13.08.2021.

O dopuštenosti prijenosa osobnih podataka trećoj osobi na teritoriju Europske unije u due diligence postupcima

U članku se razmatra pitanje je li u tijeku provođenja postupka dubinske analize dopušten prijenos osobnih podataka kroz tzv. “data room”, što se sve smatra osobnim podatkom i pod kojim će uvjetima takav prijenos biti dopušten. Sanja Krasnec, mag. iur., daje pregled relevantnih zakonskih propisa, sudske prakse, tumačenja i upozorava na uočene rizike. Konačno, autorica zaključuje da je u sklopu provođenja postupka dubinske analize društva zasigurno dopušten prijenos anonimiziranih podataka, jer takvi podaci ne predstavljaju osobne podatke, dok je za sve ostale podatke nužno provesti test razmjernosti.

1. UVOD
U današnje vrijeme svjedoci smo brojnih tržišnih transakcija između trgovačkih društava u kojima dolazi do promjene vlasničke strukture, a potencijalno i oblika trgovačkog društva. Posljedica toga često su i statusne promjene trgovačkog društva1.

U korporativnim financijama, spajanja i preuzimanja (M&A) poslovne su transakcije u kojima se vlasništvo nad tvrtkama, drugim poslovnim organizacijama ili njihovim operativnim jedinicama prenosi ili konsolidira s drugim subjektima. Cilj takve transakcije uvijek je ekonomske i financijske prirode, što se može očitovati i kroz promjenu prirode poslovanja ili konkurentne pozicije.

Da bi se takva transakcija provela prije njezina provođenja, uobičajeno je da između zainteresiranog investitora (društva preuzimatelja) i ciljnog društva (društva koje se pripaja, preuzima, spaja, odvaja) razmijene određene informacije koje će poslužiti za određivanje cijene i uvjeta transakcije. Tome uobičajeno prethodi sklapanje Ugovora o povjerljivosti podataka (eng. Non-disclosure agreement, u nastavku teksta: NDA). Nakon sklapanja takvog ugovora ciljno društvo omogućava društvu preuzimatelju pregled i preuzimanje dokumentacije koja se odnosi na sve bitne aspekte poslovanja ciljnog društva na dubinsku analizu (eng. due diligence).

Promatrajući navedene transakcije uočili smo da su one u bitnom zadržale isti način provedbe i razmjene podataka i nakon stupanja na snagu Uredbe (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ, koja je na snazi od na snazi od 25. 5. 20182. S obzirom na činjenicu da je za očekivati određeni „post-COVID“ porast takvih transakcija i realiziranje svih prethodno odgođenih transakcija, želimo upozoriti na aspekt zaštite osobnih podataka o kojem je nužno voditi računa prilikom provođenja tih transakcija i postavljanja zahtjeva za dostavu podataka3.

U nastavku ovog rada prvenstveno se obrađuju pitanja definiranja osobnog podatka, s posebnim osvrtom na pseudonimizirane i anonimne podatke te se razmatra pod kojim uvjetima ciljno društvo može osobne podatke klijenata fizičkih osoba prenijeti trećoj nepovezanoj pravnoj osobi, sa sjedištem u Europskoj uniji.

Posebno je zanimljivo uočiti koje sve kriterije mora određeni podatak zadovoljiti da se ne bi smatrao osobnim podatkom, već anonimiziranim, kao i postoje li posebna pravila, pogodnosti, za pseudonimizirane podatke.

2. OBRADA OSOBNIH PODATAKA U DUE DILIGENCE POSTUPKU
Da bismo uopće razmotrili i razumjeli što se događa tijekom jednog tipičnog postupka dubinske analize, potrebno je utvrditi što je to obrada osobnih podataka, kao i što su to osobni podaci te temeljem takve analize ispitati dolazi li tijekom razmjene podataka u due diligence postupku i do razmjene osobnih podataka.

Potom je potrebno utvrditi, ako do takve razmjene dolazi (što će biti u preko 90 % slučajeva), koji su uvjeti takve razmjene, odnosno koje su obveze sudionika prema Općoj uredbi za zaštiti osobnih podataka. To je nužno jer sklapanje NDA-a, u pravilu, ne znači sukladnost s odredbama Opće uredbe o zaštiti osobnih podataka, dok se iznimno često gubi iz vida činjenica da su i pseudonimizirani podaci - osobni podaci na koje se Opća uredba o zaštiti osobnih podataka odnosi.

