Pooblaščena oseba za varstvo podatkov

Datum

08.05.2023

Številka

07120-1/2023/261

Kategorije

Pooblaščene osebe za varstvo podatkov - DPO

Informacijski pooblaščenec (v nadaljevanju: IP) je po e-pošti prejel vaše zaprosilo za mnenje. Navajate, da lahko na spletni strani osnovne šole dostopate do dokumentov o varstvu osebnih podatkov, kjer je tudi dokument o imenovanju pooblaščene osebe za varstvo podatkov. Sprašujete, kako je možno, da bi bili dve pooblaščeni osebi za varstvo podatkov, saj ste prejeli anketo zaposlenim, kjer je zapisano, da je pooblaščena oseba za varstvo podatkov dejansko druga oseba, ki je zaposlena na šoli in niti ni pravnica.

* * *

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22, ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A, ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

Upravljavec imenuje pooblaščeno osebo (lahko tudi njenega namestnika), ki izpolnjuje pogoje, navedene v Splošni uredbi, oz. ZVOP-2. Imenuje jo predvsem na podlagi poklicnih odlik in zlasti strokovnega znanja o zakonodaji in praksi na področju varstva podatkov. Potrebna raven strokovnega znanja za imenovanje pooblaščene osebe s Splošno uredbo in ZVOP-2 ni določena.

Kontaktni podatki o pooblaščeni osebi morajo biti dostopni v okviru informacij za posameznike o obdelavi osebnih podatkov in biti javno objavljeni na ustrezen način, zlasti na spletnih straneh. Opozarjamo pa, da bi lahko IP o konkretnih kršitvah odločal zgolj v okviru konkretnega inšpekcijskega postopka.

Obrazložitev

Uvodoma poudarjamo, da IP izven postopka inšpekcijskega nadzora oziroma drugega upravnega postopka konkretnih obdelav osebnih podatkov ne more presojati. V okviru nezavezujočega mnenja vam lahko podamo zgolj splošna pojasnila in priporočila.

Pooblaščeno osebo za varstvo podatkov (ang. »DPO«) morajo med drugim imenovati vsi upravljavci in obdelovalci v javnem sektorju. Pooblaščeno osebo upravljavec imenuje predvsem na podlagi poklicnih odlik in zlasti strokovnega znanja o zakonodaji in praksi na področju varstva podatkov. Vsak upravljavec ali obdelovalec lahko določi tudi namestnika pooblaščene osebe. Pooblaščena oseba svojega namestnika pooblasti, da opravlja s pooblastilom določene naloge pooblaščene osebe. Splošna uredba in ZVOP-2 izrecno ne zahtevata določene vrste oz. stopnje izobrazbe pooblaščene osebe in njenega namestnika. Skladno s prvim odstavkom 46. člena ZVOP-2 je lahko za pooblaščeno osebo upravljavca ali obdelovalca in njenega namestnika določen posameznik, ki izpolnjuje naslednje pogoje: je poslovno sposoben, ima znanja oziroma praktične izkušnje s področja varstva osebnih podatkov in ni bil pravnomočno obsojen na kazen zapora najmanj šestih mesecev oziroma ni bil pravnomočno obsojen za kaznivo dejanje glede zlorabe osebnih podatkov. Kot smo opozorili na spletni strani IP (zavihek o Pooblaščeni osebi za varstvo podatkov po Splošni uredbi in ZVOP-2, ki je dostopen na: https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/ključna-področja-uredbe/pooblaščena-oseba-za-varstvo-podatkov) potrebna raven strokovnega znanja v Splošni uredbi in ZVOP-2 ni izrecno opredeljena, vendar mora biti sorazmerna z občutljivostjo, zapletenostjo in količino podatkov, ki jih organizacija obdeluje. Pooblaščena oseba mora imeti strokovno znanje o nacionalni in evropski zakonodaji in praksi na področju varstva podatkov ter poglobljeno razumevanje zakonodaje o varstvu osebnih podatkov, prav tako pa bi morala dobro razumeti tudi dejanja obdelave, ki se izvajajo, in informacijske sisteme, pa tudi potrebe upravljavca v zvezi z varnostjo in varstvom podatkov. V primeru javnega organa ali telesa bi morala dobro poznati tudi upravna pravila in postopke organizacije.

