- Napreden AI iskalnik za hitro iskanje primerov
- Dostop do celotne evropske in slovenske sodne prakse
- Samodejno označevanje ključnih relevantnih odstavkov
Podobni dokumenti
Ogledaj podobne dokumente za vaš primer.Prijavi se in poglej več podobnih dokumentov
Pooblaščena oseba za varstvo podatkov
Z nami najdeš vse. Preizkusi zdaj!
Samo zamislim si kaj bi rada da piše v sodbi, to vpišem v iskalnik, in dobim kar sem iskala. Hvala!
Tara K., odvetnica
Pooblaščena oseba za varstvo podatkov
Datum
08.08.2023
Številka
07121-1/2023/1034
Kategorije
Pooblaščene osebe za varstvo podatkov - DPO
Informacijski pooblaščenec (v nadaljevanju: IP) je po e-pošti prejel vaše zaprosilo za mnenje. Prosite nas za pojasnilo, ali se lahko kot pooblaščena oseba za varstvo osebnih podatkov (DPO) imenuje odvetniška družba ali mora biti imenovan poimensko določen odvetnik.
* * *
Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22, ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A, ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.
Za pooblaščeno osebo za varstvo podatkov (DPO) se lahko imenuje član osebja upravljavca (notranja pooblaščena oseba) ali pa naloge opravlja zunanja pooblaščena oseba na podlagi pogodbe o storitvah. Kot DPO se lahko imenuje odvetniška družba, vendar se mora skladno z zahtevami ZVOP-2 v pogodbi določiti posameznika (v vašem primeru konkretnega odvetnika), ki odgovarja za delo pravne osebe kot pooblaščene osebe, njegove kontaktne podatke mora upravljavec oz. obdelovalec objaviti v evidenci dejavnosti obdelave ter javno za namen sodelovanja s posamezniki in jih javiti nadzornem organu – Informacijskem pooblaščencu.
Obrazložitev
Uvodoma poudarjamo, da IP izven postopka inšpekcijskega nadzora oziroma drugega upravnega postopka konkretnih obdelav osebnih podatkov ne more presojati.
Skladno s petim odstavkom 37. člena Splošne uredbe se pooblaščena oseba za varstvo podatkov imenuje na podlagi poklicnih odlik in zlasti strokovnega znanja o zakonodaji in praksi na področju varstva podatkov ter zmožnosti za izpolnjevanje nalog iz 39. člena Splošne uredbe (nadaljnji pogoji za določitev pooblaščene osebe so določeni v 46. členu ZVOP-2). Skladno s šestim odstavkom 37. člena Splošne uredbe je lahko pooblaščena oseba za varstvo podatkov član osebja upravljavca ali obdelovalca ali pa naloge opravlja na podlagi pogodbe o storitvah. Tretji odstavek 46. člena ZVOP-2 določa, da lahko upravljavci ali obdelovalci iz javnega sektorja, razen državnih organov, določijo drugo pooblaščeno osebo, če je ni mogoče določiti znotraj osebe javnega sektorja. V primeru iz prejšnjega stavka lahko pooblaščeno osebo določijo skupaj z drugimi upravljavci ali obdelovalci javnega sektorja, lahko pa s pogodbo v pisni obliki določijo tudi posameznika ali posameznico iz zasebnega sektorja ali pravno osebo iz zasebnega sektorja v skladu s četrtim odstavkom tega člena. Nadalje je v četrtem odstavku določeno, da upravljavci ali obdelovalci iz zasebnega sektorja za pooblaščeno osebo določijo osebo, ki je zaposlena pri njih, ali pa s pogodbo v pisni obliki določijo drugega posameznika ali pravno osebo. V pogodbi s pravno osebo se določi posameznik, ki odgovarja za delo pravne osebe kot pooblaščene osebe in čigar kontaktni podatki se objavijo v skladu s četrtim odstavkom 45. člena ZVOP-2. Posameznik iz prejšnjega stavka mora izpolnjevati pogoje za imenovanje iz prvega odstavka 46. člena ZVOP-2.
Upravljavec (oz. obdelovalec) mora kontaktne podatke pooblaščene osebe objaviti skladno s četrtim odstavkom 45. člena ZVOP-2 in sicer mora v osmih dneh od določitve pooblaščene osebe:
-vpisati njene kontaktne podatke v skladu s 30. členom Splošne uredbe v svojo evidenco dejavnosti obdelav,
-njen kontakt za namen sodelovanja s posamezniki, na katere se nanašajo osebni podatki, javno objaviti na primeren način, zlasti na spletnih straneh ter
-kontaktne podatke pooblaščene osebe in njenega morebitnega namestnika (osebno ime, delovno mesto pooblaščene osebe, naziv upravljavca ali obdelovalca, telefonska številka, naslov elektronske pošte pooblaščene osebe) sporočiti nadzornemu organu, ki jih za namen sodelovanja nadzornega organa s pooblaščenimi osebami vključi na seznam pooblaščenih oseb.
Kot DPO se torej lahko imenuje odvetniška družba, vendar se mora skladno s citiranimi določbami ZVOP-2 v pogodbi o storitvah določiti posameznika (v vašem primeru odvetnika), ki odgovarja za delo pravne osebe kot pooblaščene osebe in se njegovi podatki s strani upravljavca oz. obdelovalca objavijo, kot je opisano zgoraj. Posameznik mora izpolnjevati pogoje za določitev pooblaščene osebe, hkrati pa tudi izpostavljamo, da za pooblaščeno osebo ali njenega namestnika ne sme biti določena oseba, ki je v nasprotju interesov z upravljavcem in obdelovalcem ali je njeno delo pooblaščene osebe v nasprotju z njenimi drugimi nalogami ali s položajem pri upravljavcu in obdelovalcu (peti odstavek 46. člena Splošne uredbe).
Več o obveznosti imenovanja in nalogah pooblaščenih oseb za varstvo podatkov lahko preberete na spletni strani IP: https://www.ip-rs.si/mnenja-zvop-2/poobla%C5%A1%C4%8Dena-oseba-za-varstvo-podatkov-1683869896 in v Smernicah EDPB o pooblaščenih osebah za varstvo podatkov, ki so dostopne na:
https://www.ip-rs.si/fileadmin/user_upload/Pdf/Mednarodno_delovanje/wp243rev01_sl.pdf.
V upanju, da vam bodo naša napotila v pomoč, vas lepo pozdravljamo.
Mojca Prelesnik, univ. dipl. prav., informacijska pooblaščenka
Pripravila
Barbara Žurej, univ. dipl. prav., svetovalka pooblaščenca za preventivo