Obveznosti upravljavca po Splošni uredbi in imenovanje DPO
+ -Številka: 07121-1/2021/577
Kategorije: Razno, Pooblaščene osebe za varstvo podatkov - DPO
Informacijski pooblaščenec (v nadaljevanju: IP) je e-pošti prejel vaše vprašanje. Navajate, da se vaše podjetje ukvarja s posredovanjem delovne sile v tujino. Sprašujte, kaj morate imeti nujno urejeno s področja varstva osebnih podatkov ter ali se lahko imenuje za varstvo osebnih podatkov osebo znotraj podjetja (morebiti direktorja)?
***
Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju na podlagi 58. člena Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba), 7. točke prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07, uradno prečiščeno besedilo, v nadaljevanju ZVOP-1) ter 2. člena Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem. Poudarjamo, da IP izven postopka inšpekcijskega nadzora oziroma drugega upravnega postopka konkretnih obdelav osebnih podatkov ne more presojati.
Uvodoma poudarjamo, da je zakonitost obdelave osebnih podatkov oz. usklajenost s pravili Splošne uredbe in ZVOP-1 odgovornost upravljavca, IP pa vam lahko v okviru nezavezujočega mnenja poda zgolj splošna pojasnila in napotila.
Predlagamo vam, da preučite ključna področja Splošne uredbe, pri čemer si lahko pomagate s pojasnili, ki se nahajajo na spletni strani IP: https://www.ip-rs.si/?id=99, z opisom najpomembnejših korakov za upravljavce na spletni strani IP, namenjeni majhnim in srednje velikim podjetjem, www.upravljavec.si in z že izdanimi neobvezujočimi mnenji, ki so dosegljiva s pomočjo iskalnika mnenj na https://www.ip-rs.si/varstvo-osebnih-podatkov/iskalnik-po-mnenjih. Upravljavec mora tako npr. za obdelavo osebnih podatkov zagotoviti ustrezno pravno podlago (6. člen Splošne uredbe), zavarovati osebne podatke (24., 25. in 32. člen Splošne uredbe), voditi evidence dejavnosti obdelave (30. člen Splošne uredbe), obveščati posameznike o obdelavi osebnih podatkov (13. in 14. člen Splošne uredbe), urediti eventualno vprašanje pogodbene obdelave osebnih podatkov (28. člen Splošne uredbe), itd.
Glede na vaše vprašanje v zvezi s pooblaščeno osebo za varstvo podatkov (ang. »DPO«), ki jo upravljavec imenuje skladno z 37. členom Splošne uredbe, pa IP poudarja, da mora upravljavec imenovati pooblaščeno osebo za varstvo podatkov vedno, kadar:
(a) obdelavo opravlja javni organ ali telo,
(b) temeljne dejavnosti upravljavca ali obdelovalca zajemajo dejanja obdelave, pri katerih je treba zaradi njihove narave, obsega in/ali namenov posameznike, na katere se nanašajo osebni podatki, redno in sistematično obsežno spremljati, ali
(c) temeljne dejavnosti upravljavca ali obdelovalca zajemajo obsežno obdelavo posebnih vrst podatkov (»občutljivi osebni podatki«).
Pooblaščeno osebo za varstvo podatkov naj upravljavec imenuje predvsem na podlagi poklicnih odlik in zlasti strokovnega znanja o zakonodaji in praksi na področju varstva podatkov. Njene naloge so skladno z 39. členom Splošne uredbe predvsem svetovalno-nadzorne narave, in sicer obveščanje upravljavca in zaposlenih o varstvu osebnih podatkov, spremljanje skladnosti s Splošno uredbo, svetovanje glede ocene učinka in sodelovanje z nadzornim organom. Kot je poudarjeno v Smernicah o pooblaščenih osebah za varstvo podatkov Delovne skupine za varstvo podatkov iz člena 29 (nazadnje revidirane in sprejete 5. aprila 2017), mora biti pooblaščena oseba za varstvo podatkov pri opravljanju svojih nalog neodvisna, kar pomeni, da mora izvrševati naloge, določene s Splošno uredbo in mora imeti položaj, v katerem ne pride do nasprotja interesov. Slednje predvsem pomeni, da pooblaščena oseba ne sme opravljati nalog, s katerimi bi opredelila namene ali sredstva obdelave osebnih podatkov. Ob tem je treba opozoriti predvsem na nezdružljive položaje s pooblaščeno osebo za varstvo podatkov, kot so npr. položaji višjega vodstva (npr. izvršni direktor, operativni direktor, finančni direktor, vodja oddelka za trženje, vodja službe za človeške vire ali vodja oddelkov za informacijsko tehnologijo) in tudi druge vloge na nižji ravni organizacijske strukture, če taki položaji ali vloge vodijo v določitev namenov in sredstev obdelave. Pooblaščena oseba je lahko član osebja upravljavca ali pa naloge opravlja na podlagi pogodbe o storitvah. Ali na podlagi zgoraj navedenega potrebujete pooblaščeno osebo in koga boste imenovali za pooblaščeno osebo, je odgovornost upravljavca, pri čemer vam svetujemo, da ji med drugim omogočite opravljanje njenih nalog skladno s Splošno uredbo in zagotovite, da zaradi morebitnih drugih zadolžitev in nalog, ki jih pooblaščena oseba opravlja, ne pride do nasprotja interesov.
Več informacij o pooblaščeni osebi za varstvo podatkov pa lahko najdete tudi na: https://www.ip-rs.si/?id=100 ter v že izdanih mnenjih IP, npr. v mnenju št. 0712-3/2018/2584 z dne 17.12.2018.
V upanju, da vam bodo naša napotila v pomoč, vas lepo pozdravljamo.
Mojca Prelesnik, univ.dipl.prav.,
informacijska pooblaščenka
Pripravila:
Barbara Pirš, univ.dipl.prav.,
Svetovalka Pooblaščenca za preventivo