Informacijski pooblaščenec Republika Slovenija
| sl | Iskalnik po spletni strani   Priredbe v znakovni jezik  
dekorativna slika

Dolžnost imenovanja pooblaščene osebe za varstvo osebnih podatkov

+ -
Datum: 11.09.2023
Številka: 07121-1/2023/1125
Kategorije: Pooblaščene osebe za varstvo podatkov - DPO

Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaše zaprosilo za mnenje glede dolžnosti imenovanja pooblaščene osebe za varstvo osebnih podatkov (v nadaljevanju DPO). Pojasnili ste, da je temeljna dejavnost podjetja obdelava podatkov in s tem povezane dejavnosti, ki zajemajo predvsem naslednje aktivnosti:

·         Pretvorba različnih vrst dokumentacije v elektronsko obliko.

·         Razvoj in vpeljava poslovnih rešitev s področja ravnanja z dokumenti in elektronski arhiv.

·         Storitve varnega elektronskega arhiva v oblaku.

·         Vzdrževanje strojne in programske opreme za obvladovanje dokumentacije.

·         Fizična hramba dokumentacije.

Strankam ponujate poslovni sistem in elektronski arhiv, ki sta namenjena elektronskemu poslovanju. Med možnimi moduli v poslovnem sistemu je tudi HR modul. Vaši sistemi sicer niso namenjeni sistematični obdelavi osebnih podatkov posameznika, profiliranju, ne gre za CRM baze, klub zvestobe ali sisteme namenjene profiliranju, se pa vseeno sprašujete, ali ste po 37. členu Splošne uredbe takšno IT podjetje, ki je dolžno imenovati DPO in obvestiti IP, saj vzdržujete rešitve za obdelavo dokumentov s podatki posameznikov. Vaše stranke so tudi zavarovalnice, institucije s finančnega področja, posamezni zavodi in tudi zdravniki, ki redno in sistematično obsežno spremljajo posameznike, sisteme pa uporabljajo pri vsakodnevnem poslovanju ter za namen arhiviranja dokumentacije v elektronski obliki.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22; v nadaljevanju: ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, 51/07 – ZUstS-A; ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

IP se izven inšpekcijskih postopkov ne more opredeljevati, ali je določen upravljavec ali obdelovalec dolžan imenovati pooblaščeno osebo za varstvo osebnih podatkov. Splošna uredba in ZVOP-2 določata kriterije, po katerih morajo zavezanci sami oceniti, ali gre za takšno podjetje, ki mora imeti pooblaščeno osebo, napotujemo pa vas na gradiva, ki vam lahko pri tem pomagajo.

O b r a z l o ž i t e v:

37. člen Splošne uredbe določa, da dolžnost imenovanja DPO velja tako za upravljavca kot za obdelovalce, kadar:

a)    obdelavo opravlja javni organ ali telo, razen sodišč, kadar delujejo kot sodni organ;

b)    temeljne dejavnosti upravljavca ali obdelovalca zajemajo dejanja obdelave, pri katerih je treba zaradi njihove narave, obsega in/ali namenov posameznike, na katere se nanašajo osebni podatki, redno in sistematično obsežno spremljati, ali

c)     temeljne dejavnosti upravljavca ali obdelovalca zajemajo obsežno obdelavo posebnih vrst podatkov v skladu s členom 9 in osebnih podatkov v zvezi s kazenskimi obsodbami in prekrški iz člena 10.

IP uvodoma pojasnjuje, da so podrobne informacije glede imenovanja, položaja in nalog pooblaščene osebe za varstvo osebnih podatkov (DPO) na voljo na temu posebej namenjeni podstrani IP:

https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/ključna-področja-uredbe/pooblaščena-oseba-za-varstvo-podatkov.

Kot pojasnjujemo obveznost imenovanja pooblaščene osebe ni vezana na število zaposlenih v podjetju, temveč Splošna uredba in ZVOP-2 določata kriterije, po katerih morajo zavezanci sami oceniti, ali gre za takšno podjetje, ki mora imeti pooblaščeno osebo – predvsem je v vašem primeru pomembna b) točka prvega odstavka 37. člena Splošne uredbe, ki se osredotoča na vrsto in obsežnost dejavnosti obdelave osebnih podatkov in določa, da morajo pooblaščeno osebo imenovati upravljavci, katerih temeljne dejavnosti zajemajo dejanja obdelave, pri katerih je treba zaradi njihove narave, obsega in/ali namenov posameznike redno in sistematično obsežno spremljati. Sem sodijo npr. banke, zavarovalnice, operaterji elektronskih komunikacij, trgovci s klubi zvestobe. Prav tako bi sem sodile kadrovske agencije, številne spletne trgovine in IT podjetja, ki vzdržujejo rešitve za obdelavo osebnih podatkov posameznikov, npr. sistemi za upravljanje podatkov kupcev in njihovo profiliranje (upravljanje odnosov s strankami), zdravstveni IT sistemi. Proizvodna podjetja in druga podjetja, katerih temeljne storitve niso namenjene posameznikom, temveč drugim podjetjem, in ki ne vključujejo obsežne obdelave osebnih podatkov, niso dolžna imenovati pooblaščene osebe.

