- Napreden AI iskalnik za hitro iskanje primerov
- Dostop do celotne evropske in slovenske sodne prakse
- Samodejno označevanje ključnih relevantnih odstavkov
Podobni dokumenti
Ogledaj podobne dokumente za vaš primer.Prijavi se in poglej več podobnih dokumentov
Položaj DPO
Z nami najdeš vse. Preizkusi zdaj!
Samo zamislim si kaj bi rada da piše v sodbi, to vpišem v iskalnik, in dobim kar sem iskala. Hvala!
Tara K., odvetnica
Položaj DPO
Datum
02.04.2024
Številka
07120-1/2024/127
Kategorije
Pooblaščene osebe za varstvo podatkov - DPO
Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaše zaprosilo za mnenje glede položaja pooblaščene osebe za varstvo podatkov (ang. DPO).
Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22; v nadaljevanju: ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, 51/07 – ZUstS-A; ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.
Presoja glede določitve in položaja pooblaščene osebe za varstvo podatkov je v domeni slehernega upravljavca oziroma obdelovalca osebnih podatkov.
Pri odločitvi o imenovanju DPO in njegovem položaju je treba ravnati skrbno in previdno ter upoštevati vsa dejanja obdelave osebnih podatkov, ki jih izvaja posamezni upravljavec/obdelovalec, ter vrsto in obseg podatkov, ki se obdelujejo.
Določbe šestega odstavka 46. člena ZVOP-2, ki določajo, kdaj se v javnem sektorju šteje, da je določena oseba v nasprotju interesov, se smiselno uporabljajo tudi za zasebni sektor.
Obrazložitev
IP uvodoma pojasnjuje, da razume vašo zaskrbljenost in da se zaveda, da gre v zadevnem primeru za enega večjih organov v Republiki Sloveniji, kjer se obdeluje velika količina osebnih podatkov. Položaj in delovanje pooblaščene osebe za varstvo osebnih podatkov (v nadaljevanju: DPO) je v tovrstnih organih še toliko bolj pomembno, saj je ob višjih tveganjih ustrezna ozaveščenost osebja in vodstva ter redno izvajanje nadzorstvenih nalog bistvenega pomena za učinkovito zagotavljanje varstva osebnih podatkov.
IP uvodoma tudi poudarja, da je končna presoja glede določitve in položaja pooblaščene osebe za varstvo podatkov v domeni slehernega upravljavca oziroma obdelovalca osebnih podatkov in IP po Splošni uredbi v postopku imenovanja te osebe nima nobenih pristojnosti ter se glede tega ne more in ne sme opredeljevati.
IP tako glede na določbe Splošne uredbe (37.-39. člen) in ZVOP-2 (45.-48. člen), ki urejajo imenovanje, položaj in naloge DPO, v neobvezujočih mnenjih nima pristojnosti, da bi lahko določal ali presojal konkreten organizacijski položaj, stopnjo izobrazbe, poklicnih odlik in drugih znanj ter kvalifikacij, ki bi jih morala izpolnjevati pooblaščena osebe za varstvo podatkov. Navedeno je primarna odgovornost upravljavca oziroma obdelovalca osebnih podatkov, IP pa lahko le v okviru konkretnega nadzornega postopka preveri, ali so pri zavezancu v primeru konkretne pooblaščene za varstvo osebnih podatkov izpolnjeni pogoji, ki jih glede imenovanja, položaja in nalog opredeljujejo omenjeni členi Splošne uredbe in ZVOP-2. Podobno velja za umestitev funkcije DPO v organizacijski strukturi upravljavca (v konkretnem primeru bodisi na 1. bodisi na 2. nivoju), pogoje glede konflikta interesov, možnosti neposrednega poročanja najvišji upravni ravni upravljavca, zagotovitve, da DPO pri opravljanju svojih nalog ne prejema nobenih navodil ter ostale pogoje glede položaja DPO. Vse navedeno torej lahko IP preveri le v okviru konkretnega nadzornega postopka.
