Informacijski pooblaščenec Republika Slovenija
   
dekorativna slika

Pooblaščena oseba za varstvo podatkov po Splošni uredbi in ZVOP-2

+ -

Na kratko

Kdo mora imenovati pooblaščeno osebo?

Posebnosti glede imenovanja pooblaščene osebe pri določenih državnih organih?

Ali je možno imenovanje skupnih pooblaščenih organov (za več zavezancev)?

Katere so naloge pooblaščene osebe?

Katere poklicne odlike in strokovna znanja naj ima?

Kdo ne more biti pooblaščena oseba?

Kako in v kakšnem roku sporočiti kontaktne podatke pooblaščene osebe?

Ali je pooblaščena oseba lahko zaposleni pri organizaciji ali zunanji izvajalec?

Na kratko

Splošna uredba o varstvu osebnih podatkov uvaja institut pooblaščene osebe za varstvo podatkov (ang. Data Protection Officer ali DPO), ki naj bi izvajala svetovalne in nadzorne naloge na področju varstva osebnih podatkov. Imenovanje pooblaščene osebe lahko olajša skladnost z določbami Splošne uredbe, podjetjem pa zagotovi konkurenčno prednost.

  • Obveznost imenovanja pooblaščene osebe ni vezana na število zaposlenih v podjetju, temveč Splošna uredba in ZVOP-2 določata kriterije, po katerih morate sami oceniti, ali ste takšno podjetje ali institucija, ki mora imeti pooblaščeno osebo.
  • Pooblaščena oseba naj deluje kot notranji revizor za varstvo osebnih podatkov, njene glavne naloge pa so spremljanje skladnosti s Splošno uredbo, svetovanje upravljavcem in obdelovalcem o njihovih obveznostih, izobraževanje in ozaveščanje zaposlenih ter svetovanje glede izvedbe ocene učinka v zvezi z varstvom podatkov.
  • Pooblaščena oseba je kontaktna točka za nadzorni organ in tudi mora biti dostopna posameznikom, katerih osebne podatke obdelujete.
  • Pooblaščena oseba mora biti neodvisna, pravočasno vključena v vse zadeve v zvezi z varstvom osebnih podatkov in imeti aktivno podporo s strani višjega vodstva.
  • Imeti mora strokovno znanje o nacionalni in evropski zakonodaji in praksi na področju varstva podatkov ter poznati poslovne procese v podjetju oz. organizaciji.
  • OBRAZEC: 
    • Spletni obrazec za sporočanje in popravljanje podatkov o imenovani pooblaščeni osebi
  • RELEVANTNI ČLENI SPLOŠNE UREDBE
    Uvodne določbe: 97
    Členi: 37, 38, 39
  • RELETANVNI ČLENI ZVOP-2
    Členi: 44, 45, 46, 47, 48, 49, 50
  • OBVEZNO BRANJE Smernice o pooblaščenih osebah za varstvo osebnih podatkov 
  • Priporočila Informacijskega pooblaščenca glede delovanja pooblaščene osebe za varstvo osebnih podatkov.

Kdo mora imenovati pooblaščeno osebo?

Splošna uredba v 37. členu določa, da morajo pooblaščeno osebo imenovati:

