Informacijski pooblaščenec Republika Slovenija
   
dekorativna slika

Pooblaščena oseba za varstvo podatkov

+ -

Opozorilo: Mnenje je bilo izdano na podlagi določb Zakona o varstvu osebnih podatkov (ZVOP-1, Uradni list RS, št. 94/07 - uradno prečiščeno besedilo), ki je z dnem 26. 1. 2023 prenehal veljati in ga je nadomestil nov Zakon o varstvu osebnih podatkov (ZVOP-2, Uradni list RS, št. 163/22), zato mnenje ni več nujno aktualno. Mnenja po ZVOP-2 so na voljo tukaj.

Datum: 11.11.2018
Številka: 0712-3/2018/2243
Kategorije: Razno

Obrnili ste se na Informacijskega pooblaščenca RS (v nadaljevanju IP) s svojim zaprosilom za mnenje, v katerem sprašujete

1. ali je skladno z Uredbo (EU) 2016/679, da pooblaščena oseba za varstvo osebnih podatkov (ang. DPO) vodi in odloča o pravicah posameznikov s področja varstva osebnih podatkov v okviru upravnega postopka (po mnenju vaše pravne službe je odločanje o pravicah glede varstva osebnih podatkov upravna zadeva, o kateri je treba odločati po postopku, ki ga predpisuje ZUP).

2. Navajate tudi, da X zahteva od pooblaščene osebe, da s svojo parafo potrdi vsako pogodbo, ki jo sklene X, da je skladna s Splošno uredbo.

3. Navajate tudi, da po mnenju vaše pravne službe pooblaščena oseba ne more imeti tako široko zastavljenih pooblastil, kot jih navaja Splošna uredba, saj v okviru interne organizacije pooblaščena oseba ni nadrejena oseba, ki bi lahko nalagala delo drugim delom organizacije.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba o varstvu podatkov), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašimi vprašanji.

AD 1.

IP uvodoma poudarja, da člen 38 (6) Splošne uredbe določa, da pooblaščena oseba za varstvo podatkov lahko opravlja druge naloge in dolžnosti. Upravljavec ali obdelovalec zagotovi, da zaradi vsakršnih takih nalog in dolžnosti ne pride do nasprotja interesov. Po mnenju IP je odločanje o pravicah posameznikov s področja varstva osebnih podatkov v nasprotju z interesi, ki jih zagotavlja institut pooblaščene osebe – pooblaščena oseba torej ne sme odločati o pravicah posameznikov, lahko pa je s svetovanjem vključena v postopek obravnave posamezne zahteve v zvezi z uveljavljanjem pravic.

Dalje IP pojasnjuje, da ni pristojen za podajo stališča ali morajo zavezanci (upravljavci ali obdelovalci) v posamezni zadevi v zvezi s pravicami posameznikov po Splošni uredbi odločati po splošnem upravnem postopku. V tem delu gre namreč za tolmačenje določb ZUP, za kar je pristojno Ministrstvo za javno upravo (ki po ZUP skrbi za izvajanje tega zakona) oziroma inšpekcijski organ, ki deluje na tem področju – Upravna inšpekcija. IP pa dodaja, da 12. člen Splošne uredbe, ki do sprejema novega ZVOP-2 edini ureja postopek odločanja o pravicah posameznikov (členi 15 – 18 Splošne uredbe), ne zahteva odločanja o pravicah posameznikov z upravno odločbo. Če pa zavezanci menijo, da so glede na svoj status in naravo pravic, dolžni o pravicah posameznikov iz Splošne uredbe v upravnem postopku, potem je takšno postopanje z vidika IP, kot pritožbenega organa ustrezno. Ob zgoraj navedenem dodajamo, da če upravljavec meni, da mora o pravicah posameznika odločati po ZUP (ker tako izhaja iz ZUP), potem o upravni zadevi ne sme odločati pooblaščena oseba za varstvo osebnih podatkov. Uradna oseba lahko eventualno vodi upravni postopek, ne sme pa odločati o samih pravicah.

AD 2.

IP poudarja, da pooblaščena oseba za varstvo osebnih podatkov ni odgovorna za skladnost. Stvar organizacije delovnega procesa v okviru upravljavca pa je, kako se pooblaščeno osebo vključi v proces priprave pogodbe s ciljem zagotavljanja, da so te skladne s Splošno uredbo. Iz navedenega razloga IP ne more odrejati upravljavcem, kdo lahko parafira posamezne pogodbe. IP pa meni, da zahteva za parafiranje vseh pogodb X s strani pooblaščene osebe ne more razbremeniti odgovornosti X, da deluje skladno s pravili varstva osebnih podatkov.

AD. 3

Kot že rečeno, konkretne organizacije dela znotraj upravljavca IP ne more komentirati. IP pa poudarja, da Splošna uredba v členu 38 (2) izrecno nalaga, da upravljavec in obdelovalec pooblaščeni osebi za varstvo podatkov pomagata pri opravljanju nalog iz člena 39, tako da zagotovita sredstva, potrebna za opravljanje teh nalog, in dostop do osebnih podatkov in dejanj obdelave, ter ohranjanje njenega strokovnega znanja. Iz navedenega člena izhaja, da mora imeti pooblaščena oseba na voljo zadostna sredstva za izvajanje svojih nalog, kar pomeni tako finančna, kot kadrovska in druga sredstva, ki bodo pooblaščeni osebi omogočala izvajanje njenih nalog. Če teh sredstev organizacija pooblaščeni osebi ne zagotavlja, predstavlja to samostojno kršitev Splošne uredbe.

Upamo, da smo vam s svojimi pojasnili uspeli pomagati.

Lep pozdrav,

Pripravil:

Anže Novak, univ. dipl. prav.,

Asistent svetovalca IP

Mojca Prelesnik,

Informacijska pooblaščenka