Mnenje glede izvajanja funkcije zunanjega DPO in podporne SaaS rešitve

Datum

03.06.2026

Številka

07121-0/2026/229

Kategorije

Pooblaščene osebe za varstvo podatkov - DPO

Pri Informacijskem pooblaščencu (IP) smo prejeli vaše zaprosilo za mnenje. Pojasnili ste, da kot podjetje izvajate storitve zunanje pooblaščene osebe za varstvo podatkov (DPO) za različne naročnike, predvsem organe javnega sektorja. Funkcijo DPO pri posameznem naročniku izvaja ekipa strokovnjakov, pri čemer je eden izmed članov ekipe opredeljen kot nosilec funkcije DPO. Zaradi učinkovitejšega izvajanja nalog DPO želite razviti lastno podporno spletno rešitev (SaaS), namenjeno podpori izvajanju DPO nalog. Predvidena rešitev bi med drugim omogočala:

varen repozitorij dokumentacije,

podporna orodja za izvajanje organizacijskih in tehničnih ukrepov varstva osebnih podatkov (npr. pomoč pri anonimizaciji, redakciji oziroma psevdonimizaciji dokumentov),

ter druge podporne funkcionalnosti za izvajanje nalog DPO.

Rešitev bi razvili samostojno in jo ponudili v uporabo pravnim subjektom, za katere izvajate funkcijo zunanjega DPO. V okviru uporabe rešitve bi lahko prihajalo tudi do obdelave osebnih podatkov (npr. v okviru orodij za anonimizacijo oziroma repozitorija dokumentacije).

Ob tem vas zanima predvsem ali je z vidika GDPR in zahteve po neodvisnosti DPO dopustno, da isti subjekt:

izvaja storitve zunanjega DPO,

hkrati pa za iste naročnike razvija in zagotavlja lastno podporno SaaS rešitev za izvajanje DPO nalog?

Ali takšen model sam po sebi predstavlja konflikt interesov v smislu 38. člena GDPR, če:

rešitev služi zgolj kot podporno orodje za izvajanje DPO nalog,

naročnik ostaja subjekt, ki določa namene in sredstva obdelave osebnih podatkov,

zunanji DPO ne določa namenov in sredstev obdelave osebnih podatkov ter ne sprejema poslovnih ali upravljavskih odločitev v imenu naročnika?

Ali lahko subjekt, ki izvaja funkcijo zunanjega DPO, hkrati nastopa tudi v vlogi pogodbenega obdelovalca osebnih podatkov za istega naročnika v okviru zagotavljanja takšne podporne SaaS rešitve?

Ali je z vidika neodvisnosti DPO dopustno, da posameznik znotraj podjetja sodeluje pri razvoju ali vzdrževanju podpornega orodja, hkrati pa sodeluje tudi pri drugih aktivnostih DPO ekipe, če: ne sodeluje pri presojah skladnosti ali nadzoru nad delovanjem tega orodja, njegove naloge in omejitve so formalno jasno opredeljene v okviru notranje organizacije podjetja in razmerij z naročniki. Ostali člani DPO ekipe, ki niso vključeni v razvoj orodja, še naprej neodvisno izvajajo vse naloge DPO, vključno z nadzorom skladnosti uporabe predmetnega orodja?

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22, 40/25 – ZInfV-1; v nadaljevanju: ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A; v nadaljevanju ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

IP uvodoma pojasnjuje, da so vprašanja nasprotja interesov podrobno obdelana  v smernicah Evropskega odbora za varstvo podatkov (EDPB) glede pooblaščenih oseb za varstvo osebnih podatkov (WP243rev1; dostopno na: https://ec.europa.eu/newsroom/article29/items/612048). V smernicah EDPB je glede konflikta interesov navedeno:

»Odsotnost nasprotja interesov je tesno povezana z zahtevo glede neodvisnega delovanja. Čeprav lahko imajo pooblaščene osebe za varstvo podatkov tudi druge funkcije, se jim lahko druge naloge in dolžnosti zaupajo le, če slednje ne povzročajo nasprotij interesov. To zlasti pomeni, da pooblaščena oseba za varstvo podatkov v organizaciji ne sme zavzemati položaja, v okviru katerega lahko določi namene in sredstva obdelave osebnih podatkov. Zaradi posebne organizacijske strukture vsake organizacije je treba to obravnavati za vsak primer posebej.

