- Napreden AI iskalnik za hitro iskanje primerov
- Dostop do celotne evropske in slovenske sodne prakse
- Samodejno označevanje ključnih relevantnih odstavkov
Podobni dokumenti
Ogledaj podobne dokumente za vaš primer.Prijavi se in poglej več podobnih dokumentov
Odjava pooblaščene osebe za varstvo osebnih podatkov
Z nami najdeš vse. Preizkusi zdaj!
Samo zamislim si kaj bi rada da piše v sodbi, to vpišem v iskalnik, in dobim kar sem iskala. Hvala!
Tara K., odvetnica
Odjava pooblaščene osebe za varstvo osebnih podatkov
Datum
17.05.2023
Številka
07121-1/2023/659
Kategorije
Pooblaščene osebe za varstvo podatkov - DPO
Pri Informacijskem pooblaščencu (IP) smo prejeli vaše zaprosilo za mnenje, in sicer vas zanima, ali lahko izbrišete ali odjavite pooblaščeno osebo za varstvo osebnih podatkov in zbirke ki jo vodi IP. Kot ste pojasnili, ste v veliki meri prenehali z opravljanjem dejavnosti in je v podjetju samo še 1 zaposlena oseba, delo pa opravljate predvsem za manjše samostojne podjetnike. Pri svojem delu se srečate z nekaterimi osebnimi podatki potrebnimi za obračun plač, glede na prebrano pa sklepate, da če zasebni zdravnik ne potrebuje pooblaščene osebe, da tudi vi lahko sodite v ta sklop oz. ali morajo vsi računovodski servisi vpisati pooblaščeno osebo? Prosite nas za usmeritev oziroma pomoč, saj si ne želite kakšne nepotrebne kazni, po drugi strani pa si prav tako ne želite dodatnih stroškov z najemom zunanjih pooblaščencev v kolikor to ni potrebno.
Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22, ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba), 76. člena Zakona o varstvu osebnih podatkov na področju obravnavanja kaznivih dejanj (Uradni list RS, št. 177/20, ZVOPOKD) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A, ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.
Obveznost imenovanja pooblaščene osebe ni vezana na število zaposlenih v podjetju, temveč Splošna uredba in ZVOP-2 določata kriterije, po katerih morate sami oceniti, ali ste takšno podjetje, ki mora imeti pooblaščeno osebo – predvsem je v primeru zasebnega sektorja pomembna b) točka prvega odstavka 37. člena Splošne uredbe, ki se osredotoča na vrsto in obsežnost dejavnosti obdelave osebnih podatkov. Dokončne odločitve IP v okviru nezavezujočega mnenja ne more podati, saj se to lahko preveri le v uradnem inšpekcijskem postopku.
Glede tega, ali morajo računovodski servisi imenovati DPO ni mogoče podati enotnega odgovora, ki bi veljal za vse, Splošna uredba namreč postavlja izrecno izjemo le za posameznega zasebnega zdravnika, zobozdravnika ali odvetnika in ne tudi za druge subjekte, ne glede na njihovo velikost. Vendarle pa velja poudariti, da majhni računovodski servisi praviloma ne sodijo med subjekte, ki bi zaradi njihove narave, obsega in/ali namenov posameznike redno in sistematično obsežno spremljali – zlasti če jih primerjate z ostalimi »klasičnimi« subjekti, ki to počnejo, kot so npr. klubi zvestobe pri trgovcih.
Obrazložitev
IP uvodoma pojasnjuje, da so podrobne informacije glede imenovanja, položaja in nalog pooblaščene osebe za varstvo osebnih podatkov (v nadaljevanju: DPO) na voljo na temu posebej namenjeni podstrani IP:
https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/ključna-področja-uredbe/pooblaščena-oseba-za-varstvo-podatkov
Kot smo pojasnili obveznost imenovanja pooblaščene osebe ni vezana na število zaposlenih v podjetju, temveč Splošna uredba in ZVOP-2 določata kriterije, po katerih morate sami oceniti, ali ste takšno podjetje, ki mora imeti pooblaščeno osebo – predvsem je v vašem primeru pomembna b) točka prvega odstavka 37. člena Splošne uredbe, ki se osredotoča na vrsto in obsežnost dejavnosti obdelave osebnih podatkov. Dokončne odločitve IP v okviru nezavezujočega mnenja ne more podati, saj se to lahko preveri le v uradnem inšpekcijskem postopku.
Da boste lažje sami sprejeli odločitev pojasnjujemo, da Splošna uredba v prvem odstavku 37. člena določa, da morajo pooblaščeno osebo imenovati:
a.Javni organi in telesa. Definicijo javnega sektorja določa ZVOP-2 v 3. točki 2. odstavka 5. člena po kateri so »javni sektor« državni organi, samoupravne lokalne skupnosti, nosilci javnih pooblastil v delu, kjer izvršujejo javna pooblastila, javne agencije, javni skladi, javni zavodi, univerze, samostojni visokošolski zavodi, zasebni vrtci in zasebne osnovne ter srednje šole, ki izvajajo javno veljavne vzgojno-izobraževalne programe, samoupravne narodne skupnosti, Svet romske skupnosti Republike Slovenije in druge osebe javnega prava, ustanovljene z zakonom.