V pomoč vam je lahko tudi izsek iz smernic Evropskega odbora o pooblaščenih osebah za varstvo osebnih podatkov[1] (str. 8):

»Vendar pa razlaga „temeljnih dejavnosti“ ne bi smela izključevati dejavnosti, pri katerih je obdelava podatkov neločljiv del dejavnosti upravljavca ali obdelovalca. Na primer, temeljna dejavnost bolnišnice je zagotavljanje zdravstvenega varstva. Vendar pa zdravstvenega varstva ne bi mogla zagotavljati varno in učinkovito brez obdelave zdravstvenih podatkov, kot je zdravstvena dokumentacija bolnikov. Zato bi bilo treba obdelavo teh podatkov obravnavati kot eno od temeljnih dejavnosti vseh bolnišnic, ki morajo zato imenovati pooblaščene osebe za varstvo podatkov.

Še en primer je zasebna varnostna družba, ki nadzoruje več zasebnih nakupovalnih središč in javnih prostorov. Nadzor je temeljna dejavnost družbe, ki je neločljivo povezana z obdelavo osebnih podatkov. Zato mora tudi ta družba imenovati pooblaščeno osebo za varstvo podatkov.

Na drugi strani vse organizacije izvajajo neke dejavnosti, na primer plačevanje zaposlenih ali standardne dejavnosti informacijske podpore. To so primeri potrebnih podpornih funkcij za temeljno ali glavno dejavnost organizacije. Čeprav so te dejavnosti potrebne ali nujne, se navadno štejejo za pomožne funkcije in ne temeljne dejavnosti.«

Prav tako so vam lahko v pomoč navedbe na str. 9 omenjenih smernic:

»Primeri obsežne obdelave vključujejo:

•       obdelavo podatkov o bolnikih s strani bolnišnice v okviru običajnega poslovanja;

•       obdelavo potovalnih podatkov posameznikov, ki uporabljajo sistem javnega mestnega prevoza (npr. sledenje prek vozovnic);

•       obdelavo podatkov o zemljepisnem položaju strank mednarodne verige hitre prehrane v realnem času za statistične namene s strani obdelovalca, specializiranega za zagotavljanje teh storitev;

•       obdelavo podatkov o strankah s strani zavarovalnice ali banke v okviru običajnega poslovanja;

•       obdelavo osebnih podatkov za oglaševanje na podlagi vedenjskih vzorcev prek iskalnika in

•       obdelavo podatkov (vsebine, prometa, položaja) s strani ponudnikov telefonskih ali internetnih storitev.

Primeri neobsežne obdelave vključujejo:

•       obdelavo podatkov o bolnikih s strani posameznega zdravnika in

•       obdelavo osebnih podatkov v zvezi s kazenskimi obsodbami in prekrški s strani posameznega odvetnika.«

Poleg določb Splošne uredbe morate upoštevati tudi določbe 45. člena ZVOP-2, ki določa, da  pooblaščeno osebo določijo upravljavci in obdelovalci v skladu s prvim odstavkom 37. člena Splošne uredbe in vsi upravljavci in obdelovalci v javnem sektorju ter upravljavci in obdelovalci, ki obdelujejo osebne podatke iz 1. do 4. točke prvega odstavka 23. člena ZVOP-2. Preveriti morate torej tudi, ali sodite med upravljavce ali obdelovalce po prvem odstavka 23. člena ZVOP-2 in sicer gre za informacijske sisteme, v katerih:

1. se izvajajo obdelave osebnih podatkov, določenih v zakonih, ki urejajo področja upravnih notranjih zadev, finančne uprave, državljanstva, Slovenske obveščevalno-varnostne agencije, obrambe, zdravstvenega varstva, obveznega zdravstvenega zavarovanja, uveljavljanja pravic iz javnih sredstev ter kazenskih in prekrškovnih evidenc, ali

2. se obdelujejo osebni podatki več kot 100.000 posameznikov na podlagi zakona, razen obdelav osebnih podatkov iz 3. poglavja 2. dela ZVOP-2, ali

3. upravljavec ali obdelovalec kot svojo temeljno dejavnost izvaja obsežne obdelave posebnih vrst osebnih podatkov, ali

4. se obdeluje posebne vrste osebnih podatkov več kot 10.000 posameznikov,

Glede na to, da so kot navajate vaše stranke tudi zavarovalnice, institucije s finančnega področja, posamezni zavodi in tudi zdravniki, ki redno in sistematično obsežno spremljajo posameznike, sisteme pa uporabljajo pri vsakodnevnem poslovanju ter za namen arhiviranja dokumentacije v elektronski obliki, je po mnenju IP verjetno, da bi morali imenovati pooblaščeno osebo, saj gre vsaj pri nekaterih vaših strankah in posledeično predvidoma tudi pri vas za obsežne obdelave posebnih vrst osebnih podatkov; med dejanja obdelava namreč sodi tudi hramba.  Kot rečeno se izven inšpekcijskih postopkov glede tega ne moremo opredeljevati temveč Splošna uredba in ZVOP-2 določata kriterije, po katerih morajo zavezanci sami oceniti, ali gre za takšno podjetje, ki mora imeti pooblaščeno osebo, pri čemer vam bodo zgoraj navedena gradiva v pomoč.

S spoštovanjem,

 

Mojca Prelesnik, univ. dipl. prav.,

Informacijska pooblaščenka

 

Pripravil:

mag. Andrej Tomšič,

namestnik informacijske pooblaščenke


[1] https://www.ip-rs.si/fileadmin/user_upload/Pdf/Mednarodno_delovanje/wp243rev01_sl.pdf