2.1. POJAM OBRADE OSOBNIH PODATAKA I OSOBNI PODACI
Pojam „obrade“ osobnih podataka definiran je odredbom čl. 4. st. 1. toč. 2. Opće uredbe o zaštiti podataka kao „svaki postupak ili skup postupaka koji se obavljaju na osobnim podacima ili na skupovima osobnih podataka, bilo automatiziranim bilo neautomatiziranim sredstvima kao što su prikupljanje, bilježenje, organizacija, strukturiranje, pohrana, prilagodba ili izmjena, pronalaženje, obavljanje uvida, uporaba, otkrivanje prijenosom, širenjem ili stavljanjem na raspolaganje na drugi način, usklađivanje ili kombiniranje, ograničavanje, brisanje ili uništavanje.“. Ključan pravni izvor za davanje odgovora na pitanje što su to osobni podaci predstavlja Opća uredba o zaštiti podataka.

Definicija pojma „osobnog podataka“ sadržana je u odredbi čl. 4. st. 1. točka 1. Opće uredbe o zaštiti podataka te je prema toj odredbi osobni podatak svaki podatak koji se odnosi na pojedinca čiji je identitet utvrđen ili se može utvrditi; pritom, pojedinac čiji se identitet može utvrditi jest osoba koja se može identificirati izravno ili neizravno, osobito uz pomoć identifikatora kao što su ime, identifikacijski broj, podaci o lokaciji, mrežni identifikator ili uz pomoć jednog ili više čimbenika svojstvenih za fizički, fiziološki, genetski, mentalni, ekonomski, kulturni ili socijalni identitet tog pojedinca.

S obzirom na navedenu definiciju pojma obrade i osobnog podatka nedvojbeno se može zaključiti da obradu osobnih podataka predstavlja i prijenos podataka o klijentima koja sadržava osobne podatke, kao što su ime i prezime klijenta, prebivalište, OIB, datum rođenja, broj i vrsta računa, podatak o stanju na računu i zaduženosti, povijest kupnji/narudžbi, kao i svaki podatak koji se odnosi na pojedinca čiji je identitet utvrđen ili se može utvrditi.

Posebno je potrebno razmotriti što je podatak koji se odnosi na pojedinca čiji se identitet može utvrditi. Kao što je uvodno naglašeno, i pseudonimizirane podatke (osobne podatke koji su pseudonimizirani, a koji bi se mogli pripisati nekom pojedincu uporabom dodatnih informacija) trebalo bi smatrati informacijama o pojedincu čiji se identitet može utvrditi, odnosno osobnim podatkom. Dakle, obrada (prijenos) pseudonimiziranih osobnih podataka podliježe pravilima i ograničenjima iz Opće uredbe o zaštiti podataka. Uvjeti dopuštenosti takvog prijenosa obrađeni su u nastavku ovog članka.

Kad se razmatra je li pojedini podatak pseudonimiziran, potrebno je poslužiti se kriterijima iz uvodne izjave Opće uredbe o zaštiti podataka (toč. 26.): „Načela zaštite podataka trebala bi se primjenjivati na sve informacije koje se odnose na pojedinca čiji je identitet utvrđen ili se može utvrditi. (...) Kako bi se odredilo može li se identitet pojedinca utvrditi, trebalo bi uzeti u obzir sva sredstva, poput primjerice selekcije, koja voditelj obrade ili bilo koja druga osoba mogu po svemu sudeći upotrijebiti u svrhu izravnog ili neizravnog utvrđivanja identiteta pojedinca. Kako bi se utvrdilo je li po svemu sudeći izgledno da se upotrebljavaju sredstva za utvrđivanje identiteta pojedinca, trebalo bi uzeti u obzir sve objektivne čimbenike, kao što su troškovi i vrijeme potrebno za utvrđivanje identiteta, uzimajući u obzir i tehnologiju dostupnu u vrijeme obrade i tehnološki razvoj.“

U odnosu na prijenos podataka unutar postupka dubinske analize ciljnog društva od društva preuzimatelja, da bi se utvrdilo obuhvaća li takav prijenos pseudonimizirane podatke ili anonimizirane informacije, potrebno je odgovoriti na pitanja poput:

  • može li se u odnosu na razmatrani podatak izvršiti reindetifikacija?
  • koje dodatne mjere i tehnologije možemo primijeniti za utvrđivanje na koga se takav podatak odnosi?
  • postoje li takve mjere i tehnologije?
  • kojim bi sredstvima i uz koje troškove bila moguća takva reindetifikacija?