Splošno gledano lahko nasprotujoči si položaji v organizaciji vključujejo položaje višjega vodstva (kot so izvršni direktor, operativni direktor, finančni direktor, vodja zdravstvene službe, vodja oddelka za trženje, vodja službe za človeške vire ali vodja oddelkov za informacijsko tehnologijo) in tudi druge vloge na nižji ravni organizacijske strukture, če taki položaji ali vloge vodijo v določitev namenov in sredstev obdelave. Nasprotje interesov lahko poleg tega na primer nastopi, če je zunanja pooblaščena oseba za varstvo podatkov zaprošena, da upravljavca ali obdelovalca v zadevah, povezanih z varstvom podatkov, zastopa pred sodišči. Glede na dejavnost, velikost in strukturo organizacije lahko dobra praksa upravljavcev ali obdelovalcev pomeni:

opredelitev položajev, ki bi bili nezdružljivi s funkcijo pooblaščene osebe za varstvo podatkov;

oblikovanje notranjih pravil o tem, da bi preprečili nasprotja interesov;

vključitev splošnejše razlage nasprotij interesov;

izjavo, da njihova pooblaščena oseba za varstvo podatkov ni v nasprotju interesov v zvezi s svojo funkcijo, kot način seznanjanja s to zahtevo ter

vključitev zaščitnih ukrepov v notranja pravila organizacije in zagotovitev, da je razpis prostega delovnega mesta pooblaščene osebe za varstvo podatkov ali pogodba o storitvah dovolj natančna in podrobna za preprečevanje nasprotja interesov. V zvezi s tem bi bilo treba upoštevati tudi, da imajo lahko nasprotja interesov različne oblike glede na to, ali je pooblaščena oseba za varstvo podatkov zaposlena notranje ali zunanje.

Glede nasprotja interesov 6. odstavek 46. člena ZVOP-2 določa naslednje:

»V javnem sektorju se v skladu s prejšnjim odstavkom šteje, da je določena oseba v nasprotju interesov, če je določena kot upravljavec informacijskega sistema, skrbnik informacijskega sistema ali vodja informacijske varnosti, ima položaj predstojnika v osebi javnega sektorja, če je član organov upravljanja ali nadzora pri upravljavcu ali obdelovalcu, če njene druge naloge vključujejo sistemsko odločanje o obdelavi osebnih podatkov pri upravljavcu ali obdelovalcu ali če zastopa upravljavca oziroma obdelovalca v sodnih ali arbitražnih postopkih v zvezi z vprašanji varstva osebnih podatkov. Če pooblaščena oseba izve za okoliščine, ki predstavljajo ali bi lahko predstavljale nasprotje interesov, o tem takoj pisno obvesti upravljavca oziroma obdelovalca. Upravljavec oziroma obdelovalec v tem primeru odpravi nasprotje ali pooblaščeno osebo razreši opravljanja določene naloge kot pooblaščene osebe ali s položaja pri upravljavcu ali obdelovalcu. Določbe tega odstavka se smiselno uporabljajo za zasebni sektor.«

Glede imenovanja zunanje pooblaščene osebe smernice EDPB na strani 24-25 navajajo naslednje:

»Pooblaščena oseba za varstvo podatkov je lahko član osebja upravljavca ali obdelovalca (notranja pooblaščena oseba za varstvo podatkov) ali pa naloge opravlja na podlagi pogodbe o storitvah. To pomeni, da je lahko pooblaščena oseba za varstvo podatkov zunanja in lahko svojo funkcijo izvaja na podlagi pogodbe o storitvah, ki jo sklene s posameznikom ali organizacijo.

Kadar funkcijo pooblaščene osebe za varstvo podatkov opravlja zunanji ponudnik storitev, lahko ekipa posameznikov, ki delajo za ta subjekt, kot taka učinkovito izvaja naloge pooblaščene osebe za varstvo podatkov v okviru odgovornosti pooblaščene glavne kontaktne osebe in „pristojne osebe“ za stranko. V tem primeru je bistveno, da vsak član zunanje organizacije, ki izvaja funkcije pooblaščene osebe za varstvo podatkov, izpolnjuje vse veljavne zahteve iz Splošne uredbe o varstvu podatkov.