  1. Javni organi in telesa. Definicijo javnega sektorja določa ZVOP-2 v 3. točki 2. odstavka 5. člena po kateri so »javni sektor« državni organi, samoupravne lokalne skupnosti, nosilci javnih pooblastil v delu, kjer izvršujejo javna pooblastila, javne agencije, javni skladi, javni zavodi, univerze, samostojni visokošolski zavodi, zasebni vrtci in zasebne osnovne ter srednje šole, ki izvajajo javno veljavne vzgojno-izobraževalne programe, samoupravne narodne skupnosti, Svet romske skupnosti Republike Slovenije in druge osebe javnega prava, ustanovljene z zakonom.
  2. Podjetja, katerih temeljne dejavnosti zajemajo dejanja obdelave, pri katerih je treba zaradi njihove narave, obsega in/ali namenov posameznike redno in sistematično obsežno spremljati. Sem sodijo, npr. banke, zavarovalnice, operaterji elektronskih komunikacij, trgovci s klubi zvestobe. Prav tako bi sem sodile kadrovske agencije, številne spletne trgovine in IT podjetja, ki vzdržujejo rešitve za obdelavo osebnih podatkov posameznikov, npr. sistemi za upravljanje podatkov kupcev in njihovo profiliranje (upravljanje odnosov s strankami, angl. CRM), zdravstveni IT sistemi. Proizvodna podjetja in druga podjetja, katerih temeljne storitve niso namenjene posameznikom, temveč drugim podjetjem in ki ne vključujejo obsežne obdelave osebnih podatkov, niso dolžna imenovati pooblaščene osebe.
  3. Tista podjetja in institucije, ki izvajajo obsežno obdelavo zdravstvenih in drugih občutljivih podatkov, ki sodijo med t.i. posebne vrste podatkov, npr. bolnišnice in klinike, zdravstveni in socialno-varstveni zavodi, ponudniki zdravstvenih informacijskih sistemov in storitev. Posamezen zasebni zdravnik, zobozdravnik ali odvetnik ni dolžan imenovati pooblaščene osebe.

Po določbi 1. odstavka 45. člena ZVOP-2 morajo poleg navedenih imenovati tudi upravljavci in obdelovalci, ki obdelujejo osebne podatke iz 1. do 4. točke prvega odstavka 23. člena ZVOP-2. Gre za informacijske sisteme, v katerih:

  1. se izvajajo obdelave osebnih podatkov, določenih v zakonih, ki urejajo področja upravnih notranjih zadev, finančne uprave, državljanstva, Slovenske obveščevalno varnostne agencije, obrambe, zdravstvenega varstva, obveznega zdravstvenega zavarovanja, uveljavljanja pravic iz javnih sredstev ter kazenskih in prekrškovnih evidenc, ali
  2. se obdelujejo osebni podatki več kot 100.000 posameznikov na podlagi zakona, razen obdelav osebnih podatkov iz 3. poglavja 2. dela tega zakona (videonadzor), ali
  3. upravljavec ali obdelovalec kot svojo temeljno dejavnost izvaja obsežne obdelave posebnih vrst osebnih podatkov, ali
  4. se obdeluje posebne vrste osebnih podatkov več kot 10.000 posameznikov.

Ne glede na določbe prvega odstavka 23. člena ZVOP-2 lahko drugi upravljavci ali obdelovalci prostovoljno določijo pooblaščeno osebo. Vsak upravljavec ali obdelovalec lahko določi tudi namestnika pooblaščene osebe. Pooblaščena oseba svojega namestnika pooblasti, da opravlja s pooblastilom določene naloge pooblaščene osebe.

Upravljavec ali obdelovalec v osmih dneh od določitve pooblaščene osebe vpiše njene kontaktne podatke v skladu s 30. členom Splošne uredbe v svojo evidenco dejavnosti obdelav in njen kontakt za namen sodelovanja s posamezniki, na katere se nanašajo osebni podatki, javno objavi na primeren način, zlasti na spletnih straneh

Podrobnejše razlage in konkretne primere, kaj obsegajo pojmi »temeljne dejavnosti«, »velik obseg« in »redno in sistematično spremljanje«, najdete v Smernicah o pooblaščenih osebah za varstvo osebnih podatkov Delovne skupine za varstvo podatkov iz člena 29.

Posebnosti glede imenovanja pooblaščene osebe pri določenih državnih organih?

49. člen ZVOP-2 določa naslednje posebnosti:

(1) Vrhovno sodišče Republike Slovenije določi pooblaščeno osebo, ki opravlja naloge v skladu s prvim odstavkom prejšnjega člena za vsa sodišča s splošno pristojnostjo in specializirana sodišča v Republiki Sloveniji.