S druge strane, Opća uredba o zaštiti podataka i u njoj sadržana načela zaštite osobnih podataka i uvjeti za dopuštenost njihove obrade ne primjenjuju se na anonimne informacije, odnosno informacije koje se ne odnose na pojedinca čiji je identitet utvrđen ili se može utvrditi ili na osobne podatke koji su učinjeni anonimnima na način da se identitet ispitanika ne može ili više ne može utvrditi.

Uzimajući u obzir navedeno, pravilno anonimiziran podatak je takav podatak koji ni uz bilo kakve druge dodatne mjere ne možemo „raskrinkati“, odnosno ne možemo takav podatak povezati s konkretnom fizičkom osobom.

Drugim riječima, anonimizirani podaci su osobni podaci koji su određenim tehnikama obrađeni do mjere da onemogućuju reidentifikaciju, čak i od voditelja obrade – ciljnog društva u konkretnom primjeru. U trenu kada su podaci anonimizirani, svi ih imaju pravo koristiti, obrađivati i objavljivati bez posebnih privola te ih čuvati bez ograničenja razdoblja pohrane. Anonimizacija podrazumijeva i brisanje originalnog skupa podataka kada više nije potreban kako se anonimizirani podaci ne bi mogli identificirati pomoću originalnih podataka – što je i osnovna razlika naspram pseudonimiziranih podataka. Prije brisanja originalnog skupa podataka, anonimizirani podaci se i dalje trebaju tretirati kao osobni podaci.

U stručnoj literaturi, glede pitanja razlikovanja anonimiziranog od pseudonimiziranog podatka, često se može pronaći pozivanje na predmet C-582/14, Patrick Breyer protiv Bundesrepublik Deutschland, uz tvrdnju da bi Sud Europske unije u istom odlučio da, u slučaju kada informacija (kao što je IP adresa) ne identificira osobu izravno, taj podatak će ipak biti osobni podatak u rukama bilo koje osobe koja može zakonito pribaviti dostatnu količinu dodatnih podataka da takvu informaciju dovede u vezu sa stvarnim identitetom osobe. S druge strane, ta ista informacija neće biti osobni podatak u rukama treće osobe koja ne raspolaže sredstvima da pribavi dodatne podatke pomoću kojih može uspostaviti takvu vezu. Međutim, Agencija za zaštitu osobnih podataka smatra kako navedeni predmet treba tumačiti isključivo na način da je Sud Europske unije odlučivao o tome može li se i pod kojim uvjetima dinamička IP adresa ispitanika smatrati osobnim podatkom, te da u toj presudi nije iznesena tvrdnja da pseudonimizirani podaci nisu osobnih podaci u slučaju gore navedenog što sugerira na neprihvatljivost takvog tumačenja4.

2.2. DOPUŠTENOST PRIJENOSA OSOBNIH PODATAKA KLIJENATA FIZIČKIH OSOBA OD CILJNOG DRUŠTVA TREĆOJ NEPOVEZANOJ PRAVNOJ OSOBI – DRUŠTVU PREUZIMATELJU, SA SJEDIŠTEM U EUROPSKOJ UNIJI
Dopuštenost prijenosa obrađuje čl. 6. Opće uredbe o zaštiti podataka, koji uređuje pitanje zakonitosti obrade.

Prema navedenom obrada je zakonita samo ako i u onoj mjeri u kojoj je ispunjeno najmanje jedno od sljedećeg:

(a) ispitanik je dao privolu za obradu svojih osobnih podataka u jednu ili više posebnih svrha

(b) obrada je nužna za izvršavanje ugovora u kojem je ispitanik stranka ili kako bi se poduzele radnje na zahtjev ispitanika prije sklapanja ugovora

(c) obrada je nužna radi poštovanja pravnih obveza voditelja obrade

(d) obrada je nužna kako bi se zaštitili ključni interesi ispitanika ili druge fizičke osobe

(e) obrada je nužna za izvršavanje zadaće od javnog interesa ili pri izvršavanju službene ovlasti voditelja obrade

(f) obrada je nužna za potrebe legitimnih interesa voditelja obrade ili treće strane, osim kada su od tih interesa jači interesi ili temeljna prava i slobode ispitanika koji zahtijevaju zaštitu osobnih podataka, osobito ako je ispitanik dijete.

