Določitev DPO
+ -Številka: 07121-1/2023/366
Kategorije: Pooblaščene osebe za varstvo podatkov - DPO
Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaše zaprosilo za mnenje glede določitve pooblaščene osebe za varstvo podatkov (ang. DPO).
Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22; v nadaljevanju: ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, 51/07 – ZUstS-A; ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.
Presoja glede določitve in položaja pooblaščene osebe za varstvo podatkov je v domeni slehernega upravljavca oziroma obdelovalca osebnih podatkov. Pri odločitvi o imenovanju pooblaščene osebe je treba ravnati skrbno in previdno ter upoštevati vsa dejanja obdelave osebnih podatkov, ki jih izvaja posamezni upravljavec/obdelovalec, ter vrsto in obseg podatkov, ki se obdelujejo.
Upravljavci ali obdelovalci iz javnega sektorja (razen državnih organov) lahko določijo drugo (zunanjo) pooblaščeno osebo, če je ni mogoče določiti znotraj osebe javnega sektorja.
Okoliščine, ki lahko povzročijo, da znotraj osebe javnega sektorja ni mogoče imenovati pooblaščene osebe, so lahko različne in niso vezane zgolj na obstoj nasprotja interesov, presojajo pa se za vsakega upravljavca posebej glede na konkretno situacijo.
Zasebni (zobo)zdravniki načeloma niso dolžni imenovati pooblaščene osebe.
Več upravljavcev oziroma obdelovalcev lahko ob upoštevanju svoje organizacijske strukture, velikosti ali raznovrstnosti obdelav osebnih podatkov samostojno določi skupno pooblaščeno osebo in njenega namestnika.
Upravljavec ali obdelovalec v osmih dneh od določitve pooblaščene osebe vpiše njene kontaktne podatke v svojo evidenco dejavnosti obdelav in njen kontakt za namen sodelovanja s posamezniki, na katere se nanašajo osebni podatki, javno objavi na primeren način, zlasti na spletnih straneh. V istem roku kontaktne podatke pooblaščene osebe in njenega morebitnega namestnika sporoči nadzornemu organu (IP).
O b r a z l o ž i t e v:
IP uvodoma poudarja, da je končna presoja glede določitve in položaja pooblaščene osebe za varstvo podatkov v domeni slehernega upravljavca oziroma obdelovalca osebnih podatkov in IP po Splošni uredbi o varstvu podatkov v postopku imenovanja te osebe nima nobenih pristojnosti ter se glede tega ne more in ne sme opredeljevati. IP lahko svojo zavezujočo oceno poda le v konkretnem inšpekcijskem postopku.
IP pojasnjuje, da v skladu s šestim odstavkom 38. člena Splošne uredbe o varstvu podatkov pooblaščena oseba za varstvo podatkov lahko opravlja tudi druge naloge in dolžnosti. Vendar pa mora pri tem vsak upravljavec (v konkretnem primeru vaša zbornica) zagotoviti, da zaradi vsakršnih takih nalog in dolžnosti ne pride do nasprotja interesov. Eno izmed vodil pri delu pooblaščene osebe je namreč njena neodvisnost, saj pooblaščena oseba med drugim ne sme biti v nasprotju interesov. To predvsem pomeni, da pooblaščena oseba v organizaciji ne sme imeti položaja, ki bi omogočala opredelitev namenov ali storitev obdelave osebnih podatkov. Iz navedenega razloga nalog pooblaščene osebe ne more opravljati nekdo, ki odloča o sredstvih in namenih obdelave osebnih podatkov, saj bi sicer pooblaščena oseba nadzirala samo sebe. Podrobnejše določbe glede konflikta interesov vsebuje tudi ZVOP-2 v petem in šestem odstavku 46. člena. Slednji podrobneje opredeljuje nasprotje interesov, saj določa, da se v javnem sektorju šteje, da je določena oseba v nasprotju interesov, če je določena kot upravljavec informacijskega sistema, skrbnik informacijskega sistema ali vodja informacijske varnosti, ima položaj predstojnika v osebi javnega sektorja, če je član organov upravljanja ali nadzora pri upravljavcu ali obdelovalcu, če njene druge naloge vključujejo sistemsko odločanje o obdelavi osebnih podatkov pri upravljavcu ali obdelovalcu ali če zastopa upravljavca oziroma obdelovalca v sodnih ali arbitražnih postopkih v zvezi z vprašanji varstva osebnih podatkov.
IP ob tem pojasnjuje tudi, da je zaradi posebne organizacijske strukture vsakega upravljavca to treba obravnavati za vsak primer posebej, zato je priporočljivo, da vsak upravljavec posebej opredeli položaje, ki so glede na njegovo organizacijsko strukturo nezdružljivi s funkcijo pooblaščene osebe za varstvo podatkov.
