Imenovanje pooblaščene osebe za varstvo podatkov (DPO)

Datum

04.03.2025

Številka

07121-1/2025/290

Kategorije

Pooblaščene osebe za varstvo podatkov - DPO

Pri Informacijskem pooblaščencu (IP) smo 25.2.2025 prejeli vaše zaprosilo za mnenje glede imenovanja pooblaščene osebe za varstvo podatkov (DPO). Zanima vas, ali morajo imeti lekarne, vključujoče s koncesionarji zasebniki, imenovano pooblaščeno osebo za varstvo osebnih podatkov, kljub temu, da so kot izvajalci zdravstvene dejavnosti dolžni podatke varovati v okviru poklicne tajnosti.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22, ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba), ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A, ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

1. Presoja glede določitve in položaja pooblaščene osebe za varstvo podatkov je v domeni slehernega upravljavca oziroma obdelovalca osebnih podatkov.

2. Splošna uredba za varstvo osebnih podatkov v 37. členu nalaga upravljalcu in obdelovalcu obveznost imenovanja pooblaščene osebe vedno, kadar obdelavo opravlja javni organ ali telo, razen sodišč, kadar delujejo kot sodni organ; kadar temeljne dejavnosti upravljalca ali obdelovalca zajemajo dejanja obdelave, pri katerih je treba zaradi njihove narave, obsega in/ali namenov posameznike, na katere se nanašajo osebni podatki, redno in sistematično obsežno spremljati, ali kadar temeljne dejavnosti upravljalca ali obdelovalca zajemajo obsežno obdelavo posebnih vrst podatkov v skladu s členom 9 in osebnih podatkov v zvezi s kazenskimi obsodbami in prekrški iz člena 10.

3. Po določbi 1. odstavka 45. člena ZVOP-2 morajo pooblaščeno osebo poleg navedenih imenovati tudi upravljavci in obdelovalci, ki obdelujejo osebne podatke iz 1. do 4. točke prvega odstavka 23. člena ZVOP-2.

O b r a z l o ž i t e v:

IP uvodoma pojasnjuje, da izven postopka inšpekcijskega nadzora oziroma drugega upravnega postopka nima zakonskih pooblastil za presojo zakonitosti konkretnih obdelav osebnih podatkov in morebitnih kršitev pravic posameznikov, na katere se podatki nanašajo. V nadaljevanju vam zato podajamo zgolj splošna pojasnila in pravna izhodišča v zvezi z vašimi vprašanji. Končna presoja glede določitve in položaja pooblaščene osebe za varstvo podatkov je v domeni slehernega upravljavca oziroma obdelovalca osebnih podatkov in IP po Splošni uredbi o varstvu podatkov v postopku imenovanja te osebe nima nobenih pristojnosti ter se glede tega ne more in ne sme opredeljevati.

Splošna uredba za varstvo osebnih podatkov v 37. členu nalaga upravljalcu in obdelovalcu obveznost imenovanja pooblaščene osebe vedno, kadar:

a) obdelavo opravlja javni organ ali telo, razen sodišč, kadar delujejo kot sodni organ;

b) temeljne dejavnosti upravljalca ali obdelovalca zajemajo dejanja obdelave, pri katerih je treba zaradi njihove narave, obsega in/ali namenov posameznike, na katere se nanašajo osebni podatki, redno in sistematično obsežno spremljati, ali

c) temeljne dejavnosti upravljalca ali obdelovalca zajemajo obsežno obdelavo posebnih vrst podatkov v skladu s členom 9 in osebnih podatkov v zvezi s kazenskimi obsodbami in prekrški iz člena 10.

Po določbi 1. odstavka 45. člena ZVOP-2 morajo poleg navedenih imenovati tudi upravljavci in obdelovalci, ki obdelujejo osebne podatke iz 1. do 4. točke prvega odstavka 23. člena ZVOP-2. Gre za informacijske sisteme, v katerih:

1. se izvajajo obdelave osebnih podatkov, določenih v zakonih, ki urejajo področja upravnih notranjih zadev, finančne uprave, državljanstva, Slovenske obveščevalno varnostne agencije, obrambe, zdravstvenega varstva, obveznega zdravstvenega zavarovanja, uveljavljanja pravic iz javnih sredstev ter kazenskih in prekrškovnih evidenc, ali

2. se obdelujejo osebni podatki več kot 100.000 posameznikov na podlagi zakona, razen obdelav osebnih podatkov iz 3. poglavja 2. dela tega zakona (videonadzor), ali

3. upravljavec ali obdelovalec kot svojo temeljno dejavnost izvaja obsežne obdelave posebnih vrst osebnih podatkov, ali

4. se obdeluje posebne vrste osebnih podatkov več kot 10.000 posameznikov.

Ne glede na določbe prvega odstavka 23. člena ZVOP-2 lahko drugi upravljavci ali obdelovalci prostovoljno določijo pooblaščeno osebo. Vsak upravljavec ali obdelovalec lahko določi tudi namestnika pooblaščene osebe. Pooblaščena oseba svojega namestnika pooblasti, da opravlja s pooblastilom določene naloge pooblaščene osebe.

Ob tem pa IP dodatno pojasnjuje, da v skladu s šestim odstavkom 38. člena Splošne uredbe o varstvu podatkov pooblaščena oseba za varstvo podatkov sicer lahko opravlja tudi druge naloge in dolžnosti vendar pa mora pri tem vsak upravljavec zagotoviti, da zaradi vsakršnih takih nalog in dolžnosti ne pride do nasprotja interesov. Eno izmed vodil pri delu pooblaščene osebe je namreč njena neodvisnost, saj pooblaščena oseba med drugim ne sme biti v konfliktu interesov. To pomeni, da nalog pooblaščene osebe ne more opravljati nekdo, ki odloča o sredstvih in namenih obdelave osebnih podatkov, sicer bi pooblaščena oseba nadzirala samo sebe. Pooblaščena oseba zato ne more biti direktor. Prav tako to ne more biti lastnik, prokurist, član uprave, vodja službe za upravljanje s človeškimi viri, vodja oddelka za trženje, vodja IT oddelka ali drugi zaposleni, če odloča o namenih in sredstvih obdelave osebnih podatkov.

Vlogo pooblaščene osebe je treba razumeti kot neodvisnega notranjega svetovalca in »revizorja« glede osebnih podatkov, saj mora izvajati preglede, ozaveščati sodelavce in poročati vodstvu o svojih ugotovitvah. IP ob tem pojasnjuje tudi, da je zaradi posebne organizacijske strukture vsakega upravljavca to treba obravnavati za vsak primer posebej, zato je priporočljivo, da vsak upravljavec posebej opredeli položaje, ki so glede na njegovo organizacijsko strukturo nezdružljivi s funkcijo pooblaščene osebe za varstvo podatkov.

IP sklepno pojasnjuje, da so evropski nadzorni organi za varstvo osebnih podatkov že pripravili podrobne smernice, ki vam bodo v pomoč pri imenovanju pooblaščene osebe: https://www.ip-rs.si/fileadmin/user_upload/Pdf/Mednarodno_delovanje/wp243rev01_sl.pdf.

Prav tako je več informacij dostopnih na spletni strani IP na povezavi https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/ključna-področja-uredbe/pooblaščena-oseba-za-varstvo-podatkov.

Lepo vas pozdravljamo.

dr. Jelena Virant Burnik,

informacijska pooblaščenka