2.2.1.
Ono što će biti prva ideja kao moguće osiguranje dopuštenosti prijenosa jest pribavljanje privole za takav prijenos.

Mnoge su ideje o tome da se to uvrsti kod osnovnog ugovaranja usluga, naručivanja robe, otvaranja računa i sl., čime će se osigurati zakonitost prijenosa, barem za buduće slučajeve.

Razmatrajući privolu kao osnovu za prijenos podataka Društvu preuzimatelju, ističemo da privola, da bi bila valjana, mora predstavljati dobrovoljno, posebno, informirano i nedvosmisleno izražavanje želja ispitanika kojim on, izjavom ili jasnom potvrdnom radnjom, daje pristanak za obradu osobnih podataka koji se na njega odnose. Dakle, privola mora biti dana za specifičnu svrhu te svi razlozi za obradu moraju biti jasno navedeni. Isto tako, teret dokazivanja da privola postoji je na voditelju obrade, ciljnom društvu u konkretnom primjeru (čl. 5. st. 2. Opće uredbe o zaštiti podataka).

Osim toga, da bi privola bila informirana, pojedincu se moraju navesti najmanje sljedeće informacije:

  • identitet organizacije koja obrađuje podatke
  • svrhe u koje se obrađuju podaci
  • vrste podataka koji se obrađuju
  • mogućnost (način) povlačenja dane privole
  • ako je to primjenjivo, činjenicu da će se podaci upotrebljavati isključivo za automatizirano odlučivanje, uključujući izradu profila
  • ako je privola povezana s međunarodnim prijenosom, mogući rizici prijenosa podataka u treće zemlje koje nisu vezane Komisijinom odlukom o primjerenosti i gdje nema odgovarajućih zaštitnih mjera. 5

Pritom naglašavamo da se, kada se procjenjuje je li privola bila dobrovoljna, u najvećoj mogućoj mjeri uzima u obzir je li, među ostalim, izvršenje ugovora (isporuka kupljene robe i sl.), uključujući pružanje usluge (otvaranje tekućeg računa, odobravanje kredita i sl.) bilo uvjetovano privolom za obradu osobnih podataka koja nije nužna za izvršenje tog ugovora (čl. 7. st. 4. Opće uredbe o zaštiti podataka).

Za zaključiti je, uzimajući u obzir načela Opće uredbe o zaštiti osobnih podataka koji sugeriraju restriktivan pristup i najviši stupanj zaštite osobnih podataka, da privola dana u svrhu prijenosa osobnih podataka mogućem investitoru nije nužna za izvršenje, primjerice, isporuke kupljenog automobila, ugovora o tekućem računu, pa je zbog navedenog čak i u slučaju postojanja privole potrebno razmotriti je li dana dobrovoljno ili je bila uvjet daljnje suradnje s klijentom.

Isto tako, privola dana u ovu svrhu obrade – prijenosa podataka mogućem investitoru mora biti zasebno prikupljena, a ne zajedno s drugom privolom (primjerice, ako je pisani oblik, posebni „x“ u kvadratu koji označava točno tu svrhu).

Navedeno zato što se u uvodnoj izjavi 32. Opće uredbe o zaštiti podataka navodi sljedeće: „Privola bi trebala obuhvatiti sve aktivnosti obrade koje se obavljaju u istu svrhu ili svrhe. Kada obrada ima višestruke svrhe, privolu bi trebalo dati za sve njih.“

Mišljenje je Radne skupine iz čl. 29., izraženo u Smjernicama o privoli prema Uredbi 2016/679, usvojenima 28. studenoga 2017., da, ako je voditelj obrade (u konkretnom slučaju ciljno društvo) spojio nekoliko svrha za obradu, a nije pokušao tražiti zasebnu privolu za svaku svrhu, privola nije dobrovoljna.

Ta je granularnost usko povezana s potrebom da privola bude posebna. Kad se obrada podataka obavlja u nekoliko svrha, rješenje ispunjavanja uvjeta za valjanu privolu nalazi se u granularnosti, tj. razdvajanju tih svrha i dobivanju privole za svaku od njih.