IP pojasnjuje tudi, da ZVOP-2 (tretji odstavek 46. člena) dopušča tudi možnost, da upravljavci ali obdelovalci iz javnega sektorja (razen državnih organov) lahko določijo drugo pooblaščeno osebo, če je ni mogoče določiti znotraj osebe javnega sektorja. V primeru iz prejšnjega stavka lahko pooblaščeno osebo določijo skupaj z drugimi upravljavci ali obdelovalci javnega sektorja, lahko pa s pogodbo v pisni obliki določijo tudi posameznika ali posameznico iz zasebnega sektorja ali pravno osebo iz zasebnega sektorja v skladu s četrtim odstavkom istega člena. Pri tem IP meni, da obstoj nasprotja interesov ne predstavlja edine okoliščine oziroma situacije, ko ni možno določiti pooblaščene osebe znotraj osebe javnega sektorja. Do take situacije lahko pride npr. tudi v primeru neobstoja zaposlenega kadra, ki bi izpolnjeval pogoje za imenovanje za pooblaščeno osebo (zlasti zaradi pomanjkanja ustreznega znanja in izkušenj s področja varstva osebnih podatkov) ali v primeru, ko obstoječi kader zaradi preobremenjenosti ali drugih operativnih razlogov ne bi mogel opravljati nalog pooblaščene osebe v polnem obsegu ali na ustrezen način. Okoliščine, ki lahko povzročijo, da znotraj osebe javnega sektorja ni mogoče imenovati pooblaščene osebe, so torej lahko različne in niso vezane zgolj na obstoj nasprotja interesov, presojajo pa se za vsakega upravljavca posebej glede na konkretno situacijo. Splošno gledano lahko nasprotujoči si položaji v javnem zavodu vključujejo položaje višjega vodstva (kot so predstojnik ali direktor, vodja službe za upravljanje s človeškimi viri, vodja oddelka za informacijsko tehnologijo) in tudi druge vloge na nižji ravni organizacijske strukture, če taki položaji ali vloge vodijo v določitev namenov in sredstev obdelave.
Čeprav odgovor na vaše prvo vprašanje ni pritrdilen, IP v zvezi z vašim drugim vprašanjem vseeno pojasnjuje oziroma ponavlja, da nalog pooblaščene osebe ne more opravljati nekdo, ki odloča o sredstvih in namenih obdelave osebnih podatkov.
Glede zasebnih (zobo)zdravnikov IP pojasnjuje, da načeloma niso dolžni imenovati pooblaščene osebe. IP pojasnjuje, da so evropski nadzorni organi za varstvo osebnih podatkov že pripravili podrobne smernice o pooblaščenih osebah za varstvo podatkov:
https://www.ip-rs.si/fileadmin/user_upload/Pdf/Mednarodno_delovanje/wp243rev01_sl.pdf.
Navedene smernice kot primer neobsežne obdelave med drugim navajajo obdelavo podatkov o bolnikih s strani posameznega zdravnika (str. 9). Glede na to tako načeloma posamezni zasebni zdravstveni delavci niso dolžni imenovati pooblaščene osebe za varstvo podatkov.
IP nadalje pojasnjuje, da ZVOP-2 v prvem odstavku 47. člena določa, da več upravljavcev oziroma obdelovalcev lahko ob upoštevanju svoje organizacijske strukture, velikosti ali raznovrstnosti obdelav osebnih podatkov samostojno določi skupno pooblaščeno osebo in njenega namestnika. Takšna možnost bo prišla v poštev zlasti pri upravljavcih, ki izvirajo iz istega delovnega področja, imajo podobno organizacijsko strukturo in izvajajo podobna dejanja obdelav osebnih podatkov (npr. povezane družbe). Pomembno je, da se pri tem zagotovi, da pooblaščena oseba opravlja svoje naloge v zvezi z vsemi upravljavci ali obdelovalci, za katere je imenovana.
IP ob tem poudarja, da bi morala pooblaščena oseba dobro razumeti dejanja obdelave osebnih podatkov, ki jih izvaja vsak posamezni upravljavec oziroma obdelovalec, informacijske sisteme, s katerimi se obdelujejo osebni podatki, ob tem pa tudi potrebe upravljavca oziroma obdelovalca v zvezi z varnostjo podatkov. V primeru javnega organa ali telesa bi morala dobro poznati tudi upravna pravila in postopke organizacije. Glede velikosti oziroma obsega obdelav pa IP pojasnjuje, da zgoraj navedene smernice priporočajo, naj se pri določanju, ali se obdelava izvaja v velikem obsegu, v vsakem primeru upoštevajo zlasti naslednji dejavniki:
- število zadevnih posameznikov, na katere se nanašajo osebni podatki – bodisi kot določeno število ali delež ustrezne populacije;
- količina podatkov in/ali obseg različnih podatkovnih postavk, ki se obdelujejo;
- trajanje ali stalnost dejavnosti obdelave podatkov in
- geografska razsežnost dejavnosti obdelave.
IP v zvezi s pooblaščeno osebo posebej opozarja še na četrti odstavek 45. člena, ki določa, da upravljavec ali obdelovalec v osmih dneh od določitve pooblaščene osebe vpiše njene kontaktne podatke v skladu s 30. členom Splošne uredbe v svojo evidenco dejavnosti obdelav in njen kontakt za namen sodelovanja s posamezniki, na katere se nanašajo osebni podatki, javno objavi na primeren način, zlasti na spletnih straneh. V istem roku kontaktne podatke pooblaščene osebe in njenega morebitnega namestnika (osebno ime, delovno mesto pooblaščene osebe, naziv upravljavca ali obdelovalca, telefonska številka, naslov elektronske pošte pooblaščene osebe) sporoči nadzornemu organu (IP), ki jih za namen sodelovanja nadzornega organa s pooblaščenimi osebami vključi na seznam pooblaščenih oseb.
IP vas sklepno napotuje tudi na spletno stran IP, kjer lahko prav tako najdete uporabne napotke glede pooblaščene osebe za varstvo podatkov:
Lepo vas pozdravljamo.
Pripravil:
Matej Sironič,
Svetovalec pooblaščenca
za varstvo osebnih podatkov
Mojca Prelesnik, univ. dipl. prav.,
Informacijska pooblaščenka