Informacijski pooblaščenec Republika Slovenija
   
dekorativna slika

Imenovanje DPO

+ -

Opozorilo: Mnenje je bilo izdano na podlagi določb Zakona o varstvu osebnih podatkov (ZVOP-1, Uradni list RS, št. 94/07 - uradno prečiščeno besedilo), ki je z dnem 26. 1. 2023 prenehal veljati in ga je nadomestil nov Zakon o varstvu osebnih podatkov (ZVOP-2, Uradni list RS, št. 163/22), zato mnenje ni več nujno aktualno. Mnenja po ZVOP-2 so na voljo tukaj.

Datum: 28.11.2022
Številka: 07121-1/2022/1287
Kategorije: Pooblaščene osebe za varstvo podatkov - DPO

Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaše zaprosilo za mnenje imenovanja pooblaščene osebe za varstvo podatkov (ang. DPO).

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba o varstvu podatkov), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, 177/20, v nadaljevanju: ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju: ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.

Presoja, v kolikšni meri je posamezen subjekt glede na dejavnost in obseg osebnih podatkov, ki jih obdeluje, zavezan k imenovanju pooblaščene osebe za varstvo podatkov, je v celoti na strani samega subjekta.

Pri določanju, ali je obdelava obsežna, se upoštevajo zlasti naslednji dejavniki:

-           število zadevnih posameznikov, na katere se nanašajo osebni podatki (bodisi kot določeno število ali delež ustrezne populacije);

-           količina podatkov in/ali razpon različnih podatkovnih postavk, ki se obdelujejo;

-           trajanje ali stalnost dejavnosti obdelave podatkov;

-           geografska razsežnost dejavnosti obdelave.

O b r a z l o ž i t e v:

V zvezi s pooblaščeno osebo za varstvo podatkov IP pojasnjuje, da je presoja, v kolikšni meri je posamezen subjekt glede na dejavnost in obseg osebnih podatkov, ki jih obdeluje, zavezan k njenemu imenovanju, v celoti na strani samega subjekta, saj IP izven postopka inšpekcijskega nadzora konkretnih obdelav osebnih podatkov ne more presojati.

IP pojasnjuje, da Splošna uredba o varstvu podatkov v prvem odstavku 37. člena določa, da morata upravljavec in obdelovalec imenovati pooblaščeno osebo za varstvo podatkov vedno, kadar:

a) obdelavo opravlja javni organ ali telo, razen sodišč, kadar delujejo kot sodni organ;

(b) temeljne dejavnosti upravljavca ali obdelovalca zajemajo dejanja obdelave, pri katerih je treba zaradi njihove narave, obsega in/ali namenov posameznike, na katere se nanašajo osebni podatki, redno in sistematično obsežno spremljati, ali

(c) temeljne dejavnosti upravljavca ali obdelovalca zajemajo obsežno obdelavo posebnih vrst podatkov v skladu s členom 9 in osebnih podatkov v zvezi s kazenskimi obsodbami in prekrški iz člena 10.

Točka a) tako to obveznost določa za primere, kadar obdelavo opravlja javni organ ali telo (z izjemo sodišč, kadar delujejo kot sodni organ), torej se primarno nanaša na subjekte javnega sektorja. Točki b) in c) pa določata, da je treba imenovati pooblaščeno osebo tudi, kadar temeljne dejavnosti upravljavca ali obdelovalca zajemajo dejanja obdelave, pri katerih je treba zaradi njihove narave, obsega in/ali namenov posameznike, na katere se nanašajo osebni podatki, redno in sistematično obsežno spremljati ali kadar temeljne dejavnosti upravljavca ali obdelovalca zajemajo obsežno obdelavo posebnih vrst podatkov in osebnih podatkov v zvezi s kazenskimi obsodbami in prekrški. Med posebne vrste podatkov spadajo osebni podatki, ki razkrivajo rasno ali etnično poreklo, politično mnenje, versko ali filozofsko prepričanje ali članstvo v sindikatu, genetski podatki, biometrični podatki, podatki v zvezi z zdravjem in podatki v zvezi s posameznikovim spolnim življenjem ali spolno usmerjenostjo.

IP pojasnjuje, da so evropski nadzorni organi za varstvo osebnih podatkov že pripravili podrobne smernice, ki vam bodo v pomoč pri vaši odločitvi o imenovanju pooblaščene osebe:

https://www.ip-rs.si/fileadmin/user_upload/Pdf/Mednarodno_delovanje/wp243rev01_sl.pdf

 

Navedene smernice med drugim priporočajo, da se pri določanju, ali je obdelava obsežna, upoštevajo zlasti naslednji dejavniki:

-           število zadevnih posameznikov, na katere se nanašajo osebni podatki (bodisi kot določeno število ali delež ustrezne populacije);

-           količina podatkov in/ali razpon različnih podatkovnih postavk, ki se obdelujejo;

-           trajanje ali stalnost dejavnosti obdelave podatkov;

-           geografska razsežnost dejavnosti obdelave.

 

Vsekakor je treba pri odločitvi o imenovanju pooblaščene osebe ravnati skrbno in previdno ter upoštevati vsa dejanja obdelave osebnih podatkov, ki jih posamezni subjekt (v konkretnem primeru računovodski servis) izvaja, ter vrsto in obseg podatkov, ki se obdelujejo. Vlogo pooblaščene osebe je treba razumeti kot neodvisnega notranjega svetovalca in »revizorja« glede osebnih podatkov, saj mora izvajati preglede, ozaveščati sodelavce in poročati vodstvu o svojih ugotovitvah.

IP nadalje pojasnjuje, da mora biti potrebna raven strokovnega znanja pooblaščene osebe za varstvo podatkov v sorazmerju z občutljivostjo, zapletenostjo in količino podatkov, ki jih obdeluje upravljavec. Ob tem bi morala pooblaščena oseba dobro poznati in razumeti dejanja obdelave, ki se izvajajo, ter potrebe upravljavca v zvezi z varstvom podatkov.

Iz vašega zaprosila za mnenje po mnenju IP izhaja, da je temeljna dejavnost konkretnega subjekta izvajanje računovodskih storitev, kar samo po sebi vsekakor ne pomeni, da mu ni treba imenovati pooblaščene osebe, saj tudi v okviru te dejavnosti prihaja do obdelav osebnih podatkov, presoditi pa mora, ali gre za takšna dejanja obdelave, ki terjajo določitev pooblaščene osebe.

IP ponovno poudarja, da je končna presoja glede imenovanja pooblaščene osebe za varstvo podatkov v domeni slehernega upravljavca oziroma obdelovalca osebnih podatkov in IP po Splošni uredbi o varstvu podatkov v postopku imenovanja te osebe nima nobenih pristojnosti ter se glede tega ne more in ne sme opredeljevati. IP lahko svojo zavezujočo oceno poda le v konkretnem inšpekcijskem postopku.

IP vas sklepno napotuje tudi na spletno stran IP, kjer lahko prav tako najdete uporabne napotke glede pooblaščene osebe za varstvo podatkov:

https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/klju%C4%8Dna-podro%C4%8Dja-uredbe/poobla%C5%A1%C4%8Dena-oseba-za-varstvo-podatkov

 

S spoštovanjem.

 

 

Pripravil:

Matej Sironič,                                                   

Svetovalec pooblaščenca

za varstvo osebnih podatkov

 

Mojca Prelesnik, univ. dipl. prav.,

Informacijska pooblaščenka