Ako ciljno društvo koje planira provesti postupak dubinske analize i omogućiti društvu preuzimatelju obradu određenih osobnih (pa i pseudonimiziranih) podataka ne posjeduje gore opisane slobodne privole svojih klijenata fizičkih osoba kojom daju informirani pristanak za prijenos njihovih osobnih podataka potencijalnom investitoru koji je identificiran u posebnoj privoli, potrebno razmotriti postoje li druge osnove zakonitosti obrade.

2.2.2.
Uzimajući u obzir opisanu svrhu radi koje bi se obavio prijenos osobnih podataka društvu preuzimatelju (a to je odluka o davanju informirane ponude za preuzimanje), mišljenja smo da se prijenos osobnih podataka mogućem investitoru u postupku dubinske analize ne bi mogao podvesti pod osnove zakonitosti obrade navedene u čl. 6. st. 1. toč. b) do e) Opće uredbe o zaštiti podataka, i to zato što u trenutku kad se obrada osobnih podataka događa uopće nije izvjesno da će ponuda za preuzimanje uslijediti. Ne nalazimo argumente iz kojih bi proizlazilo da je takva obrada - prijenos - nužna za izvršavanje ugovora u kojem je klijent fizička osoba (ispitanik) stranka ili radi poduzimanja radnji na njegov zahtjev prije sklapanja ugovora. Bez pojedinačnog pristupa teško je percipirati bi li postojala kakva pravna obveza ciljnog društva radi koje je prijenos podataka nužan. Treba tek napomenuti da bi to značilo da postoji zakon koji nalaže takav prijenos podataka, s čime se, u smislu postupaka dubinske analize, još nismo susreli.

Konačno, nije izvjesno niti da je obrada nužna kako bi se zaštitili ključni interesi ispitanika ili druge fizičke osobe ili radi izvršavanja zadaće od javnog interesa ili pri izvršavanju službene ovlasti ciljnog društva. Takve pojmove teško je i dovesti u vezu s postupkom dubinske analize koji je uglavnom obilježen privatnim komercijalnim interesima.

2.2.3.
Sukladno odredbi čl. 6. st. 1. točka f) Opće uredbe o zaštiti podataka, temelj za obradu osobnih podataka može biti i pozivanje na legitiman interes voditelja obrade – ciljnog društva ili treće strane.

Već sama odredba čl. 6. st. 1. točke f) Opće uredbe o zaštiti podataka uvjetuje provođenje testa razmjernosti, jer se pozivanje na legitiman interes može smatrati zakonitim, osim ako od tih legitimnih interesa ciljnog društva nisu jači interesi ili temeljna prava i slobode ispitanika koji zahtijevaju zaštitu osobnih podataka, osobito ako je ispitanik dijete.

U Mišljenju, br. 06/2014 Radne skupine iz članka 29. o pojmu legitimnih interesa voditelja obrade u skladu s člankom 7. Direktive 95/46/EZ, Radna skupina navodi kako, cit. „Slijedi neiscrpan popis nekih od najčešćih konteksta u kojima se može pojaviti pitanje legitimnog interesa u smislu članka 7. točke (f). Ovdje je prikazan bez utjecaja na to da li će interesi voditelja obrade u konačnici prevladati nad interesima i pravima osoba na koje se podaci odnose kada se provodi test razmjernosti:

  • ostvarivanje prava na slobodu izražavanja ili informiranja, uključujući medije i umjetnost;
  • y konvencionalni izravni marketing i drugi oblici marketinga ili oglašavanja;
  • neželjene nekomercijalne poruke, uključujući za političke kampanje ili dobrotvorne prikupljanje sredstava za izvršenje sudskih tužbi, uključujući naplatu dugova putem izvansudskih postupaka;
  • sprječavanje prijevare, zlouporabe usluga ili pranja novca;
  • praćenje zaposlenika radi sigurnosti ili upravljanja;
  • upute za prijavitelje nepravilnosti (zviždače);
  • fizička sigurnost, IT i mrežna sigurnost;
  • obrada u povijesne, znanstvene ili statističke svrhe;
  • obrada u istraživačke svrhe (uključujući marketinška istraživanja).

