih govorimo takrat, ko namen in sredstva obdelave podatkov določa skupaj več entitet oziroma upravljavcev, ki z medsebojnim dogovorom določijo dolžnosti vsakega izmed njih, zlasti glede izpolnjevanja obveznosti v skladu s Splošno uredbo o varstvu podatkov ter glede uresničevanja pravic posameznikov katerih podatki se obdelujejo.

Obdelovalec osebne podatke obdeluje v imenu in za račun upravljavca in jih ne sme obdelovati za svoje namene. Podatke mora po koncu pogodbene obdelave vrniti upravljavcu oziroma jih izbrisati. Vse dolžnosti glede uveljavljanja pravic posameznikov in skladnosti z zakonodajo, nosi upravljavec podatkov. V primeru pogodbenega obdelovalca je obdelava osebnih podatkov zgolj posledica najetja storitve, ki je določena družba ne opravlja sama, temveč za to najame zunanjega izvajalca. Pravno podlago za obdelavo osebnih podatkov pogodbeni obdelovalec torej črpa iz upravičenj upravljavca, zato je glede dejanj obdelave tudi v celoti vezan na navodila upravljavca.

V kolikor gre torej v primeru povezanih družb za razmerje upravljavec – pogodbeni obdelovalec je potrebno to razmerje urediti s Pogodbo o obdelavi osebnih podatkov, ki mora imeti minimalne pogodbene določbe skladno s členom 28 Splošne uredbe o varstvu osebnih podatkov.

V kolikor pa gre pri povezanih družbah za t.i. skupne upravljavce, je tudi za te priporočljivo, da sklenejo pravno zavezujočo pogodbo, s katero določijo namene in načine obdelave ter dolžnosti vsakega izmed njih z namenom izpolnjevanja obveznosti iz Splošne uredbe o varstvu podatkov, zlasti v zvezi z uresničevanjem pravic posameznikov in glede zagotavljanja informacij skladno s členom 13 in 14 Splošne uredbe o varstvu osebnih podatkov.

Vsak upravljavec zase, tako tudi vsak upravljavec v okviru skupnih upravljavcev, je namreč odgovoren za obstoj ustrezne pravne podlage za obdelavo osebnih podatkov ter odgovoren za to, da obdelava osebnih podatkov poteka skladno z določbami veljavne zakonodaje. Posameznik, ki želi uresničiti pravice, ki mu jih zagotavlja veljavna zakonodaja, lahko naslovi svoje zahtevke ločeno, na vsakega izmed upravljavcev v okviru skupnih upravljavcev, pri čemer pa pogodba, sklenjena med skupnimi upravljavci (med drugim) določa podatke o kontaktni točki za posameznike ter tudi kako in kdo daje odgovor posamezniku oziroma procesira zahteve posameznikov. Zaradi tega Splošna uredba o varstvu podatkov v členu 26 tudi določa, da se vsebina dogovora da na voljo posamezniku, na katerega se nanašajo podatki. Pogodbe ni potrebno razkriti v celoti, smiselno je, da se da na voljo zlasti v delu, kjer določa kontaktno točko in postopek uresničevanja pravic posameznikov.

V razmerju do nadzornega organa pogodba, sklenjena med skupnimi upravljavci določa, kdo in na kakšen način vodi komunikacijo z nadzornim organom (npr. v smislu določb člena 36 Splošne uredbe o varstvu osebnih podatkov). Velja pa opozoriti, da je nadzorni organ pooblaščen in ima pravno podlago, da pri vsakem izmed upravljavcev v okviru skupnih upravljavcev preverja skladnost obdelave osebnih podatkov z določbami prisilnih predpisov ter ga pri tem pogodba med skupnimi upravljavci ne veže in v ničemer ne omejuje.

Pripravila
Mojca Marovt, odvetnica