Imenovanje DPO
+ -Številka: 07120-1/2023/125
Kategorije: Pooblaščene osebe za varstvo podatkov - DPO, Varnost osebnih podatkov
Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaše zaprosilo za mnenje glede imenovanja pooblaščene osebe za varstvo podatkov (ang. DPO).
Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22; v nadaljevanju: ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, 51/07 – ZUstS-A; ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.
Presoja glede določitve in položaja pooblaščene osebe za varstvo podatkov je v domeni slehernega upravljavca oziroma obdelovalca osebnih podatkov. Pri odločitvi o imenovanju pooblaščene osebe je treba ravnati skrbno in previdno ter upoštevati vsa dejanja obdelave osebnih podatkov, ki jih izvaja posamezni upravljavec/obdelovalec, ter vrsto in obseg podatkov, ki se obdelujejo.
Priporočljivo je, da vsak upravljavec posebej opredeli položaje, ki so glede na njegovo organizacijsko strukturo nezdružljivi s funkcijo pooblaščene osebe za varstvo podatkov.
Upravljavci ali obdelovalci iz javnega sektorja (razen državnih organov) lahko določijo drugo pooblaščeno osebo, če je ni mogoče določiti znotraj osebe javnega sektorja.
Upravljavec ali obdelovalec v osmih dneh od določitve pooblaščene osebe vpiše njene kontaktne podatke v svojo evidenco dejavnosti obdelav in njen kontakt za namen sodelovanja s posamezniki, na katere se nanašajo osebni podatki, javno objavi na primeren način, zlasti na spletnih straneh. V istem roku kontaktne podatke pooblaščene osebe in njenega morebitnega namestnika sporoči nadzornemu organu (IP).
Glede na zahteve Splošne uredbe je treba vse obdelave osebnih podatkov, ki jih izvaja upravljavec, ustrezno ovrednotiti glede na tveganje za pravice in svoboščine posameznikov in glede na to sprejeti ustrezne tehnične in organizacijske ukrepe.
O b r a z l o ž i t e v:
IP uvodoma poudarja, da je končna presoja glede določitve in položaja pooblaščene osebe za varstvo podatkov v domeni slehernega upravljavca oziroma obdelovalca osebnih podatkov in IP po Splošni uredbi o varstvu podatkov v postopku imenovanja te osebe nima nobenih pristojnosti ter se glede tega ne more in ne sme opredeljevati. IP lahko svojo zavezujočo oceno poda le v konkretnem inšpekcijskem postopku.
IP pojasnjuje, da v skladu s šestim odstavkom 38. člena Splošne uredbe o varstvu podatkov pooblaščena oseba za varstvo podatkov lahko opravlja tudi druge naloge in dolžnosti. Vendar pa mora pri tem vsak upravljavec (v konkretnem primeru vaš zavod) zagotoviti, da zaradi vsakršnih takih nalog in dolžnosti ne pride do nasprotja interesov. Eno izmed vodil pri delu pooblaščene osebe je namreč njena neodvisnost, saj pooblaščena oseba med drugim ne sme biti v konfliktu interesov. To predvsem pomeni, da pooblaščena oseba v organizaciji ne sme imeti položaja, ki bi omogočala opredelitev namenov ali storitev obdelave osebnih podatkov. Iz navedenega razloga nalog pooblaščene osebe ne more opravljati nekdo, ki odloča o sredstvih in namenih obdelave osebnih podatkov, saj bi sicer pooblaščena oseba nadzirala samo sebe.
Tudi ZVOP-2 (peti odstavek 46. člena) določa, da za pooblaščeno osebo ali njenega namestnika ne sme biti določena oseba, ki je v nasprotju interesov z upravljavcem in obdelovalcem ali je njeno delo pooblaščene osebe v nasprotju z njenimi drugimi nalogami ali s položajem pri upravljavcu in obdelovalcu. Nasprotje interesov podrobneje opredeljuje šesti odstavek 46. člena ZVOP-2, ki določa, da se v javnem sektorju šteje, da je določena oseba v nasprotju interesov, če je določena kot upravljavec informacijskega sistema, skrbnik informacijskega sistema ali vodja informacijske varnosti, ima položaj predstojnika v osebi javnega sektorja, če je član organov upravljanja ali nadzora pri upravljavcu ali obdelovalcu, če njene druge naloge vključujejo sistemsko odločanje o obdelavi osebnih podatkov pri upravljavcu ali obdelovalcu ali če zastopa upravljavca oziroma obdelovalca v sodnih ali arbitražnih postopkih v zvezi z vprašanji varstva osebnih podatkov.
Splošno gledano lahko nasprotujoči si položaji v javnem zavodu vključujejo položaje višjega vodstva (kot so predstojnik ali direktor, vodja službe za upravljanje s človeškimi viri, vodja oddelka za informacijsko tehnologijo) in tudi druge vloge na nižji ravni organizacijske strukture, če taki položaji ali vloge vodijo v določitev namenov in sredstev obdelave.
IP ob tem pojasnjuje tudi, da je zaradi posebne organizacijske strukture vsakega upravljavca to treba obravnavati za vsak primer posebej, zato je priporočljivo, da vsak upravljavec posebej opredeli položaje, ki so glede na njegovo organizacijsko strukturo nezdružljivi s funkcijo pooblaščene osebe za varstvo podatkov. Vsekakor je treba pri odločitvi o imenovanju pooblaščene osebe ravnati skrbno in previdno ter upoštevati vsa dejanja obdelave osebnih podatkov, ki jih posamezni subjekt (v konkretnem primeru vaš zavod) izvaja, ter vrsto in obseg podatkov, ki se obdelujejo. Vlogo pooblaščene osebe je treba razumeti kot neodvisnega notranjega svetovalca in »revizorja« glede osebnih podatkov, saj mora izvajati preglede, ozaveščati sodelavce in poročati vodstvu o svojih ugotovitvah.
