Datum: 18.07.2023
Številka: 07121-1/2023/951
Kategorije: Delovna razmerja, Pravne podlage

Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaše zaprosilo za mnenje glede obdelave osebnih podatkov zaposlenih ob izvedbi notranje revizije poslovanja.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22; v nadaljevanju: ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, 51/07 – ZUstS-A; ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

Odločitev o tem, katera dokumentacija in s tem kateri osebni podatki bodo predmet revizije, je v pristojnosti revizijske družbe.

Revizorjem mora biti zagotovljena samostojnost in neodvisnost pri njihovem delu, predvsem pa jim mora biti omogočen dostop do dokumentov in s tem tudi osebnih podatkov (tako zaposlenih kot drugih oseb), povezanih z revizijo, to je do vseh tistih podatkov, ki so ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo.

O b r a z l o ž i t e v:

IP uvodoma poudarja, da lahko podaja neobvezujoča mnenja in pojasnila, ne sme pa izven konkretnih inšpekcijskih postopkov preverjati primernosti izbrane pravne podlage ali namenov oziroma obsega obdelave osebnih podatkov v konkretnem primeru. IP tako v okviru neobvezujočega mnenja ne more presojati, ali so v konkretnem primeru podani pogoji za zakonito obdelavo osebnih podatkov s strani notranjega revizorja. To presojo lahko opravi IP le v okviru konkretnih nadzornih ali drugih upravnih postopkov. Presojo, ali v posameznem primeru obstojijo pogoji za zakonito obdelavo osebnih podatkov, mora opraviti upravljavec sam, IP pa sme glede na razpoložljive informacije zgolj opozoriti na relevantne pravne podlage, na podlagi katerih lahko upravljavci izvedejo to presojo.

IP pojasnjuje, da mora za vsako obdelavo osebnih podatkov obstajati ustrezna pravna podlaga. Skladno s prvim odstavkom 6. člena Splošne uredbe je obdelava zakonita le in kolikor je izpolnjen vsaj eden od naslednjih pogojev:

(a) posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov;

(b)  obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe;

(c)  obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca;

(d)  obdelava je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe;

(e) obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu;

(f)  obdelava je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok.

Ob tem je treba upoštevati, da se zadnja točka (f) ne more uporabljati za obdelavo s strani javnih organov pri opravljanju njihovih nalog.

IP nadalje pojasnjuje, da notranja revizija običajno služi predvsem kot pomoč poslovodstvu podjetja, da bi učinkovito opravljalo naloge vodenja ter zagotavljanje strokovnih ocen stanja in priporočil za izboljšanje poslovanja na revidiranem področju. Notranja revizija je namenjena preverjanju ustreznosti notranjih sistemov poslovanja ter svetovanju poslovodstva pri izboljšanju poslovanja in je povsem fakultativne narave. Za izvedbo notranje revizije lahko pravna oseba zaposli osebo, ki bo revidiranje opravljala v okviru delovnega razmerja, lahko pa se pravna oseba posluži tudi najema zunanjih strokovnjakov z ustreznim znanjem, pri čemer je pri odločitvi, ali ter koga bo pravna oseba najela, povsem svobodna. Ob izvajanju revizije je treba v celoti upoštevati zahteve Zakona o revidiranju (Uradni list RS, št. 65/08, 63/13 – ZS-K, 84/18, 115/21; v nadaljevanju: ZRev-2). Ta določa (prvi odstavek 37. člena), da mora poslovodstvo pravne osebe, pri kateri poteka revidiranje, revizijski družbi posredovati vso zahtevano dokumentacijo in ji omogočiti vpogled v poslovne knjige, spise in računalniške zapise. Odločitev o tem, katera dokumentacija in s tem kateri osebni podatki bodo predmet revizije, je tako v pristojnosti revizijske družbe, sam revidiranec (v konkretnem primeru vaš delodajalec) nanjo nima nikakršnega vpliva. Revizorjem mora biti zagotovljena samostojnost in neodvisnost pri njihovem delu, predvsem pa jim mora biti omogočen dostop do dokumentov in s tem tudi osebnih podatkov (tako zaposlenih kot drugih oseb), povezanih z revizijo, to je do vseh tistih podatkov, ki so ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo. Obdelovati je torej treba samo toliko osebnih podatkov, kolikor je nujno potrebno za izpolnitev posamičnega zakonitega namena obdelave (v konkretnem primeru ustrezno izvedbo notranje revizije poslovanja).

IP ponavlja, da tega, katere podatke izvajalec revizije dejansko potrebuje v konkretnem primeru za uspešno in učinkovito izvedbo notranje revizije, ne more presojati v okviru izdaje neobvezujočih mnenj.

Lepo vas pozdravljamo.

 

Pripravil:

Matej Sironič,                                                   

Svetovalec pooblaščenca

za varstvo osebnih podatkov

 

Mojca Prelesnik, univ. dipl. prav.,

Informacijska pooblaščenka

Vir: Informacijski pooblaščenec >>