Informacijski pooblaščenec Republika Slovenija
   
dekorativna slika

Konflikt interesov DPO

+ -
Datum: 16.09.2022
Številka: 07121-1/2022/985
Kategorije: Pooblaščene osebe za varstvo podatkov (»DPO«)

Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaše zaprosilo za mnenje glede morebitnega konflikta interesov pooblaščene osebe za varstvo podatkov (ang. DPO).

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba o varstvu podatkov), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, 177/20, v nadaljevanju: ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju: ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.

Končna presoja glede imenovanja in položaja pooblaščene osebe za varstvo podatkov v domeni slehernega upravljavca oziroma obdelovalca osebnih podatkov in IP po Splošni uredbi o varstvu podatkov v postopku imenovanja te osebe nima nobenih pristojnosti ter se glede tega ne more in ne sme opredeljevati.

Priporočljivo je, da vsak upravljavec posebej opredeli položaje, ki so glede na njegovo organizacijsko strukturo nezdružljivi s funkcijo pooblaščene osebe za varstvo podatkov.

O b r a z l o ž i t e v:

IP uvodoma pojasnjuje, da je presoja, v kolikšni meri je posamezen subjekt glede na dejavnost in obseg osebnih podatkov, ki jih obdeluje, zavezan k imenovanju pooblaščene osebe za varstvo podatkov in koga imenuje zanjo, v celoti na strani samega subjekta, saj IP izven postopka inšpekcijskega nadzora konkretnih obdelav osebnih podatkov ne more presojati.

IP nadalje pojasnjuje, da v skladu s šestim odstavkom 38. člena Splošne uredbe o varstvu podatkov pooblaščena oseba za varstvo podatkov lahko opravlja tudi druge naloge in dolžnosti. Vendar pa mora pri tem vsak upravljavec (v konkretnem primeru vaša ustanova) zagotoviti, da zaradi vsakršnih takih nalog in dolžnosti ne pride do nasprotja interesov. Eno izmed vodil pri delu pooblaščene osebe je namreč njena neodvisnost, saj pooblaščena oseba med drugim ne sme biti v konfliktu interesov. To pomeni, da nalog pooblaščene osebe ne more opravljati nekdo, ki odloča o sredstvih in namenih obdelave osebnih podatkov, sicer bi pooblaščena oseba nadzirala samo sebe. Pooblaščena oseba zato ne more biti direktor, lastnik, prokurist, član uprave, vodja službe za upravljanje s človeškimi viri, vodja oddelka za trženje, vodja IT oddelka ali drugi zaposleni, če odloča o namenih in sredstvih obdelave osebnih podatkov. Vlogo pooblaščene osebe je treba razumeti kot neodvisnega notranjega svetovalca in »revizorja« glede osebnih podatkov, saj mora izvajati preglede, ozaveščati sodelavce in poročati vodstvu o svojih ugotovitvah. IP ob tem pojasnjuje tudi, da je zaradi posebne organizacijske strukture vsakega upravljavca to treba obravnavati za vsak primer posebej, zato je priporočljivo, da vsak upravljavec posebej opredeli položaje, ki so glede na njegovo organizacijsko strukturo nezdružljivi s funkcijo pooblaščene osebe za varstvo podatkov.

IP pojasnjuje tudi, da potrebna raven formalne izobrazbe ali strokovnega znanja pooblaščene osebe za varstvo podatkov v Splošni uredbi o varstvu podatkov ni izrecno predpisana (bolj natančno ureditev bo po vsej verjetnosti določil novi Zakon o varstvu osebnih podatkov – ZVOP-2, ko bo sprejet), vsekakor pa mora biti v sorazmerju z občutljivostjo, zapletenostjo in količino podatkov, ki jih obdeluje upravljavec. Ob tem bi morala pooblaščena oseba dobro poznati in razumeti dejanja obdelave, ki se izvajajo, ter potrebe upravljavca v zvezi z varstvom podatkov. Prav tako bi pooblaščena oseba morala dobro razumeti tudi informacijske sisteme, ki se uporabljajo, ter potrebe upravljavca v zvezi z varnostjo in varstvom podatkov. Omenjene kriterije je torej treba v konkretnem primeru obravnavati glede na značilnosti in organizacijsko strukturo vaše ustanove.

IP poudarja, da je končna presoja glede imenovanja in položaja pooblaščene osebe za varstvo podatkov v domeni slehernega upravljavca oziroma obdelovalca osebnih podatkov in IP po Splošni uredbi o varstvu podatkov v postopku imenovanja te osebe nima nobenih pristojnosti ter se glede tega ne more in ne sme opredeljevati. IP lahko svojo zavezujočo oceno poda le v konkretnem inšpekcijskem postopku.

IP sklepno pojasnjuje, da so evropski nadzorni organi za varstvo osebnih podatkov že pripravili podrobne smernice, ki vam bodo v pomoč pri presojanju položaja pooblaščene osebe:

https://www.ip-rs.si/fileadmin/user_upload/Pdf/Mednarodno_delovanje/wp243rev01_sl.pdf.

 

S spoštovanjem.

 

Pripravil:

Matej Sironič,                                                   

Svetovalec pooblaščenca

za varstvo osebnih podatkov

 

Mojca Prelesnik, univ. dipl. prav.,

Informacijska pooblaščenka