Upravljavci ali obdelovalci iz javnega sektorja (razen državnih organov), lahko določijo drugo pooblaščeno osebo, če je ni mogoče določiti znotraj osebe javnega sektorja. Določijo jo lahko skupaj z drugimi upravljavci ali obdelovalci javnega sektorja ali pa s pogodbo v pisni obliki določijo tudi posameznika ali posameznico iz zasebnega sektorja ali pravno osebo iz zasebnega sektorja. Za pooblaščeno osebo ali njenega namestnika ne sme biti določena oseba, ki je v nasprotju interesov z upravljavcem in obdelovalcem ali je njeno delo pooblaščene osebe v nasprotju z njenimi drugimi nalogami ali s položajem pri upravljavcu in obdelovalcu. Opredeljeni so tudi primeri, kdaj se v javnem sektorju šteje, da gre za nasprotje interesov, to je npr. kadar ima oseba položaj predstojnika v osebi javnega sektorja.

Upravljavec torej sam presodi, katera oseba je glede na specifike obdelave osebnih podatkov v določeni organizaciji in njeno strokovno znanje in izkušnje najbolj primerna za pooblaščeno osebo za varstvo podatkov. Njene naloge so skladno z 39. členom Splošne uredbe predvsem svetovalno-nadzorne narave, in sicer obveščanje in svetovanje upravljavcu in zaposlenim o varstvu osebnih podatkov, spremljanje skladnosti s Splošno uredbo, svetovanje glede ocene učinka in sodelovanje z nadzornim organom.

Upravljavec skladno z določbami ZVOP-2 oz. Splošne uredbe določi pooblaščeno osebo, lahko pa kot navedeno zgoraj, imenuje tudi njenega namestnika. Iz določb logično izhaja, da se določi ena pooblaščena oseba, kar je pomembno tudi zaradi zagotavljanja njene neodvisnosti. Kot je pojasnjeno v Smernicah o pooblaščenih osebah za varstvo podatkov Delovne skupine za varstvo podatkov iz člena 29 (dostopne na: https://www.ip-rs.si/fileadmin/user_upload/Pdf/Mednarodno_delovanje/wp243rev01_sl.pdf) je treba včasih glede na velikost in strukturo organizacije oblikovati ekipo pooblaščene osebe za varstvo podatkov (pooblaščena oseba za varstvo podatkov in njeno osebje). V teh primerih se predlaga, da se jasno oblikuje notranja strukturo ekipe ter naloge in odgovornosti vsakega od njenih članov. Podobno velja, da kadar funkcijo pooblaščene osebe za varstvo podatkov opravlja zunanji ponudnik storitev, lahko ekipa posameznikov, ki delajo za ta subjekt, kot taka učinkovito izvaja naloge pooblaščene osebe za varstvo podatkov v okviru odgovornosti pooblaščene glavne kontaktne osebe za stranko.

Kontaktni podatki o pooblaščeni osebi morajo biti dostopni v okviru informacij za posameznike, ki jih je upravljavec dolžan posameznikom zagotoviti skladno z 13. členom Splošne uredbe. Prav tako mora skladno s četrtim odstavkom 45. člena ZVOP-2 v osmih dneh od določitve pooblaščene osebe vpisati njene kontaktne podatke v skladu s 30. členom Splošne uredbe v svojo evidenco dejavnosti obdelav in njen kontakt za namen sodelovanja s posamezniki, na katere se nanašajo osebni podatki, javno objaviti na primeren način, zlasti na spletnih straneh. Glede informacij o obdelavi osebnih podatkov v zvezi z izvedeno anketo, IP opozarja da zunaj inšpekcijskega postopka ne more presojati o morebitnih kršitvah skladno s Splošno uredbo in ZVOP-2. Če menite, da ne gre za pomoto (v poslanih informacijah o obdelavi osebnih podatkov v okviru ankete je navedeno tudi, da je druga oseba, ki naj bi prav tako bila pooblaščena oseba, dejansko avtor ankete) in da gre za kršitev pojasnjenih določb Splošne uredbe in ZVOP-2, lahko pri IP vložite prijavo. Uporabite lahko vzorec »Prijava kršitve varstva osebnih podatkov (Obrazec ZIN PRIJAVA)«, ki je dostopen na: https://www.ip-rs.si/obrazci/varstvo-osebnih-podatkov/.

V upanju, da vam bodo naša napotila v pomoč, vas lepo pozdravljamo.

Mojca Prelesnik, univ. dipl. prav., informacijska pooblaščenka

Pripravila

Barbara Žurej, univ. dipl. prav., svetovalka pooblaščenca za preventivo