IP pojasnjuje tudi, da je pri odločitvi o imenovanju DPO in njegovem položaju treba ravnati skrbno in previdno ter upoštevati vsa dejanja obdelave osebnih podatkov, ki jih izvaja posamezni upravljavec/obdelovalec, ter vrsto in obseg podatkov, ki se obdelujejo. IP ob tem poudarja, da bi moral DPO dobro razumeti dejanja obdelave osebnih podatkov, ki jih izvaja vsak posamezni upravljavec oziroma obdelovalec, informacijske sisteme, s katerimi se obdelujejo osebni podatki, ob tem pa tudi potrebe upravljavca oziroma obdelovalca v zvezi z varnostjo podatkov. Vlogo DPO je treba razumeti kot neodvisnega notranjega svetovalca in »revizorja« glede osebnih podatkov, saj mora izvajati preglede, ozaveščati sodelavce in poročati vodstvu o svojih ugotovitvah. V primeru javnega organa ali telesa bi moral DPO dobro poznati tudi upravna pravila in postopke organa.
IP pojasnjuje, da prvi odstavek 38. člena Splošne uredbe določa, da upravljavec in obdelovalec zagotovita, da je pooblaščena oseba za varstvo podatkov ustrezno in pravočasno vključena v vse zadeve v zvezi z varstvom osebnih podatkov. Pri tem je bistvenega pomena, da je pooblaščena oseba za varstvo podatkov ali njena ekipa že v najzgodnejši fazi vključena v vse zadeve v zvezi z varstvom osebnih podatkov. Pomembno je tudi, da se DPO v organu obravnava kot sogovornik in je vključen v ustrezne delovne skupine, ki obravnavajo dejavnosti obdelave osebnih podatkov v organu. Tako je treba npr. zagotoviti njegovo redno udeležbo na sestankih višjega in srednjega vodstva ter prisotnost pri sprejemanju vseh odločitev, ki vplivajo na varstvo osebnih podatkov.
IP nadalje pojasnjuje, da drugi odstavek 38. člena Splošne uredbe določa, da upravljavec in obdelovalec pooblaščeni osebi za varstvo podatkov pomagata pri opravljanju nalog iz 39. člena Splošne uredbe, tako da zagotovita sredstva, potrebna za opravljanje teh nalog, in dostop do osebnih podatkov in dejanj obdelave, ter ohranjanje njenega strokovnega znanja. Iz navedenega izhaja, da je treba med drugim zagotoviti tudi stalno usposabljanje DPO. Omogočiti jim je treba, da so vedno seznanjeni z razvojem dogodkom na področju varstva podatkov. Cilj bi moral biti stalno poviševanje ravni strokovnega znanja DPO, ki bi jih bilo treba spodbujati k udeleževanju tečajev usposabljanja o varstvu podatkov in drugih oblik strokovnega izpopolnjevanja, kot je sodelovanje na forumih s področja zasebnosti, delavnicah ipd.
Tretji odstavek 38. člena Splošne uredbe med drugim določa, da DPO neposredno poroča najvišji upravni ravni upravljavca ali obdelovalca. Na ta način se zagotovi, da je vodstvo organa seznanjeno z njegovimi nasveti in priporočili ter da obvešča upravljavca in mu svetuje.
IP sklepno poudarja, da je bistveno zagotoviti neodvisnost delovanja DPO. To zlasti pomeni, da pri opravljanju svojih nalog ne prejema nobenih navodil od upravljavca in da ga le-ta ne sme razrešiti zaradi opravljanja njegovih nalog. Prav tako je treba preprečevati nasprotja interesov zaradi morebitnih njegovih drugih nalog in dolžnosti.
IP dodaja, da so evropski nadzorni organi za varstvo osebnih podatkov že pripravili podrobne smernice, ki vam bodo v pomoč pri presojanju položaja pooblaščene osebe: https://www.ip-rs.si/fileadmin/user_upload/Pdf/Mednarodno_delovanje/wp243rev01_sl.pdf.
IP vas napotuje tudi na spletno stran IP, kjer lahko prav tako najdete uporabne napotke glede pooblaščene osebe za varstvo podatkov: https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/ključna-področja-uredbe/pooblaščena-oseba-za-varstvo-podatkov.
Lepo vas pozdravljamo.
Pripravil
Matej Sironič, Svetovalec pooblaščenca za varstvo osebnih podatkov
Mojca Prelesnik, univ. dipl. prav., Informacijska pooblaščenka