U skladu s tim, interes se može smatrati legitimnim sve dok voditelj obrade može slijediti taj interes na način koji je u skladu sa zakonima o zaštiti podataka i drugim zakonima. Drugim riječima, legitimni interes mora biti “prihvatljiv prema zakonu”.“6

I zaključno, u navedenom je Mišljenju naglašeno: “Kako bi bio relevantan u skladu s člankom 7. točkom (f), „legitiman interes“ mora:

- biti zakonit (tj. u skladu s primjenjivim zakonodavstvom EU-a i nacionalnim zakonodavstvom);

- biti dovoljno jasno artikuliran kako bi se omogućilo provođenje testa razmjernosti u odnosu na interese i temeljna prava nositelja podataka (tj. dovoljno određen);

- predstavljati stvarni i sadašnji interes (tj. ne može biti spekulativan).“7

U kontekstu već navedenog potrebno je procijeniti i obrazložiti može li interes ciljnog društva za davanjem podataka potencijalnom investitoru, društvu preuzimatelju, u postupku dubinske analize predstavljati legitiman interes za obradu osobnih podataka?

U tom smislu kao životno je da postoji očiti legitiman interes ciljnog društva za provođenjem postupka dubinske analize koji je pritom i zakonit, kao i da je dovoljno određen (komercijalna korist od potencijalne prodaje). Također, mišljenja smo da on ne bi bio spekulativan ako postoji stvarni trenutačni interes za ulaganjem koji ciljno društvo može dokazati, primjerice, pismom namjere.

S druge strane, restriktivno tumačeći ranije iznesena stajališta Radne skupine iz čl. 29., smatramo problematičnim je li u konkretnom slučaju uopće riječ o interesu ciljnog društva ili bi se prije moglo smatrati kako je riječ o interesu dioničara ili članova ciljnog društva. Interes samog ciljnog društva za provođenjem dubinske analize mogao bi se obrazlagati i interesom da se stekne bolji uvid u vlastito poslovanje i rizike.

Pod uvjetom da se obrazloži legitiman interes ciljnog društva kao zakonit, određen i stvaran, prijenos osobnih podataka i dalje nije dopušten, već je potrebno prije provesti test razmjernosti.

Test razmjernosti provodi se na način da se daju odgovori na pitanja je li predložena mjera – prijenos osobnih podataka – nužna i proporcionalna za ostvarenje legitimnog interesa – dubinske analize poslovanja od strane potencijalnog investitora.8

Radna skupina o primjeni testa razmjernosti, posebno testa nužnosti i proporcionalnosti, govori i u Mišljenju br. 01/2014 o primjeni koncepta nužnosti i proporcionalnosti u zaštiti osobnih podataka unutar javnog sektora, usvojena 27. veljače 2014., te navodi kako je potrebno navesti objašnjenje o tome koje su se druge mjere razmatrale i bi li one bile manje ili više tegotne u odnosu na pravo na privatnost. Ako je bilo koja od takvih mjera odbijena, a predstavljala je mjeru koja je manje tegobna za privatnost, onda bi trebalo dati čvrste opravdavajuće razloge zašto takva mjera nije bila odabrana za ostvarenje legitimnog interesa.

Uzimajući u obzir prethodno navedeno zastupamo stajalište kako legitimni interes ciljnog društva za provođenjem postupka dubinske analize od strane potencijalnog investitora, ne može prevladavati nad interesima i temeljnim pravima i slobodama ispitanika koji zahtijevaju zaštitu osobnih podataka, jer takva obrada podataka nije proporcionalna niti nužna za ostvarenje legitimnog interesa, iz razloga navedenih u nastavku9.

Navedeno osobito zato što bi se, s obzirom na svrhu prijenosa osobnih podataka (financijska analiza za davanje informirane ponude), legitiman interes mogao ostvariti i manje tegobnom mjerom – prijenosom anonimiziranih podataka. Što se pak tiče legitimnog interesa „treće strane“, radna skupina u Mišljenju br. 06/2014 navodi: „Međutim, u nedostatku određene zakonske obveze ili dopuštenja za objavljivanje podataka, ipak bi bilo moguće otkriti osobne podatke relevantnim dioničarima. U odgovarajućim slučajevima, također bi bilo moguće objaviti osobne podatke u svrhu transparentnosti i odgovornosti.“10.

