- Napreden AI iskalnik za hitro iskanje primerov
- Dostop do celotne evropske in slovenske sodne prakse
- Samodejno označevanje ključnih relevantnih odstavkov
Podobni dokumenti
Ogledaj podobne dokumente za vaš primer.Prijavi se in poglej več podobnih dokumentov
Imenovanje DPO
Z nami najdeš vse. Preizkusi zdaj!
Samo zamislim si kaj bi rada da piše v sodbi, to vpišem v iskalnik, in dobim kar sem iskala. Hvala!
Tara K., odvetnica
Imenovanje DPO
Datum
07.02.2023
Številka
07120-1/2023/45
Kategorije
Pooblaščene osebe za varstvo podatkov - DPO
Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaše zaprosilo za mnenje imenovanja pooblaščene osebe za varstvo podatkov (ang. DPO).
Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22; v nadaljevanju: ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, 51/07 – ZustS-A; ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.
Presoja glede imenovanja in položaja pooblaščene osebe za varstvo podatkov je v domeni slehernega upravljavca oziroma obdelovalca osebnih podatkov.
Pri odločitvi o imenovanju pooblaščene osebe je treba ravnati skrbno in previdno ter upoštevati vsa dejanja obdelave osebnih podatkov, ki jih vaš zavod izvaja, ter vrsto in obseg podatkov, ki se obdelujejo.
Priporočljivo je, da vsak upravljavec posebej opredeli položaje, ki so glede na njegovo organizacijsko strukturo nezdružljivi s funkcijo pooblaščene osebe za varstvo podatkov.
Obrazložitev
IP uvodoma poudarja, da je končna presoja glede imenovanja in položaja pooblaščene osebe za varstvo podatkov v domeni slehernega upravljavca oziroma obdelovalca osebnih podatkov in IP po Splošni uredbi o varstvu podatkov v postopku imenovanja te osebe nima nobenih pristojnosti ter se glede tega ne more in ne sme opredeljevati. IP lahko svojo zavezujočo oceno poda le v konkretnem inšpekcijskem postopku.
IP pojasnjuje, da v skladu s šestim odstavkom 38. člena Splošne uredbe o varstvu podatkov pooblaščena oseba za varstvo podatkov lahko opravlja tudi druge naloge in dolžnosti. Vendar pa mora pri tem vsak upravljavec (v konkretnem primeru vaš zavod) zagotoviti, da zaradi vsakršnih takih nalog in dolžnosti ne pride do nasprotja interesov. Eno izmed vodil pri delu pooblaščene osebe je namreč njena neodvisnost, saj pooblaščena oseba med drugim ne sme biti v konfliktu interesov. To predvsem pomeni, da pooblaščena oseba v organizaciji ne sme imeti položaja, ki bi omogočala opredelitev namenov ali storitev obdelave osebnih podatkov. Iz navedenega razloga nalog pooblaščene osebe ne more opravljati nekdo, ki odloča o sredstvih in namenih obdelave osebnih podatkov, saj bi sicer pooblaščena oseba nadzirala samo sebe.
Tudi ZVOP-2 (peti odstavek 46. člena) določa, da za pooblaščeno osebo ali njenega namestnika ne sme biti določena oseba, ki je v nasprotju interesov z upravljavcem in obdelovalcem ali je njeno delo pooblaščene osebe v nasprotju z njenimi drugimi nalogami ali s položajem pri upravljavcu in obdelovalcu. Nasprotje interesov podrobneje opredeljuje šesti odstavek 46. člena ZVOP-2, ki določa, da se v javnem sektorju šteje, da je določena oseba v nasprotju interesov, če je določena kot upravljavec informacijskega sistema, skrbnik informacijskega sistema ali vodja informacijske varnosti, ima položaj predstojnika v osebi javnega sektorja, če je član organov upravljanja ali nadzora pri upravljavcu ali obdelovalcu, če njene druge naloge vključujejo sistemsko odločanje o obdelavi osebnih podatkov pri upravljavcu ali obdelovalcu ali če zastopa upravljavca oziroma obdelovalca v sodnih ali arbitražnih postopkih v zvezi z vprašanji varstva osebnih podatkov.
Splošno gledano lahko nasprotujoči si položaji v izobraževalni organizaciji vključujejo položaje višjega vodstva (kot so predstojnik oziroma ravnatelj, vodja službe za upravljanje s človeškimi viri, vodja oddelka za informacijsko tehnologijo) in tudi druge vloge na nižji ravni organizacijske strukture, če taki položaji ali vloge vodijo v določitev namenov in sredstev obdelave. Bistveno torej ni, ali konkretna oseba (zaposleni) obdeluje osebne podatke, ampak ali odloča o sredstvih in namenih njihove obdelave.
IP ob tem pojasnjuje tudi, da je zaradi posebne organizacijske strukture vsakega upravljavca to treba obravnavati za vsak primer posebej, zato je priporočljivo, da vsak upravljavec posebej opredeli položaje, ki so glede na njegovo organizacijsko strukturo nezdružljivi s funkcijo pooblaščene osebe za varstvo podatkov. Vsekakor je treba pri odločitvi o imenovanju pooblaščene osebe ravnati skrbno in previdno ter upoštevati vsa dejanja obdelave osebnih podatkov, ki jih posamezni subjekt (v konkretnem primeru vaš zavod) izvaja, ter vrsto in obseg podatkov, ki se obdelujejo. Vlogo pooblaščene osebe je treba razumeti kot neodvisnega notranjega svetovalca in »revizorja« glede osebnih podatkov, saj mora izvajati preglede, ozaveščati sodelavce in poročati vodstvu o svojih ugotovitvah.
IP sklepno pojasnjuje, da so evropski nadzorni organi za varstvo osebnih podatkov že pripravili podrobne smernice, ki vam bodo v pomoč pri presojanju položaja pooblaščene osebe:
https://www.ip-rs.si/fileadmin/user_upload/Pdf/Mednarodno_delovanje/wp243rev01_sl.pdf.
IP vas sklepno napotuje tudi na spletno stran IP, kjer lahko prav tako najdete uporabne napotke glede pooblaščene osebe za varstvo podatkov:
https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/ključna-področja-uredbe/pooblaščena-oseba-za-varstvo-podatkov
S spoštovanjem.
Pripravil
Matej Sironič, Svetovalec pooblaščenca za varstvo osebnih podatkov
Mojca Prelesnik, univ. dipl. prav., Informacijska pooblaščenka