Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Iskalnik po mnenjih GDPR

+ -
Datum: 30.03.2020
Naslov: Sporočanje podatkov o vodji informacijske varnosti
Številka: 07120-1/2020/251
Vsebina: Pooblaščene osebe za varstvo podatkov (»DPO«)
Pravni akt: Mnenje

Informacijski pooblaščenec (v nadaljevanju IP) je po elektronski pošti prejel vaš dopis, v katerem pojasnjujete, da 6. točka 65. člena Uredbe o informacijski varnosti v državni upravi (Uradni list RS, št. 29/18; v nadaljevanju Uredba o informacijski varnosti), določa obveznost organov, da Ministrstvu za javno upravo posredujejo ime in kontaktne podatke vodje informacijske varnosti. Sprašujete nas, ali je te podatke potrebno posredovati tudi Informacijskemu pooblaščencu.

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju na podlagi 58. člena Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba), 7. točke prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07, uradno prečiščeno besedilo, v nadaljevanju ZVOP-1) ter 2. člena Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem. Ob tem IP poudarja, da izven postopka inšpekcijskega nadzora konkretnih obdelav osebnih podatkov ne more presojati.

 

Podatkov o vodji informacijske varnosti, ki je imenovana skladno z drugim odstavkom 5. člena Uredbe o informacijski varnosti, ni treba sporočati Informacijskemu pooblaščencu. Informacijskemu pooblaščencu pa je treba sporočiti kontaktne podatke pooblaščene osebe za varstvo podatkov, ki je imenovana skladno s členom 37(1) Splošne uredbe.

 

Drugi odstavek 5. člena Uredbe o informacijski varnosti opredeljuje pojem vodje informacijske varnosti; določa namreč, da za izvajanje posameznih ključnih nalog na področju informacijske varnosti znotraj organa predstojnik organa določi osebo, zadolženo za upravljanje sistema informacijske varnosti. 6. člen Uredbe o informacijski varnosti pa določa, da je vodja informacijske varnosti v posameznem organu zadolžen za:

  • obravnavo dogodkov in incidentov informacijske varnosti,
  • preverjanje skladnosti delovanja organa s to uredbo, operativnimi navodili ter morebitnimi akti iz 16. člena te uredbe,
  • upravljanje ukrepov in postopkov varovanja informacij v informacijskih sistemih organa ter nadzor nad njimi,
  • sodelovanje pri usklajevanju poslovnih in varnostnih ciljev organa,
  • izvedbo ocenitve tveganj informacijske varnosti organa in upravljanje teh tveganj ter
  • redno poročanje predstojniku.

 

Po drugi strani so naloge pooblaščene osebe za varstvo podatkov opredeljene v členu 39(1) Splošne uredbe o varstvu podatkov, in sicer ima pooblaščena oseba za varstvo podatkov vsaj naslednje naloge:

(a)    obveščanje upravljavca ali obdelovalca in zaposlenih, ki izvajajo obdelavo, ter svetovanje navedenim o njihovih obveznostih v skladu s to uredbo in drugimi določbami prava Unije ali prava države članice o varstvu podatkov;
(b)    spremljanje skladnosti s to uredbo, drugimi določbami prava Unije ali prava države članice o varstvu podatkov in politikami upravljavca ali obdelovalca v zvezi z varstvom osebnih podatkov, vključno z dodeljevanjem nalog, ozaveščanjem in usposabljanjem osebja, vključenega v dejanja obdelave, ter s tem povezanimi revizijami;
(c)    svetovanje, kadar je to zahtevano, glede ocene učinka v zvezi z varstvom podatkov in spremljanje njenega izvajanja v skladu s členom 35;
(d)    sodelovanje z nadzornim organom;
(e)    delovanje kot kontaktna točka za nadzorni organ pri vprašanjih v zvezi z obdelavo, vključno s predhodnim posvetovanjem iz člena 36, in, kjer je ustrezno, posvetovanje glede katere koli druge zadeve.

 

Funkcija, vloga in odgovornost vodje informacijske varnosti in pooblaščene oseba za varstvo podatkov se razlikujejo, čeprav se na določenih segmentih lahko tudi prepletajo, predvsem pa obe osebi oziroma funkciji med seboj nujno tudi sodelujeta. Načeloma funkciji ločeno opravljata dve osebi, saj je že z organizacijskega vidika vprašljivo, če bi lahko ena sama oseba opravlja dve tako zahtevni funkciji. Tako torej velja, da se podatke o vodji informacijske varnosti skladno z določbo 6. točke 65. člena Uredbe o informacijski varnosti posredujejo Ministrstvu za javno upravo, podatke o pooblaščeni osebi za varstvo podatkov pa skladno s členom 37(7) Informacijskemu pooblaščencu.

 

V upanju, da ste dobili odgovor na svoje vprašanje, vas lepo pozdravljamo.

 

 

                                                                                               Mojca Prelesnik, univ.dipl.prav.,                                                 

                                                                                               informacijska pooblaščenka

 

Pripravila:                                                                                                                              

mag. Polona Merc

Svetovalka pooblaščenca

za varstvo osebnih podatkov