(2) Vrhovno državno tožilstvo Republike Slovenije določi pooblaščeno osebo, ki opravlja naloge v skladu s prvim odstavkom prejšnjega člena za vsa državna tožilstva v Republiki Sloveniji in Državnotožilski svet.

(3) Vsak minister ali ministrica (v nadaljnjem besedilu: minister) določi pooblaščeno osebo, ki je zaposlena na tem ministrstvu, v primeru ministrstva brez listnice pa na organu ali v službi ministra. Če je v okviru ministrstva ustanovljen organ v sestavi, predstojnik organa v sestavi za pooblaščeno osebo organa v sestavi določi javnega uslužbenca, ki je zaposlen v organu v sestavi ali na tem ministrstvu.

(4) Predstojnik organa s področja varnosti države določi pooblaščeno osebo in njenega namestnika znotraj organa. Pooblaščena oseba tega organa opravlja tiste naloge iz 39. člena Splošne uredbe, za katere tako določi predstojnik, obvezno pa opravlja naloge glede zagotavljanja varnosti osebnih podatkov, posredovanja osebnih podatkov Vladi Republike Slovenije, Predsedniku Republike Slovenije, policiji, državnim tožilstvom, sodiščem, pristojnemu delovnemu telesu Državnega zbora Republike Slovenije in drugim subjektom ter glede čezmejnih obdelav in prenosov osebnih podatkov.

(5) Pooblaščeno osebo upravne enote ali skupno pooblaščeno osebo več upravnih enot določi ministrstvo, pristojno za javno upravo. Po dogovoru z ministrstvom lahko tudi upravne enote določijo pooblaščene osebe. Pooblaščena oseba upravne enote mora biti zaposlena na ministrstvu, pristojnem za javno upravo ali v upravni enoti.

Ali je možno imenovanje skupnih pooblaščenih organov (za več zavezancev)?

Splošne uredba v 2. oz. v 3. odstavku dopušča naslednje možnosti:

  • Povezana družba lahko imenuje eno pooblaščeno osebo za varstvo podatkov, če je ta pooblaščena oseba za varstvo podatkov lahko dostopna iz vsake enote.
  • Kadar je upravljavec ali obdelovalec javni organ ali telo, se lahko za več takšnih organov ali teles ob upoštevanju njihove organizacijske strukture in velikosti imenuje ena sama pooblaščena oseba za varstvo podatkov.

47. člen ZVOP-2 dopušča skupno določitev pooblaščene osebe in določitev pooblaščene osebe sindikata in sicer določa, da

(1) Več upravljavcev oziroma obdelovalcev lahko ob upoštevanju svoje organizacijske strukture, velikosti ali raznovrstnosti obdelav osebnih podatkov samostojno določi skupno pooblaščeno osebo in njenega namestnika.

(2) Odvetniki in odvetniške družbe lahko v dogovoru z Odvetniško zbornico Slovenije določijo skupno pooblaščeno osebo.

(3) Notarji lahko v dogovoru z Notarsko zbornico Slovenije določijo skupno pooblaščeno osebo.

(4) Reprezentativna zveza ali konfederacija sindikatov lahko določi skupno pooblaščeno osebo in njenega namestnika glede obdelave osebnih podatkov za sindikate, ki so njeni člani in ki k takemu imenovanju dajo pisno soglasje.

(5) Sindikat, ki je reprezentativen v panogi, dejavnosti ali poklicu, lahko za svoje organizacijske oblike delovanja pri posameznih delodajalcih določi skupno pooblaščeno osebo in njenega namestnika glede obdelave osebnih podatkov članov sindikata.

  • V primeru določitve skupne pooblaščene osebe je reprezentativen sindikat pri delodajalcu dolžan pomagati pri zagotavljanju zakonitosti ravnanja z osebnimi podatki in upoštevati navodila skupne pooblaščene osebe iz prejšnjega odstavka. Za ta namen lahko sindikat pri delodajalcu pooblasti osebo, ki pa ne sme biti iz javnega sektorja, če ne gre za sindikat pri delodajalcu v javnem sektorju.
  • Kadar sindikat pri določanju pooblaščene osebe zaradi organizacijskih ali tehničnih razlogov ne more uporabiti možnosti določitve pooblaščene osebe po določbah četrtega in petega odstavka 47. člena ZVOP-2, lahko predsednik sindikata določi, da sindikalni zaupnik ali predsednik sindikata sam opravlja naloge pooblaščene osebe.

