Konflikt interesov DPO
+ -Številka: 07120-1/2023/284
Kategorije: Pooblaščene osebe za varstvo podatkov - DPO
Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaše zaprosilo za mnenje glede položaja pooblaščene osebe za varstvo podatkov (ang. DPO).
Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22; v nadaljevanju: ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, 51/07 – ZUstS-A; ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.
Presoja glede določitve in položaja pooblaščene osebe za varstvo podatkov je v domeni slehernega upravljavca oziroma obdelovalca osebnih podatkov.
Položaj oziroma naloge skrbnika načrta integritete same po sebi niso v konfliktu interesov oziroma nezdružljive z nalogami pooblaščene osebe za varstvo podatkov, vendar je pri tem treba upoštevati tudi (morebitne) druge naloge, ki jih v okviru upravljavca opravlja skrbnik, saj bi le-te lahko bile nezdružljive z nalogami pooblaščene osebe za varstvo podatkov in tako vodile do konflikta interesov.
O b r a z l o ž i t e v:
IP uvodoma poudarja, da je končna presoja glede določitve in položaja pooblaščene osebe za varstvo podatkov v domeni slehernega upravljavca oziroma obdelovalca osebnih podatkov in IP po Splošni uredbi o varstvu podatkov v postopku imenovanja te osebe nima nobenih pristojnosti ter se glede tega ne more in ne sme opredeljevati. IP lahko svojo zavezujočo oceno poda le v konkretnem inšpekcijskem postopku.
Glede določitve in položaja pooblaščene osebe za varstvo podatkov IP najprej pojasnjuje, da je odločitev o tem v domeni slehernega upravljavca oziroma obdelovalca osebnih podatkov in IP po Splošni uredbi o varstvu podatkov v postopku imenovanja te osebe nima nobenih pristojnosti ter se glede tega ne more in ne sme opredeljevati. IP lahko svojo zavezujočo oceno poda le v konkretnem inšpekcijskem postopku.
IP pojasnjuje, da v skladu s šestim odstavkom 38. člena Splošne uredbe o varstvu podatkov pooblaščena oseba za varstvo podatkov lahko opravlja tudi druge naloge in dolžnosti. Vendar pa mora pri tem vsak upravljavec (v konkretnem primeru vaš organ) zagotoviti, da zaradi vsakršnih takih nalog in dolžnosti ne pride do nasprotja interesov. Eno izmed vodil pri delu pooblaščene osebe je namreč njena neodvisnost, saj pooblaščena oseba med drugim ne sme biti v konfliktu interesov. To predvsem pomeni, da pooblaščena oseba v organizaciji ne sme imeti položaja, ki bi omogočala opredelitev namenov ali storitev obdelave osebnih podatkov. Iz navedenega razloga nalog pooblaščene osebe ne more opravljati nekdo, ki odloča o sredstvih in namenih obdelave osebnih podatkov, saj bi sicer pooblaščena oseba nadzirala samo sebe. Podrobnejše določbe glede konflikta interesov vsebuje tudi ZVOP-2 v petem in šestem odstavku 46. člena. Slednji podrobneje opredeljuje nasprotje interesov, saj določa, da se v javnem sektorju šteje, da je določena oseba v nasprotju interesov, če je določena kot upravljavec informacijskega sistema, skrbnik informacijskega sistema ali vodja informacijske varnosti, ima položaj predstojnika v osebi javnega sektorja, če je član organov upravljanja ali nadzora pri upravljavcu ali obdelovalcu, če njene druge naloge vključujejo sistemsko odločanje o obdelavi osebnih podatkov pri upravljavcu ali obdelovalcu ali če zastopa upravljavca oziroma obdelovalca v sodnih ali arbitražnih postopkih v zvezi z vprašanji varstva osebnih podatkov.
Splošno gledano lahko nasprotujoči si položaji v javnem sektorju vključujejo položaje višjega vodstva (kot so predstojnik oziroma direktor, vodja službe za upravljanje s človeškimi viri, vodja oddelka za informacijsko tehnologijo) in tudi druge vloge na nižji ravni organizacijske strukture, če taki položaji ali vloge vodijo v določitev namenov in sredstev obdelave. Bistveno torej ni, ali konkretna oseba (zaposleni) obdeluje osebne podatke, ampak ali odloča o sredstvih in namenih njihove obdelave. IP ob tem pojasnjuje tudi, da je zaradi posebne organizacijske strukture vsakega upravljavca to treba obravnavati za vsak primer posebej, zato je priporočljivo, da vsak upravljavec posebej opredeli položaje, ki so glede na njegovo organizacijsko strukturo nezdružljivi s funkcijo pooblaščene osebe za varstvo podatkov.
Zakon o integriteti in preprečevanju korupcije (ZIntPK; Uradni list RS, št. 69/11 – UPB, 158/20, 3/22 – ZDeb, 16/23 – ZZPri) v tretjem odstavku 50. člena določa, da načrt integritete vsebuje zlasti oceno korupcijske izpostavljenosti institucije; osebna imena ter delovna mesta oseb, odgovornih za načrt integritete; opis področij in načina odločanja z oceno izpostavljenosti tveganjem za korupcijo in predloge za izboljšave integritete; ukrepe za pravočasno odkrivanje, preprečevanje in odpravljanje tveganj za korupcijo ter druge dele načrta, opredeljene v smernicah iz 50. člena tega zakona. Te smernice imenovanje, položaj in naloge skrbnika integritete določajo v 11. in 12. členu.
IP glede na navedeno splošno meni, da položaj oziroma naloge skrbnika načrta integritete same po sebi niso v konfliktu interesov oziroma nezdružljive z nalogami pooblaščene osebe za varstvo podatkov, vendar je pri tem treba upoštevati tudi (morebitne) druge naloge, ki jih v okviru upravljavca opravlja skrbnik integritete, saj bi le-te lahko bile nezdružljive z nalogami pooblaščene osebe za varstvo podatkov in tako vodile do konflikta interesov. V kolikor bi bil tako za skrbnika imenovan nekdo, ki opravlja v tretjem in četrtem odstavku tega mnenja navedene funkcije znotraj upravljavca oziroma zavzema drug položaj, v okviru katerega lahko odloča o namenih in sredstvih obdelave osebnih podatkov, potem navedeni funkciji ne bi bili združljivi.
IP dodaja, da so evropski nadzorni organi za varstvo osebnih podatkov že pripravili podrobne smernice, ki vam bodo v pomoč pri presojanju položaja pooblaščene osebe:
https://www.ip-rs.si/fileadmin/user_upload/Pdf/Mednarodno_delovanje/wp243rev01_sl.pdf.
IP vas napotuje tudi na spletno stran IP, kjer lahko prav tako najdete uporabne napotke glede pooblaščene osebe za varstvo podatkov:
Lepo vas pozdravljamo.
Pripravil:
Matej Sironič,
Svetovalec pooblaščenca
za varstvo osebnih podatkov
Mojca Prelesnik, univ. dipl. prav.,
Informacijska pooblaščenka