Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Iskalnik po mnenjih GDPR

+ -
Datum: 24.03.2020
Naslov: Obveznost imenovanja DPO
Številka: 07121-1/2020/402
Vsebina: Pooblaščene osebe za varstvo podatkov (»DPO«)
Pravni akt: Mnenje

Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaše zaprosilo za mnenje glede obveznosti imenovanja pooblaščene osebe za varstvo podatkov (ang. DPO).

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba o varstvu podatkov), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju: ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju: ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.

 

V zvezi s pooblaščeno osebo za varstvo podatkov IP splošno pojasnjuje, da je presoja, v kolikšni meri je posamezen subjekt glede na dejavnost in obseg osebnih podatkov, ki jih obdeluje, zavezan k njenemu imenovanju, v celoti na strani samega subjekta, saj IP izven postopka inšpekcijskega nadzora konkretnih obdelav osebnih podatkov ne more presojati.

 

IP nadalje pojasnjuje, da Splošna uredba o varstvu podatkov v prvem odstavku 37. člena določa, primere, kdaj morata upravljavec in obdelovalec imenovati pooblaščeno osebo za varstvo podatkov. Točka a) to obveznost določa za primere, kadar obdelavo opravlja javni organ ali telo (z izjemo sodišč, kadar delujejo kot sodni organ), torej se primarno nanaša na subjekte javnega sektorja. Točki b) in c) pa določata, da je treba imenovati pooblaščeno osebo tudi, kadar temeljne dejavnosti upravljavca ali obdelovalca zajemajo dejanja obdelave, pri katerih je treba zaradi njihove narave, obsega in/ali namenov posameznike, na katere se nanašajo osebni podatki, redno in sistematično obsežno spremljati ali kadar temeljne dejavnosti upravljavca ali obdelovalca zajemajo obsežno obdelavo posebnih vrst podatkov in osebnih podatkov v zvezi s kazenskimi obsodbami in prekrški. Med posebne vrste podatkov spadajo osebni podatki, ki razkrivajo rasno ali etnično poreklo, politično mnenje, versko ali filozofsko prepričanje ali članstvo v sindikatu, genetski podatki, biometrični podatki, podatki v zvezi z zdravjem in podatki v zvezi s posameznikovim spolnim življenjem ali spolno usmerjenostjo.

 

Glede imenovanja pooblaščene osebe za varstvo osebnih podatkov so evropski nadzorni organi za varstvo osebnih podatkov že pripravili podrobne smernice, ki vam bodo v pomoč pri vaši odločitvi o imenovanju pooblaščene osebe:

https://www.ip-rs.si/fileadmin/user_upload/Pdf/Mednarodno_delovanje/wp243rev01_sl.pdf.

Navedene smernice med drugim določajo, da se za temeljne dejavnosti lahko štejejo ključne dejavnosti, ki so potrebne za doseganje ciljev upravljavca ali obdelovalca. Prav tako navajajo, da razlaga temeljnih dejavnosti ne bi smela izključevati dejavnosti, pri katerih je obdelava podatkov neločljiv del dejavnosti upravljavca ali obdelovalca.

IP pojasnjuje, da Splošna uredba o varstvu podatkov ne opredeljuje, kaj pomeni obsežna obdelava in tudi ne določa nikakršnih številčnih kriterijev, niti v zvezi s količino obdelanih podatkov niti v zvezi s številom zadevnih posameznikov (v vašem primeru gostov). Navedene smernice pa priporočajo, naj se pri določanju, ali se obdelava izvaja v velikem obsegu, v vsakem primeru upoštevajo zlasti naslednji dejavniki:

  • število zadevnih posameznikov, na katere se nanašajo osebni podatki – bodisi kot določeno število ali delež ustrezne populacije;
  • količina podatkov in/ali obseg različnih podatkovnih postavk, ki se obdelujejo;
  • trajanje ali stalnost dejavnosti obdelave podatkov in
  • geografska razsežnost dejavnosti obdelave.

Prav tako Splošna uredba o varstvu podatkov ne opredeljuje, kaj pomeni redno in sistematično spremljanje posameznikov, na katere se nanašajo osebni podatki, navaja pa, da pojem spremljanja ni omejen zgolj na spletno okolje. Iz navedenih smernic izhaja, da izraz »redno« pomeni eno ali več od naslednjega:

  • ki poteka ali nastopa v določenih intervalih in določenem obdobju;
  • ki se izvaja večkrat ali se ponavlja ob določenem času;
  • ki se izvaja stalno ali periodično.

Izraz »sistematično« pomeni eno ali več od naslednjega:

  • ki se izvaja v skladu s sistemom;
  • ki je vnaprej določeno, organizirano ali metodično;
  • ki poteka kot del splošnega načrta zbiranja podatkov;
  • ki se izvaja kot del strategije.

Smernice med (primeroma naštetimi) primeri dejavnosti, ki se lahko štejejo za redno in sistematično spremljanje posameznikov, na katere se nanašajo osebni podatki, sicer posebej ne navajajo obdelave osebnih podatkov hotelskih gostov. 

IP svetuje, da se vsa dejanja obdelave osebnih podatkov posameznega upravljavca skrbno in previdno preuči v smislu kriterijev in pojasnil, navedenih v zgornjih odstavkih, ter na tej podlagi presodi, ali mora posamezni upravljavec imenovati pooblaščeno osebo za varstvo podatkov. Ob tem IP dodaja, da upravljavci (in obdelovalci), ki niso zavezani k imenovanju pooblaščene osebe za varstvo podatkov, takšno osebo vseeno lahko imenujejo, če želijo.

IP sklepno ponavlja, da je končna presoja glede imenovanja pooblaščene osebe za varstvo podatkov v domeni slehernega upravljavca oziroma obdelovalca osebnih podatkov. IP po Splošni uredbi o varstvu podatkov v postopku imenovanja te osebe nima nobenih pristojnosti ter se glede tega ne more in ne sme opredeljevati. IP lahko svojo zavezujočo oceno poda le v konkretnem inšpekcijskem postopku.

 

Na spletni strani IP lahko prav tako najdete uporabne napotke glede pooblaščene osebe za varstvo podatkov:

https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/kljucna-podrocja-uredbe/pooblascena-oseba-za-varstvo-podatkov/.

 

 

S spoštovanjem.

 

 

Pripravil:

Matej Sironič,                                                  

Svetovalec pooblaščenca

za varstvo osebnih podatkov

 

 

Mojca Prelesnik, univ. dipl. prav.,

Informacijska pooblaščenka