Katere so naloge pooblaščene osebe?

Naloge pooblaščenih oseb za varstvo podatkov določa 39. člen Splošne uredbe. Naloge so predvsem svetovalno-nadzorne narave:

a.      obveščanje upravljavca ali obdelovalca in zaposlenih, ki izvajajo obdelavo, ter svetovanje navedenim o njihovih obveznostih v skladu s Splošno uredbo in drugimi določbami prava Unije ali prava države članice o varstvu podatkov;

b.     spremljanje skladnosti s Splošno uredbo, drugimi določbami prava Unije ali prava države članice o varstvu podatkov in politikami upravljavca ali obdelovalca v zvezi z varstvom osebnih podatkov, vključno z dodeljevanjem nalog, ozaveščanjem in usposabljanjem osebja, vključenega v dejanja obdelave, ter s tem povezanimi revizijami;

c.      svetovanje, kadar je to zahtevano, glede ocene učinka v zvezi z varstvom podatkov in spremljanje njenega izvajanja v skladu s členom 35;

d.     sodelovanje z nadzornim organom;

e.      delovanje kot kontaktna točka za nadzorni organ pri vprašanjih v zvezi z obdelavo, vključno s predhodnim posvetovanjem iz 36. člena Splošne uredbe in, kjer je ustrezno, posvetovanje glede katere koli druge zadeve.

ZVOP-2 v 48. členu določa, da pooblaščena oseba na neodvisen način opravlja naloge iz 39. člena Splošne uredbe in zlasti svetuje pri ocenjevanju tveganj glede varnosti osebnih podatkov v zvezi z vsemi obdelavami osebnih podatkov v zbirkah, ki jih izvaja upravljavec oziroma obdelovalec, pri katerem je določena.

50. člen ZVOP-2 določa dolžnost varstva tajnosti osebnih podatkov in sicer sta pooblaščena oseba in namestnik sta pri opravljanju dela in po njegovem zaključku zavezana k varstvu tajnosti obdelovanih osebnih podatkov. Pridobljene informacije smeta uporabljati izključno za opravljanje nalog pooblaščene osebe.

Pooblaščena oseba sodišča ali Ustavnega sodišča Republike Slovenije ne sme opravljati nalog iz prejšnjega odstavka v zvezi z obdelavami osebnih podatkov v konkretnih zadevah sodišč ali zadev Ustavnega sodišča, kadar Ustavno sodišče obravnava zadeve sodišč.

Pooblaščena oseba ni odgovorna za zagotavljanje skladnosti z določbami o varstvu osebnih podatkov, pač pa sta upravljavec in obdelovalec tista, ki morata dokazati, da obdelava poteka v skladu z zakonodajo.

Katere poklicne odlike in strokovna znanja naj ima?

Funkcija pooblaščene osebe terja interdisciplinarna znanja in se imenuje na podlagi poklicnih odlik in strokovnega poznavanja zakonodaje in prakse na področju varstva osebnih podatkov.

  • Potrebna raven strokovnega znanja v Splošni uredbi ni izrecno opredeljena, vendar mora biti sorazmerna z občutljivostjo, zapletenostjo in količino podatkov, ki jih organizacija obdeluje,
  • pooblaščena oseba mora imeti strokovno znanje o nacionalni in evropski zakonodaji in praksi na področju varstva podatkov ter poglobljeno razumevanje zakonodaje o varstvu osebnih podatkov,
  • pooblaščena oseba bi morala dobro razumeti tudi dejanja obdelave, ki se izvajajo, in informacijske sisteme, pa tudi potrebe upravljavca v zvezi z varnostjo in varstvom podatkov. V primeru javnega organa ali telesa bi morala dobro poznati tudi upravna pravila in postopke organizacije,

