Imenovanje pooblaščene oseba za varstvo osebnih podatkov (DPO) in nasprotje interesov

Datum

26.02.2025

Številka

07120-1/2025/257

Kategorije

Pooblaščene osebe za varstvo podatkov - DPO

pri Informacijskem pooblaščencu (IP) smo prejeli vaše zaprosilo za mnenje in sicer ste pojasnili, da bi v javnem zavodu radi zamenjali DPO ter na položaj imenovali osebo, ki je zadolžena za redno posodabljanje kataloga zbirk osebnih podatkov ter skrbi za skladnost delovanja zavoda na področju varstva osebnih podatkov.

Zanima vas, ali je v nasprotju interesov za DPO postaviti osebo, ki je zadolžena za reševanje vlog, ki se nanašajo na vpoglede v lastne osebne podatke in informacije javnega značaja? Oseba nima dostopa do posnetkov videonadzora, vendar pa vseeno hrani izločene videoposnetke na USB ključu, jih posreduje upravičenim osebam ter uničuje skladno z roki hrambe. Ta oseba je v podjetju pravnik in nima vodilnega položaja, imenovana pa je na funkcijo zaupnika po zakonu o zaščiti prijaviteljev.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22; v nadaljevanju ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A; v nadaljevanju ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

Uvodoma moramo izpostaviti, da se IP v okviru nezavezujočih mnenj ne more in ne sme opredeljevati, ali je določena obveznost zavezanca v konkretnem primeru izpolnjena ali ne, temveč lahko izven uradnega inšpekcijskega postopka podamo le nezavezujoče mnenje na osnovi informacij, ki in kot so nam bile predstavljene.

IP je glede pooblaščenih oseb za varstvo osebnih podatkov (v nadaljevanju DPO) objavil vse pomembne informacije na naši spletni strani pod zavihkom »Ključna področja po Splošni uredbi in ZVOP-2«, in sicer na naslovu:

https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/klju%C4%8Dna-podro%C4%8Dja-uredbe/poobla%C5%A1%C4%8Dena-oseba-za-varstvo-podatkov.

Kot pojasnjujemo Splošna uredba in ZVOP-2 opredeljujeta določene kriterije, kdaj je DPO v nasprotju interesov, poudarjamo pa, da je še vedno treba upoštevati vse konkretne okoliščine posameznega primera, zlasti naloge, ki jih oseba opravlja, položaj in njena pooblastila.

Kot poudarjajo Smernice o pooblaščenih osebah za varstvo osebnih podatkov Evropskega odbora za varstvo podatkov[1], je ključen kriterij pri ugotavljanju morebitnega nasprotja interesov, da pooblaščena oseba v organizaciji ne sme imeti položaja, ki bi omogočal opredelitev namenov ali sredstev obdelave osebnih podatkov.

5. odstavek 46. člena ZVOP-2 določa, da za pooblaščeno osebo ali njenega namestnika ne sme biti določena oseba, ki je v nasprotju interesov z upravljavcem in obdelovalcem ali je njeno delo pooblaščene osebe v nasprotju z njenimi drugimi nalogami ali s položajem pri upravljavcu in obdelovalcu. Nasprotje interesov podrobneje opredeljuje šesti odstavek 46. člena ZVOP-2 in sicer se v javnem sektorju šteje, da je določena oseba v nasprotju interesov, če je:

·določena kot upravljavec informacijskega sistema,

·skrbnik informacijskega sistema ali

·vodja informacijske varnosti,

·ima položaj predstojnika v osebi javnega sektorja,

·če je član organov upravljanja ali nadzora pri upravljavcu ali obdelovalcu,

·če njene druge naloge vključujejo sistemsko odločanje o obdelavi osebnih podatkov pri upravljavcu ali obdelovalcu ali

·če zastopa upravljavca oziroma obdelovalca v sodnih ali arbitražnih postopkih v zvezi z vprašanji varstva osebnih podatkov.

Splošno gledano lahko nasprotujoči si položaji v organizaciji vključujejo položaje višjega vodstva (kot so izvršni direktor, ravnatelj šole, predstojnik ali direktor organa v javnem sektorju, operativni direktor, finančni direktor, vodja zdravstvene službe, vodja oddelka za trženje, vodja službe za človeške vire ali vodja oddelkov za informacijsko tehnologijo) in tudi druge vloge na nižji ravni organizacijske strukture, če taki položaji ali vloge vodijo v določitev namenov in sredstev obdelave.

