Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Iskalnik po mnenjih GDPR

+ -
Datum: 31.12.2018
Naslov: DPO pri franšizerju
Številka: 0712-3/2018/2662
Vsebina: Pooblaščene osebe za varstvo podatkov (»DPO«), Razno
Pravni akt: Mnenje

Informacijski pooblaščenec (v nadaljevanju IP) je po elektronski pošti prejel vaše vprašanje, ali lahko  franšizor za pooblaščeno osebo za varstvo podatkov imenujejo isto osebo, kot jo imate vi. Ob povedanem bi imela upravljavec in obdelovalec isto pooblaščeno osebo za varstvo podatkov.

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Uredba), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašimi vprašanji.

 

Skladno z drugim odstavkom 37. člena Uredbe lahko povezana družba imenuje eno pooblaščeno osebo za varstvo podatkov, če je ta pooblaščena oseba za varstvo podatkov lahko dostopna iz vsake enote. V skladu s 527. členom Zakona o gospodarskih družbah (Ur.l. RS, št. 65/09 uradno prečiščeno besedilo, s spremembami in dopolnitvami, v nadaljevanju ZGD-1) se za povezane družbe štejejo pravno samostojne družbe, ki so v medsebojnem razmerju tako, da:

 

  • ima ena družba v drugi večinski delež (družba v večinski lasti in družba z večinskim deležem);
  • je ena družba odvisna od druge (odvisna in obvladujoča družba);
  • so koncernske družbe;
  • sta dve družbi vzajemno kapitalsko udeleženi, ali
  • so povezane s podjetniškimi pogodbami.

 

IP v okviru mnenja ne more presojati, za kakšno obliko franšizinga gre v konkretnem primeru in ali se medsebojno razmerje med franšizorjem in franšizijem lahko skladno z ZGD-1 šteje kot povezana družba, ampak je tovrstna ugotovitev povsem na strani vaše organizacije. V primeru povezanih družb lahko, kot navedeno v drugem odstavku 37. člena Uredbe, povezana družba imenuje eno pooblaščeno osebo za varstvo podatkov, če je ta pooblaščena oseba za varstvo podatkov lahko dostopna iz vsake enote. Pojem dostopnosti se nanaša na naloge pooblaščene osebe za varstvo podatkov kot kontaktne točke za posameznike, na katere se nanašajo osebni podatki, nadzorni organ, pa tudi znotraj organizacije, glede na to, da je ena od nalog pooblaščene osebe za varstvo podatkov »obveščanje upravljavca ali obdelovalca in zaposlenih, ki izvajajo obdelavo, ter svetovanje navedenim o njihovih obveznostih v skladu s to Uredbo«. Za zagotovitev dostopnosti pooblaščene osebe za varstvo podatkov, bodisi notranje ali zunanje, je treba poskrbeti za to, da bodo v skladu z zahtevami Uredbe na voljo njeni kontaktni podatki. Pooblaščena oseba za varstvo podatkov mora biti, po potrebi s pomočjo svoje ekipe, sposobna učinkovito komunicirati s posamezniki, na katere se nanašajo osebni podatki, in sodelovati z zadevnimi nadzornimi organi. To pomeni tudi, da se mora ta komunikacija izvajati v jeziku ali jezikih, ki jih uporabljajo zadevni nadzorni organi in posamezniki, na katere se nanašajo osebni podatki. Dostopnost pooblaščene osebe za varstvo podatkov (bodisi fizična v istih prostorih kot zaposleni, prek namenske telefonske linije ali drugih varnih komunikacijskih sredstev) je bistvena za zagotovitev, da bodo lahko posamezniki, na katere se nanašajo osebni podatki, stopili v stik s pooblaščeno osebo za varstvo podatkov.

 

IP vas usmerja tudi na 6. odstavek 37. člena Uredbe, ki določa, da je pooblaščena oseba za varstvo podatkov lahko član osebja upravljavca ali obdelovalca ali pa naloge opravlja na podlagi pogodbe o storitvah. To pomeni, da je lahko pooblaščena oseba za varstvo podatkov zunanja in lahko svojo funkcijo izvaja na podlagi pogodbe o storitvah, ki jo sklene s posameznikom ali organizacijo, zunaj organizacije upravljavca oz. obdelovalca. V primeru, da pooblaščena oseba za varstvo podatkov svoje naloge opravlja na podlagi pogodbe o storitvah, vas IP usmerja na 28. člen Uredbe, ki določa obdelavo osebnih podatkov s strani obdelovalca (t.j. pooblaščene osebe za varstvo podatkov na podlagi pogodbe o storitvah) v imenu upravljavca, ureditev razmerij med njima in morebitnimi drugimi obdelovalci, obvezna ravnanja, odgovornosti ipd. V skladu z navedenim členom se razmerje med upravljavcem in obdelovalcem, ki zagotavlja zadostna jamstva za izvedbo ustreznih tehničnih in organizacijskih ukrepov z zahtevami iz Uredbe in zagotavlja varstvo pravic posameznika, na katerega se nanašajo osebni podatki, uredi s pisno pogodbo (kot pisna oblika šteje tudi elektronska oblika), ki poleg obveznosti obdelovalca v razmerju do upravljavca določa še vsebino in trajanje obdelave, naravo in namen obdelave, vrsto osebnih podatkov, kategorije posameznikov, na katere se nanašajo osebni podatki, ter obveznosti in pravice upravljavca. 

 

Evropski nadzorni organi za varstvo osebnih podatkov so že pripravili podrobne smernice, ki pojasnjuje obveznosti glede imenovanja pooblaščene osebe za varstvo podatkov, ki izhajajo iz Uredbe in so vam lahko v pomoč pri sprejemanju odločitve o imenovanju take osebe: https://www.ip-rs.si/fileadmin/user_upload/Pdf/Mednarodno_delovanje/wp243rev01_sl.pdf. Prav tako vam je več informacij na voljo na spletni strani IP: https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/kljucna-podrocja-uredbe/pooblascena-oseba-za-varstvo-podatkov/.

 

V upanju, da ste dobili odgovor na svoje vprašanje, vas lepo pozdravljamo.                                              

 

 

Mojca Prelesnik, univ.dipl.prav.,                                                 

informacijska pooblaščenka

 

 

Pripravila:                                                                                                                              

Jasmina Mešić,
svetovalka pooblaščenca za preventivo