46. člen ZVOP-2 predpisuje naslednje posebne zahteve glede stopnje strokovne usposobljenosti in zahtevanih delovnih izkušenj:

  1. Za pooblaščeno osebo upravljavca ali obdelovalca in njenega namestnika je lahko določen posameznik, ki izpolnjuje naslednje pogoje:
    1. je poslovno sposoben,
    2. ima znanja oziroma praktične izkušnje s področja varstva osebnih podatkov in
    3. ni bil  pravnomočno obsojen na kazen zapora najmanj šestih mesecev oziroma ni bil pravnomočno obsojen za kaznivo dejanje glede zlorabe osebnih podatkov.
  2. Pooblaščena oseba državnega organa mora poleg pogojev iz prejšnjega odstavka izpolnjevati tudi pogoj, da je zaposlena v javnem sektorju.
  3. Upravljavci ali obdelovalci iz javnega sektorja, razen državnih organov, lahko določijo drugo pooblaščeno osebo, če je ni mogoče določiti znotraj osebe javnega sektorja. V primeru iz prejšnjega stavka lahko pooblaščeno osebo določijo skupaj z drugimi upravljavci ali obdelovalci javnega sektorja, lahko pa s pogodbo v pisni obliki določijo tudi posameznika ali posameznico iz zasebnega sektorja ali pravno osebo iz zasebnega sektorja v skladu s četrtim odstavkom tega člena.
  4. Upravljavci ali obdelovalci iz zasebnega sektorja za pooblaščeno osebo določijo osebo, ki je zaposlena pri njih, ali pa s pogodbo v pisni obliki določijo drugega posameznika ali pravno osebo. V pogodbi s pravno osebo se določi posameznik, ki odgovarja za delo pravne osebe kot pooblaščene osebe in čigar kontaktni podatki se objavijo v skladu s četrtim odstavkom prejšnjega člena. Posameznik iz prejšnjega stavka mora izpolnjevati pogoje iz prvega odstavka tega člena.1

Kdo ne more biti pooblaščena oseba?

Ključno vodilo pri izvajanju nalog pooblaščene osebe naj bo neodvisnost. Institut pooblaščene osebe zahteva celovitejši pristop in neodvisnega posameznika ali neodvisni kolegijski organ z vodjo (več posameznikov), ki mora(jo) izvrševati naloge in imeti ustrezno pozicijo, da pri tem ne pride do konflikta interesov. Kot poudarjajo Smernice, to predvsem pomeni, da pooblaščena oseba v organizaciji ne sme imeti položaja, ki bi omogočala opredelitev namenov ali storitev obdelave osebnih podatkov.

5. odstavek 46. člena ZVOP-2 določa, da za pooblaščeno osebo ali njenega namestnika ne sme biti določena oseba, ki je v nasprotju interesov z upravljavcem in obdelovalcem ali je njeno delo pooblaščene osebe v nasprotju z njenimi drugimi nalogami ali s položajem pri upravljavcu in obdelovalcu.

Nasprotje interesov podrobneje opredeljuje 6. odstavek 46. člena ZVOP-1 in sicer se v  javnem sektorju šteje, da je določena oseba v nasprotju interesov, če je:

  • določena kot upravljavec informacijskega sistema,
  • skrbnik informacijskega sistema ali
  • vodja informacijske varnosti,
  • ima položaj predstojnika v osebi javnega sektorja,
  • če je član organov upravljanja ali nadzora pri upravljavcu ali obdelovalcu,
  • če njene druge naloge vključujejo sistemsko odločanje o obdelavi osebnih podatkov pri upravljavcu ali obdelovalcu ali
  • če zastopa upravljavca oziroma obdelovalca v sodnih ali arbitražnih postopkih v zvezi z vprašanji varstva osebnih podatkov.