Kao primjer transparentnosti navodi se objavljivanje plaća top menadžmenta.

S obzirom na sve navedeno, nameće se zaključak da bi društvo preuzimatelj moglo postaviti obrazložen zahtjev za prijenos osobnih podataka ciljnom društvu, koje bi potom moglo povodom istog zatražiti mišljenje Agencije za zaštitu osobnih podataka, s odgovorom na pitanje bi li takav prijenos bio dopušten temeljem legitimnog interesa. Takav zahtjev posebno treba sadržavati obrazloženje u smislu zašto se postupak dubinske analize ne bi mogao provesti temeljem anonimiziranih podataka, odnosno zašto su nužni baš osobni podaci.

Konačno, kod svakog pojedinačnog slučaja potrebno je ispitati i postoje li posebni zakoni koji nalažu obvezu čuvanja osobnih podataka te uzeti i navedeno u obzir11.

3. ZAKLJUČAK
Na temelju svega navedenog možemo zaključiti da je u sklopu provođenja postupka dubinske analize društva zasigurno dopušteno prenositi anonimizirane podatke, jer takvi podaci ne predstavljaju osobne podatke.

S druge strane, svaki drugi prijenos osobnih podataka u sklopu postupka dubinske analize, pa čak i takvih podataka koji su pseudonimizirani (mogu se pripisati nekom pojedincu tek uporabom dodatnih informacija) moraju opravdati legitimnim interesom i provođenje testa razmjernosti.

U tom smislu sugestija je svakako uključiti se u konzultacije i pribaviti suglasnost Agencije za zaštitu osobnih podataka.

IZVORI:

  1. 1. Uredbe (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (Službeni list Europske unije, br. L119)
  2. 2. Zakon o provedbi Opće uredbe o zaštiti podataka (Nar. nov., br. 42/18)
  3. 3. Zakon o kreditnim institucijama (Nar. nov., br. 159/13, 19/15, 102/15, 15/18, 70/19, 47/20 i 146/20)
  4. 4. Smjernice o privoli prema Uredbi 2016/679, Radna skupina iz čl. 29., usvojeno 28. 11. 2017.
  5. 5. mišljenja Agencije za zaštitu osobnih podataka (https://azop.hr/misljenja/)

1* Odvjetnica u Odvjetničkom društvu Hraste i partneri d.o.o., Zagreb, kontakt: sanja.krasnec@hraste-partneri.hr. U našem pravnom području ustalila se strana terminologija engleskog jezika i pripadajuća kratica: Mergers and acquisitions (M&A).
2 U nastavku teksta: Opća uredba o zaštiti podataka.
3 Definiranjem tzv. „data room“.
4 Mišljenje Agencija za zaštitu osobnih podataka od 16.4.2019., KLASA: 004-03/19-01/15.
5 Tako i Radna skupina iz čl. 29., u Smjernicama o privoli prema Uredbi 2016/679, usvojeno 28. studenoga 2017.
6 Citat predstavlja neslužben prijevod izvornog teksta na engleskom jeziku.
7 Citat predstavlja neslužben prijevod izvornog teksta na engleskom jeziku.
8 Tako i Radna skupina, Mišljenje br. 06/2014, koje glasi: „Da bi legitimni interes voditelja obrade bio prevladavajući, obrada podataka mora biti “nužna” i “proporcionalna” kako bi se ostvarilo temeljno pravo na koje se odnosi.“ (Citat predstavlja neslužben prijevod izvornog teksta na engleskom jeziku.)
9 Između ostalog, i zato što je zaštita pojedinaca s obzirom na obradu osobnih podataka temeljno pravo. Tako se i odredbom čl. 8. st. 1. Povelje Europske unije o temeljnim pravima („Povelja”) te odredbom čl. 16. st. 1. Ugovora o funkcioniranju Europske unije (UFEU) utvrđuje da svatko ima pravo na zaštitu svojih osobnih podataka.
10 Citat predstavlja neslužbeni prijevod izvornog teksta na engleskom jeziku.
11 Tako je, primjerice, prema odredbi čl. 156. Zakonu o kreditnim institucijama (Nar. nov., br. 159/2013, 19/2015, 102/2015, 15/2018, u nastavku teksta: ZKI), propisana dužnost čuvanja bankovne tajne.