b.Podjetja, katerih temeljne dejavnosti zajemajo dejanja obdelave, pri katerih je treba zaradi njihove narave, obsega in/ali namenov posameznike redno in sistematično obsežno spremljati. Sem sodijo npr. banke, zavarovalnice, operaterji elektronskih komunikacij, trgovci s klubi zvestobe. Prav tako bi sem sodile kadrovske agencije, številne spletne trgovine in IT podjetja, ki vzdržujejo rešitve za obdelavo osebnih podatkov posameznikov, npr. sistemi za upravljanje podatkov kupcev in njihovo profiliranje (upravljanje odnosov s strankami), zdravstveni IT sistemi. Proizvodna podjetja in druga podjetja, katerih temeljne storitve niso namenjene posameznikom, temveč drugim podjetjem, in ki ne vključujejo obsežne obdelave osebnih podatkov, niso dolžna imenovati pooblaščene osebe.
c.Tista podjetja in institucije, ki izvajajo obsežno obdelavo zdravstvenih in drugih občutljivih podatkov, ki sodijo med t.i. posebne vrste podatkov, npr. bolnišnice in klinike, zdravstveni in socialno-varstveni zavodi, ponudniki zdravstvenih informacijskih sistemov in storitev. Posamezen zasebni zdravnik, zobozdravnik ali odvetnik ni dolžan imenovati pooblaščene osebe.
Glede tega, ali morajo računovodski servisi imenovati DPO, sicer ni mogoče podati enotnega odgovora, ki bi veljal za vse primere, moramo pa opozoriti, da Splošna uredba postavlja izrecno izjemo le za posameznega zasebnega zdravnika, zobozdravnika ali odvetnika in ne tudi za druge subjekte, ne glede na njihovo velikost. Vendarle pa velja poudariti, da tovrstni majhni računovodski servisi praviloma ne sodijo med subjekte, ki bi zaradi njihove narave, obsega in/ali namenov posameznike redno in sistematično obsežno spremljali – zlasti če jih primerjate z ostalimi »klasičnimi« subjekti, ki to počnejo, kot so klubi zvestobe.
V pomoč vam je lahko tudi izsek iz smernic Evropskega odbora[1] (str. 8):
»Vendar pa razlaga „temeljnih dejavnosti“ ne bi smela izključevati dejavnosti, pri katerih je obdelava podatkov neločljiv del dejavnosti upravljavca ali obdelovalca. Na primer, temeljna dejavnost bolnišnice je zagotavljanje zdravstvenega varstva. Vendar pa zdravstvenega varstva ne bi mogla zagotavljati varno in učinkovito brez obdelave zdravstvenih podatkov, kot je zdravstvena dokumentacija bolnikov. Zato bi bilo treba obdelavo teh podatkov obravnavati kot eno od temeljnih dejavnosti vseh bolnišnic, ki morajo zato imenovati pooblaščene osebe za varstvo podatkov.
Še en primer je zasebna varnostna družba, ki nadzoruje več zasebnih nakupovalnih središč in javnih prostorov. Nadzor je temeljna dejavnost družbe, ki je neločljivo povezana z obdelavo osebnih podatkov. Zato mora tudi ta družba imenovati pooblaščeno osebo za varstvo podatkov.
Na drugi strani vse organizacije izvajajo neke dejavnosti, na primer plačevanje zaposlenih ali standardne dejavnosti informacijske podpore. To so primeri potrebnih podpornih funkcij za temeljno ali glavno dejavnost organizacije. Čeprav so te dejavnosti potrebne ali nujne, se navadno štejejo za pomožne funkcije in ne temeljne dejavnosti.
Prav tako so vam lahko v pomoč navedbe na str. 9 omenjenih smernic:
Primeri obsežne obdelave vključujejo:
•obdelavo podatkov o bolnikih s strani bolnišnice v okviru običajnega poslovanja;
•obdelavo potovalnih podatkov posameznikov, ki uporabljajo sistem javnega mestnega prevoza (npr. sledenje prek vozovnic);
•obdelavo podatkov o zemljepisnem položaju strank mednarodne verige hitre prehrane v realnem času za statistične namene s strani obdelovalca, specializiranega za zagotavljanje teh storitev;
•obdelavo podatkov o strankah s strani zavarovalnice ali banke v okviru običajnega poslovanja;
•obdelavo osebnih podatkov za oglaševanje na podlagi vedenjskih vzorcev prek iskalnika in
•obdelavo podatkov (vsebine, prometa, položaja) s strani ponudnikov telefonskih ali internetnih storitev.
Primeri neobsežne obdelave vključujejo:
•obdelavo podatkov o bolnikih s strani posameznega zdravnika in
•obdelavo osebnih podatkov v zvezi s kazenskimi obsodbami in prekrški s strani posameznega odvetnika.
Spremembe podatkov o imenovanem DPO, vključno z odjavo, lahko opravite s pomočjo spletnega obrazca (https://www.ip-rs.si/pooblascene-osebe), kot rečeno pa morate – s pomočjo zgoraj navedenih pojasnil – odločitev sprejeti sami.
Mojca Prelesnik, univ. dipl. prav., informacijska pooblaščenka
Pripravil
mag. Andrej Tomšič, namestnik informacijske pooblaščenke
---
[1]https://www.ip-rs.si/fileadmin/user_upload/Pdf/Mednarodno_delovanje/wp243rev01_sl.pdf