Če pooblaščena oseba izve za okoliščine, ki predstavljajo ali bi lahko predstavljale nasprotje interesov, o tem takoj pisno obvesti upravljavca oziroma obdelovalca. Upravljavec oziroma obdelovalec v tem primeru odpravi nasprotje ali pooblaščeno osebo razreši opravljanja določene naloge kot pooblaščene osebe ali s položaja pri upravljavcu ali obdelovalcu. Določbe 5. odstavka 46. člena ZVOP-2 odstavka se smiselno uporabljajo za zasebni sektor.

Splošno gledano lahko nasprotujoči si položaji v organizaciji vključujejo položaje višjega vodstva (kot so izvršni direktor, ravnatelj šole, predstojnik ali direktor organa v javnem sektorju, operativni direktor, finančni direktor, vodja zdravstvene službe, vodja oddelka za trženje, vodja službe za človeške vire ali vodja oddelkov za informacijsko tehnologijo) in tudi druge vloge na nižji ravni organizacijske strukture, če taki položaji ali vloge vodijo v določitev namenov in sredstev obdelave.

Dobre prakse:

  • opredelitev nezdružljivih položajev;
  • oblikovanje notranjih pravil, da bi preprečili nasprotja interesov;
  • vključitev razlage nasprotij interesov; 
  • izjava, da pooblaščena oseba ni v nasprotju interesov;
  • vključitev ustreznih klavzul v razpise za pooblaščeno osebo.

Kako in v kakšnem roku sporočiti kontaktne podatke pooblaščene osebe?

Splošna uredba in ZVOP-2 od upravljavca ali obdelovalca zahteva, da:

1. na spletni strani objavite kontaktne podatke pooblaščene osebe

Kontaktni podatki morajo vključevati poštni naslov, namensko telefonsko številko in/ali namenski e-poštni naslov, da bi posamezniki, na katere se nanašajo osebni podatki, lahko preprosto vzpostavili stik. Po potrebi lahko za komunikacijo z javnostjo zagotovite tudi druga sredstva, npr. namenska telefonska linija ali namenski kontaktni obrazec na spletni strani organizacije, naslovljen na pooblaščeno osebo. Zaradi dobre prakse svojim zaposlenim sporočite ime in kontaktne podatke pooblaščene osebe za varstvo podatkov. Te lahko objavite na intranetu, v notranjem telefonskem imeniku in organizacijskih shemah.

2. sporočite kontaktne podatke pooblaščene osebe nadzornim organom

Nadzornemu organu je poleg poštnega naslova, namenske telefonske številke in/ali namenskega e-poštnega naslova, nujno sporočiti tudi ime pooblaščene osebe.  

Zavezanci za imenovanje pooblaščene osebe lahko za sporočanje in popravljanje podatkov o imenovanih pooblaščenih osebah uporabite spletni obrazec.

Kontaktne podatke pooblaščene osebe in njenega morebitnega namestnika (osebno ime, delovno mesto pooblaščene osebe, naziv upravljavca ali obdelovalca, telefonska številka, naslov elektronske pošte pooblaščene osebe) morate sporoči nadzornemu organu v roku 8 dni od določitve pooblaščene osebe. Ta jih za namen sodelovanja nadzornega organa s pooblaščenimi osebami vključi na seznam pooblaščenih oseb. Seznam ni dostopen javnosti (4. odstavek 45. člena ZVOP-2).

Ali je pooblaščena oseba lahko zaposleni pri organizaciji ali zunanji izvajalec?

Dokler ne gre za nasprotje interesov, lahko za pooblaščeno osebo imenujete svojega zaposlenega, pri tem pa ni treba ustvarjati novega delovnega mesta.

Za pooblaščeno osebo lahko imenujete tudi zunanjega pogodbenega izvajalca, razen izjem, ki jih določa ZVOP-2 (glej zgoraj) nacionalni zakoni držav članic. Pri tem pa je pomembno, da ima zunanji izvajalec enak položaj, naloge in obveznosti kot notranji zaposleni.