IP pojasnjuje tudi, da ZVOP-2 (tretji odstavek 46. člena) dopušča tudi možnost, da upravljavci ali obdelovalci iz javnega sektorja (razen državnih organov) lahko določijo drugo pooblaščeno osebo, če je ni mogoče določiti znotraj osebe javnega sektorja. V primeru iz prejšnjega stavka lahko pooblaščeno osebo določijo skupaj z drugimi upravljavci ali obdelovalci javnega sektorja, lahko pa s pogodbo v pisni obliki določijo tudi posameznika ali posameznico iz zasebnega sektorja ali pravno osebo iz zasebnega sektorja v skladu s četrtim odstavkom istega člena. V primeru vaših morebitnih težav pri imenovanju pooblaščene osebe znotraj vašega zavoda se torej lahko poslužite tudi te možnosti.
IP opozarja še na četrti odstavek 45. člena, ki določa, da upravljavec ali obdelovalec v osmih dneh od določitve pooblaščene osebe vpiše njene kontaktne podatke v skladu s 30. členom Splošne uredbe v svojo evidenco dejavnosti obdelav in njen kontakt za namen sodelovanja s posamezniki, na katere se nanašajo osebni podatki, javno objavi na primeren način, zlasti na spletnih straneh. V istem roku kontaktne podatke pooblaščene osebe in njenega morebitnega namestnika (osebno ime, delovno mesto pooblaščene osebe, naziv upravljavca ali obdelovalca, telefonska številka, naslov elektronske pošte pooblaščene osebe) sporoči nadzornemu organu (IP), ki jih za namen sodelovanja nadzornega organa s pooblaščenimi osebami vključi na seznam pooblaščenih oseb.
IP dodaja, da so evropski nadzorni organi za varstvo osebnih podatkov že pripravili podrobne smernice, ki vam bodo v pomoč pri presojanju položaja pooblaščene osebe:
https://www.ip-rs.si/fileadmin/user_upload/Pdf/Mednarodno_delovanje/wp243rev01_sl.pdf.
IP vas napotuje tudi na spletno stran IP, kjer lahko prav tako najdete uporabne napotke glede pooblaščene osebe za varstvo podatkov:
IP domneva, da se vaše vprašanje v zaprosilu za mnenje glede pravilnika nanaša na pravilnik o varnosti osebnih podatkov. IP glede tega uvodoma splošno pojasnjuje, da sprejem takšnega pravilnika pripomore k zavedanju pomena varovanja osebnih podatkov, tveganj, ki se ob tem pojavljajo ter pomaga pri preprečevanju morebitne zlorabe ali izgube podatkov.
IP nadalje pojasnjuje, da Splošna uredba sicer izrecno ne zahteva, da bi morali upravljavci osebnih podatkov sprejeti pravilnik o varnosti osebnih podatkov, v katerem se opišejo tehnični in organizacijski ukrepi za varnost osebnih podatkov. Po drugi strani pa Splošna uredba zahteva, da ob upoštevanju narave, obsega, okoliščin in namenov obdelave, pa tudi tveganj za pravice in svoboščine posameznikov, ki se razlikujejo po verjetnosti in resnosti, upravljavec izvede ustrezne tehnične in organizacijske ukrepe, da zagotovi in je zmožen dokazati, da obdelava poteka v skladu s to uredbo. Ti ukrepi se pregledajo in dopolnijo, kjer je to potrebno (prvi odstavek 24. člena Splošne uredbe). Kadar je to sorazmerno glede na dejavnosti obdelave, ukrepi iz prvega odstavka vključujejo izvajanje ustreznih politik za varstvo podatkov s strani upravljavca (drugi odstavek 24. člena Splošne uredbe).
Glede na navedeno torej Splošna uredba upravljavcu nalaga obveznost, da glede na tveganja, ki jih oceni sam, ugotovi kateri so tisti ukrepi, ki bodo zagotovili ustrezno varnost osebnih podatkov (politika gesel, način dostopov do informacijskega sistema, posodabljanje programov za varnost informacijskega okolja, način varovanja prostorov in omejitve dostopov do prostorov kjer so osebni podatki, itd.). Glede na zahteve Splošne uredbe je treba vse obdelave osebnih podatkov, ki jih izvaja upravljavec (v konkretnem primeru vaš zavod), ustrezno ovrednotiti glede na tveganje za pravice in svoboščine posameznikov in glede na to sprejeti ustrezne tehnične in organizacijske ukrepe. S temi postopki morajo biti seznanjeni tudi zaposleni. Glede na določbo 24. člena Splošne uredbe mora biti upravljavec tudi sposoben dokazati, da je sprejel ustrezne tehnične in organizacijske ukrepe, ki jih tudi izvaja prek internih navodil zaposlenim. Splošna uredba torej ne določa oblike, hierarhije, števila ali poimenovanja internih aktov. Lahko gre za en sam pravilnik ali pa v primeru kompleksnih okolij za hierarhično urejeno dokumentacijo (krovno varnostno politiko, področne varnostne politike in njim pripadajoča operativna navodila). Odločitev o tem sprejme upravljavec.
Lepo vas pozdravljamo.
Pripravil:
Matej Sironič,
Svetovalec pooblaščenca
za varstvo osebnih podatkov
Mojca Prelesnik, univ. dipl. prav.,
Informacijska pooblaščenka