IP meni, da položaj oziroma naloge pooblaščene osebe za posredovanje informacij javnega značaja same po sebi niso v konfliktu interesov oziroma nezdružljive z nalogami pooblaščene osebe za varstvo podatkov, vendar je pri tem treba upoštevati tudi morebitne druge naloge, ki jih v okviru upravljavca opravlja pooblaščena oseba za posredovanje informacij javnega značaja, saj le-te lahko nezdružljive z nalogami pooblaščene osebe za varstvo podatkov in tako vodijo do konflikta interesov[2].

Nekoliko bolj problematično se nam namreč zdi, da bi bila ista oseba zadolžena za reševanje vlog, ki se nanašajo na vpoglede v lastne osebne podatke. Te naloge namreč neizogibno predstavljajo odločanje o tem, ali se bo posamezniku posredovalo osebne podatke ali ne, kakor tudi pripravo odgovorov na zahtevo posameznika in posredovanje podatkov, kar bi že sodilo med odločanje o namenih in sredstvih obdelave osebnih podatkov. Ker ima DPO naloge notranjega nadzora nad obdelavo osebnih podatkov bi se lahko takšna oseba znašla v nasprotju interesov, saj bi kot DPO morala izvajati nadzor  nad lastnimi ravnanji  - ali  je kot oseba, ki rešuje vloge za uveljavljaje pravic posameznikov, v primeru obravnave in reševanja zahteve posameznika po seznanitvi z osebnimi podatki ravnala pravilno in zakonito.

Kot smo navedli v mnenju št. 07121-1/2021/2322 z dne 22.11.2021[3], je DPO treba razumeti kot nekakšnega notranjega revizorja, ki spremlja skladnost poslovanja z določbami Splošne uredbe in drugimi predpisi s področja varstva osebnih podatkov, in vodstvu ter osebam, ki obdelujejo osebne podatke svetuje in jih izobražuje. Preprečiti je torej treba situacijo, ko bi pooblaščena oseba pri svojem delu dejansko nadzirala oz. svetovala sama sebi. Ob tem je treba opozoriti predvsem na nezdružljive položaje s pooblaščeno osebo za varstvo podatkov, kot so npr. položaji višjega vodstva (npr. izvršni direktor, operativni direktor, finančni direktor, vodja oddelka za trženje, vodja službe za človeške vire ali vodja oddelkov za informacijsko tehnologijo) in tudi druge vloge na nižji ravni organizacijske strukture, če taki položaji ali vloge vodijo v določitev namenov in sredstev obdelave.

Več napotkov smo podali v Priporočilih IP glede pooblaščenih oseb za varstvo osebnih podatkov, kjer smo tako npr. navedli, da pooblaščena oseba ne bi smela opravljati nalog kot so: odločanje o pravicah posameznikov, odločanje o vzpostavitvi novih zbirk osebnih podatkov, namenih in obsegih obdelave, odločanje o najemu obdelovalcev in priprava pogodb o najemu storitev obdelovalcev, itd.

Priporočila so dostopna na povezavi :

https://www.ip-rs.si/fileadmin/user_upload/Pdf/novice/Priporocila_IP_glede_delovanja_DPO_koncno.pdf.

Kot možna rešitev obstaja možnost, da se ta del nalog, kjer bi lahko prišlo do nasprotja interesov, poveri drugi osebi, DPO pa še vedno lahko izvaja svoje svetovalne in nadzorne naloge.

Lepo vas pozdravljamo,

dr. Jelena Virant Burnik,

Informacijska pooblaščenka

Pripravil:

mag. Andrej Tomšič,

namestnik informacijske pooblaščenke

---

[1]https://www.ip-rs.si/fileadmin/user_upload/Pdf/Mednarodno_delovanje/wp243rev01_sl.pdf

[2]Glej: https://www.ip-rs.si/mnenja-gdpr/konflikt-interesov-dpo-1665986458

[3]https://www.ip-rs.si/mnenja-gdpr/navzkri%C5%BEje-interesov-pri-poobla%C5%A1%C4%8Deni-osebi-za-varstvo-podatkov-1638779331