Odgovornost pooblaščene osebe za varstvo osebnih podatkov

Datum

31.07.2023

Številka

07121-1/2023/1005

Kategorije

Pogodbena obdelava podatkov, Pooblaščene osebe za varstvo podatkov - DPO

Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaše zaprosilo za mnenje, in sicer vas zanima, ali je lahko pooblaščena oseba za varstvo osebnih podatkov pravno/finančno odgovorna za neskladnja ali neizpolnjevanja zahtev Splošne uredba oz. ZVOP-2? V zakonu piše "odgovorna oseba pravne osebe", in vas zanima, ali je to interpretirano kot pooblaščena oseba za varstvo osebnih podatkov ali direktor pravne osebe.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22; v nadaljevanju: ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, 51/07 – ZUstS-A; ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

Odgovornost za kršitve zakonodaje o varstvu osebnih podatkov se presoja od primera do primera, upoštevaje vse okoliščine zadeve, zato ni mogoče vnaprej trditi, da je to (privzeto) vodstvo pravne osebe, pooblaščena oseba za varstvo podatkov ali nekdo drug.

Obrazložitev

IP uvodoma pojasnjuje, da se odgovornost za kršitve zakonodaje o varstvu osebnih podatkov presoja od primer do primera, upoštevaje vse okoliščine zadeve, zato ni mogoče vnaprej trditi, da je to vodstvo pravne osebe ali pooblaščena oseba za varstvo podatkov ali nekdo drug. Pri tem je ključno ugotoviti, kdo, kdaj in s katerim dejanjem ali dejanji je storil nekaj, kar je opredeljeno kot kršitev ali je opustil dolžno ravnanje, zaradi česar je prišlo do kršitve in te (individualne) odgovornosti z vidika posamezne osebe (če torej ne govorimo o odgovornosti pravne osebe) ni mogoče avtomatsko pripisati vodstvu (direktorju, ravnatelju ipd.). V prekrškovni praksi IP so bili, v odvisnosti od okoliščin primera, kaznovani različni profili zaposlenih ali vodstvenega kadra.

Splošne pogoje za predpisovanje prekrškov in sankcij zanje, splošne pogoje za odgovornost za prekrške, za izrekanje in za izvršitev sankcij za prekrške, postopek za prekrške ter organe in sodišča za odločanje o prekrških sicer določa Zakon o prekrških (Uradni list RS, št. 29/11 – uradno prečiščeno besedilo, 21/13, 111/13, 74/14 – odl. US, 92/14 – odl. US, 32/16, 15/17 – odl. US, 73/19 – odl. US, 175/20 – ZIUOPDVE in 5/21 – odl. US; ZP-1). Prekršek je dejanje, ki pomeni kršitev zakona, uredbe vlade, odloka samoupravne‚ lokalne skupnosti, ki je kot tako določeno kot prekršek in je zanj predpisana sankcija za prekršek (6. člen ZP-1). Odgovorna oseba je tista oseba, ki je pooblaščena opravljati delo v imenu, na račun, v korist ali s sredstvi pravne osebe, samostojnega podjetnika posameznika ali posameznika, ki samostojno opravlja dejavnost, državnega organa ali organa samoupravne lokalne skupnosti (prvi odstavek 15. člena ZP-1). Odgovorna oseba je tudi tista oseba, ki je pri subjektu pooblaščena izvajati dolžno nadzorstvo, s katerim se lahko prepreči prekršek (drugi odstavek 15. člena ZP-1). Odgovorna oseba je odgovorna za prekršek, ki ga stori s svojim dejanjem (storitvijo ali opustitvijo) pri opravljanju dejavnosti pravne osebe, samostojnega podjetnika posameznika ali posameznika, ki samostojno opravlja dejavnost, pri izvrševanju pooblastil državnega organa ali organa samoupravne lokalne skupnosti (prvi odstavek 15.a člena ZP-1).

Glede odgovornosti pooblaščenih oseb za varstvo podatkov za kršitve zakonodaje o varstvu osebnih podatkov pojasnjujemo, da je iz obrazložitev k predlogu ZVOP-2 Vlade RS mogoče razbrati, da so naloge pooblaščene osebe omejene na obveščanje, svetovanje in pomoč upravljavcem in obdelovalcem glede njihovih obveznosti in ne pomenijo prevzema odgovornosti za zagotavljanje skladnosti obdelav osebnih podatkov. Pooblaščene oseba ne more odgovarjati za ugotovljene kršitve Splošne uredbe in drugih predpisov o varstvu osebnih podatkov – odgovornost za skladnost je na zavezancu (upravljavcu ali obdelovalcu) in ne na njihovih pooblaščenih osebah. Te se odgovorne za to, da opravljajo svoje naloge, t.j. da izvajajo nadzor nad obdelavami osebnih podatkov, da izvajajo obveščanje upravljavca ali obdelovalca in zaposlenih, ki izvajajo obdelavo, za svetovanje, za sodelovanje z nadzornim organom ter delovanje kot kontaktna točka za nadzorni organ pri vprašanjih v zvezi z obdelavo osebnih podatkov. Dolžnost pooblaščene osebe je torej, da vodstvo opozori na ugotovljene neskladnosti. Za zagotavljanje skladnosti obdelave osebnih podatkov z določbami Splošne uredbe in zakonov se upravljavci in obdelovalci odgovornosti za kršitve skladnosti ne morejo rešiti s sklicevanjem na neustrezno delo pooblaščene osebe. Navedeno ne izključuje možnost morebitnih odškodninskih tožb oz. morebitnih regresnih zahtevkov zoper pooblaščeno osebo za varstvo osebnih podatkov, zaradi katerih bi družbi nastala škoda, kar pa ne sodi v pristojnost IP. Civilnopravnih vidikov posledic kršitev pogodbenega razmerja med pogodbenimi strankami v zvezi z izvajanjem nalog pooblaščene osebe za varstvo osebnih podatkov Splošna uredba načeloma ne ureja in je to stvar dogovora med strankami.

Sankcije za kršitev določb ZVOP-2 glede pooblaščenih oseb (členi od 44 do 50) v ZVOP-2 niso določene, temveč veljajo splošna pravila za izrekanje sankcij po Splošni uredbi za kršitve 37. do 39. člena Splošne uredbe, po kateri pa se kaznuje pravne osebe in ne posameznikov. Po podatkih za EU[1] je bilo do prve polovice 2023 izrečenih 40 kazni v povezavi s pooblaščenimi osebami zaradi kršitev 37., 38. ali 39. člena Splošne uredbe. Pri tem je najvišja izrečena kazen znašala 525.000 EUR, večinoma pa so bile izrečene v razponu med 10.000 EUR in 20.000 EUR, izrečene pa so bile pravnim osebam in ne pooblaščenim osebam za varstvo osebnih podatkov.

S spoštovanjem,

Mojca Prelesnik, univ. dipl. prav., Informacijska pooblaščenka

Pripravil

mag. Andrej Tomšič, namestnik informacijske pooblaščenke

---

[1]GDPR Enforcement Tracker, https://www.enforcementtracker.com