Zaradi pravne jasnosti in dobre organizacije ter preprečevanja nasprotij interesov med člani ekipe je v smernicah priporočeno, da se v pogodbi o storitvah jasno razdelijo naloge v ekipi zunanje pooblaščene osebe za varstvo podatkov in da se za glavno kontaktno točko in „pristojno“ osebo za stranko določi en posameznik.«

Glede na navedeno IP meni, da je ključno upoštevanje poslanstva in nalog pooblaščenih oseb za varstvo osebnih podatkov ter zahtev glede izogibanja nasprotju interesov.

Menimo, da lahko ena pravna oseba svojim naročnikom kot pogodbeni obdelovalec nudi storitve pravne in tehnične pomoči glede zagotavljanja skladnosti z zahtevami zakonodaje o varstvu osebnih podatkov, npr. pomoči pri pripravi pravnih aktov in dokumentacije, ukrepov za varnost podatkov, postopkov anonimizacije ipd., vključno z zagotavljanjem za to potrebnih IT orodij. Obenem lahko ista pravna oseba naročniku zagotavlja tudi funkcijo zunanje pooblaščene osebe, vendar pri tem ne sme priti do nasprotja interesov, zato je bistveno, da se zagotavlja učinkovita in funkcionalna ločenost med omenjenimi storitvami ter udeleženim osebjem zunanjega ponudnika.

Ocenjujemo, da bi bila situacija, ko bi ista oseba ali iste osebe naročniku hkrati nudile pravno ali tehnično pomoč (npr. pri sestavi obrazcev za privolitev, delovanju podpornih IT storitev) ter delovale kot zunanja pooblaščena oseba, ki ima med drugim naloge nadzora, lahko vodila do nasprotja interesov, saj bi v tem primeru morale te osebe nadzirati lastne naloge oziroma izdelke.

Jasno bi moralo biti opredeljeno, katere osebe pri zunanjem ponudniku nastopajo do naročnika v vlogi pogodbenega obdelovalca in katere osebe v vlogi zunanje pooblaščene osebe za varstvo podatkov, kot to priporočajo tudi smernice EDPB, to pa bi moralo biti tudi jasno dokumentirano v okviru pogodb o zagotavljanju storitev.

Zaključno opozarjamo na nujnost pravilnega razumevanja, kot navajate, »izvajanja nalog DPO«. Naloge pooblaščene osebe za varstvo osebnih podatkov jasno opredeljuje 39. člen Splošne uredbe – gre predvsem za naloge nadzora nad skladnostjo, ozaveščanja in izobraževanja in ne za naloge, kot so priprava pravilnikov, priprava obvestil za posameznike o obdelavi osebnih podatkov, izvedba psevdonimizacije ali anonimizacije podatkov idr. Navedeno ne sodi med naloge pooblaščene osebe za varstvo osebnih podatkov - vloga pooblaščene osebe za varstvo osebnih podatkov je, da tovrstne izdelke preveri z vidika skladnosti, ne pa, da jih pripravlja, kar velja tako za notranje kot za zunanje pooblaščene osebe za varstvo osebnih podatkov. Smernice EDPB jasno opozarjajo, da »Splošna uredba o varstvu podatkov pojasnjuje, da je upravljavec tisti, ki izvede ustrezne tehnične in organizacijske ukrepe, da zagotovi in je zmožen dokazati, da obdelava poteka v skladu s to uredbo“, in ne pooblaščena oseba za varstvo podatkov (člen 24(1)). Zagotavljanje skladnosti z določbami o varstvu podatkov je odgovornost upravljavca podatkov kot podjetja in ne pooblaščene osebe za varstvo podatkov.«

Lepo vas pozdravljamo,

Pripravil:

mag. Andrej Tomšič, namestnik informacijske pooblaščenke

dr. Jelena Virant Burnik, Informacijska pooblaščenka