Informacijski pooblaščenec Republika Slovenija
   
dekorativna slika

Pooblaščena oseba za varstvo podatkov (DPO)

+ -
Datum: 16.12.2018
Številka: 0712-3/2018/2584
Kategorije: Razno

Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaše zaprosilo za mnenje glede imenovanja pooblaščene osebe za varstvo podatkov (ang. DPO).

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba o varstvu podatkov), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju: ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju: ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.

IP uvodoma pojasnjuje, da je končna presoja glede imenovanja pooblaščene osebe za varstvo podatkov  v domeni slehernega upravljavca oziroma obdelovalca osebnih podatkov in IP po Splošni uredbi o varstvu podatkov v postopku imenovanja te osebe nima nobenih pristojnosti ter se glede tega ne more in ne sme opredeljevati. IP lahko svojo zavezujočo oceno poda le v konkretnem inšpekcijskem postopku.

Glede imenovanja pooblaščene osebe za varstvo osebnih podatkov so evropski nadzorni organi za varstvo osebnih podatkov že pripravili podrobne smernice, ki vam bodo v pomoč pri vaši odločitvi o imenovanju pooblaščene osebe:

https://www.ip-rs.si/fileadmin/user_upload/Pdf/Mednarodno_delovanje/wp243rev01_sl.pdf.

Navedene smernice med drugim določajo, da se za temeljne dejavnosti lahko štejejo ključne dejavnosti, ki so potrebne za doseganje ciljev upravljavca ali obdelovalca. Prav tako navajajo, da razlaga temeljnih dejavnosti ne bi smela izključevati dejavnosti, pri katerih je obdelava podatkov neločljiv del dejavnosti upravljavca ali obdelovalca.

IP pojasnjuje, da Splošna uredba o varstvu podatkov ne opredeljuje, kaj pomeni obsežna obdelava, niti ne določa nikakršnih številčnih kriterijev, po katerem sprašujete v vašem zaprosilu, niti v zvezi s količino obdelanih podatkov niti v zvezi s številom zadevnih posameznikov. Navedene smernice pa priporočajo, naj se pri določanju, ali se obdelava izvaja v velikem obsegu, v vsakem primeru upoštevajo zlasti naslednji dejavniki:

  • število zadevnih posameznikov, na katere se nanašajo osebni podatki – bodisi kot določeno število ali delež ustrezne populacije;
  • količina podatkov in/ali obseg različnih podatkovnih postavk, ki se obdelujejo;
  • trajanje ali stalnost dejavnosti obdelave podatkov in
  • geografska razsežnost dejavnosti obdelave.

Prav tako Splošna uredba o varstvu podatkov ne opredeljuje, kaj pomeni redno in sistematično spremljanje posameznikov, na katere se nanašajo osebni podatki, navaja pa, da pojem spremljanja ni omejen zgolj na spletno okolje. Iz navedenih smernic izhaja, da izraz »redno« pomeni eno ali več od naslednjega:

  • ki poteka ali nastopa v določenih intervalih in določenem obdobju;
  • ki se izvaja večkrat ali se ponavlja ob določenem času;
  • ki se izvaja stalno ali periodično.

Izraz »sistematično« pomeni eno ali več od naslednjega:

  • ki se izvaja v skladu s sistemom;
  • ki je vnaprej določeno, organizirano ali metodično;
  • ki poteka kot del splošnega načrta zbiranja podatkov;
  • ki se izvaja kot del strategije.

Smernice med primeri dejavnosti, ki se lahko štejejo za redno in sistematično spremljanje posameznikov, na katere se nanašajo osebni podatki, med drugim navajajo tudi sledenje geografskemu položaju, na primer z mobilnimi napravami. 

IP svetuje, da se obdelavo osebnih podatkov, ki jo opravlja vaša stranka, preuči v smislu kriterijev in pojasnil, navedenih v zgornjih odstavkih, ter na tej podlagi presodi, ali mora vaša stranka imenovati pooblaščeno osebo za varstvo podatkov.

S spoštovanjem.

Pripravil:

Matej Sironič,                                                  

Svetovalec pooblaščenca

za varstvo osebnih podatkov

Informacijski pooblaščenec:

Mojca Prelesnik, univ. dipl. prav.,

pooblaščenka