Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Iskalnik po mnenjih GDPR

+ -
Datum: 24.04.2020
Naslov: Zavarovanje OP
Številka: 07121-1/2020/749
Vsebina: Društva, Evidence dejavnosti obdelave , Pooblaščene osebe za varstvo podatkov (»DPO«), Zavarovanje osebnih podatkov
Pravni akt: Mnenje

Informacijski pooblaščenec (v nadaljevanju IP) je po e-pošti prejel vaše zaprosilo za mnenje. Navedli ste, da ste pri urejanju evidence dejavnosti obdelave naleteli na vprašanji:

 

- Ali morate pred zbirkami, kjer obdelujete občutljive osebne podatke, imeti evidenčni list, ki omogoča poznejše ugotavljanje, kdaj so bili posamezni podatki uporabljeni ali vnešeni, ter kdo je to storil?

- Ali morate tak evidenčni list voditi tudi pri zbirkah, ki ne vsebujejo občutljive osebne podatke?

 

Zanima vas tudi, ali kot društvo s 13 zaposlenimi potrebujete »zastopnika o varstvu osebnih podatkov«, oz. odgovorno osebo, ki skrbi za varstvo osebnih podatkov v društvu ter ali mora biti ta oseba potrjena s strani izvršnega odbora?

 

***

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju na podlagi 58. člena Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba), 7. točke prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07, uradno prečiščeno besedilo, v nadaljevanju ZVOP-1) ter 2. člena Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.

 

Pri tem IP poudarja, da IP izven postopka inšpekcijskega nadzora oziroma drugega upravnega postopka konkretnih obdelav osebnih podatkov ne more presojati. Poudarjamo, da je odgovornost za zakonito in pošteno obdelavo osebnih podatkov odgovornost upravljavca osebnih podatkov. IP lahko v okviru mnenja poda zgolj splošne usmeritve. 

 

Skladno s 5. točko prvega odstavka 24. člena ZVOP-1 obsega zavarovanje osebnih podatkov organizacijske, tehnične in logično-tehnične postopke za zavarovanje osebnih podatkov, s katerimi se varujejo osebni podatki, preprečuje slučajno ali namerno nepooblaščeno uničevanje podatkov, njihova sprememba ali izguba ter nepooblaščena obdelava teh podatkov in sicer med drugim tako, da se omogoča poznejše ugotavljanje, kdaj so bili posamezni osebni podatki vneseni v zbirko osebnih podatkov, uporabljeni ali drugače obdelani in kdo je to storil, in sicer za obdobje, ko je mogoče zakonsko varstvo pravice posameznika zaradi nedopustnega posredovanja ali obdelave osebnih podatkov. IP želi poudariti, da je ta določba ne glede na sprejetje Splošne uredbe še vedno veljavna, hkrati pa je treba upoštevati tudi 24., 25. in 32. člen Splošne uredbe, ki primeroma določajo tehnično-organizacijske ukrepe za zavarovanje osebnih podatkov, oz. merila in tveganja, ki se naj upoštevajo pri njihovi določitvi. Ne glede na to, ali gre za posebne vrste osebnih podatkov (»občutljivi osebni podatki«) ali ne, mora upravljavec poskrbeti za zavarovanje osebnih podatkov. Primeren ukrep določi upravljavec in pri tem upošteva skladno s prvim odstavkom 32. člena Splošne uredbe: najnovejši tehnološki razvoj in stroške izvajanja ter naravo, obseg, okoliščine in namene obdelave, pa tudi tveganja za pravice in svoboščine posameznikov, ki se razlikujejo po verjetnosti in resnosti.

 

Ali torej v navedenem primeru zadostuje evidenčni list, ali pa morebiti kakšna druga tehnološka rešitev, ki omogoča pridobitev podatkov o tem, kdaj so bili posamezni osebni podatki vneseni v zbirko, uporabljeni ali drugače obdelani in kdo je to storil, mora upravljavec presoditi sam, upoštevaje zgoraj navedena merila oz. okoliščine (npr. narava osebnih podatkov, vrsta dostopnih pravic zaposlenih oz. morebiti tretjih oseb, količina osebnih podatkov, itd.), skupaj z ocenitvijo tveganj, ki bi lahko nastala pri obdelavi. Kot to določa tretji odstavek 24. člena ZVOP-1, morajo biti postopki in ukrepi za zavarovanje osebnih podatkov ustrezni glede na tveganje, ki ga predstavlja obdelava in narava določenih osebnih podatkov, ki se obdelujejo (tveganja izhajajo iz zgoraj navedenega 24. člena ZVOP-1, oz. jih opredeljuje drugi odstavek 32. člena Splošne uredbe kot »nenamerno ali nezakonito uničenje, izgubo, spremembo, nepooblaščeno razkritje ali dostop do osebnih podatkov, ki so poslani, shranjeni ali kako drugače obdelani«). Okoliščina, ali gre za posebno vrsto osebnih podatkov, ima vsekakor težo pri določanju, kakšen ukrep je primeren za zavarovanje osebnih podatkov. Upoštevati pa je treba tudi 14. člen ZVOP-1, ki v prvem odstavku določa, da morajo biti občutljivi osebni podatki pri obdelavi posebej označeni in zavarovani tako, da se nepooblaščenim osebam onemogoči dostop do njih. Več o ukrepih za zavarovanje osebnih podatkov in dobrih praksah si lahko preberete v Smernicah o zavarovanju osebnih podatkov, ki so dostopne na spletni strani IP: https://www.ip-rs.si/fileadmin/user_upload/Pdf/smernice/Smernice_o_zavarovanju_OP.pdf.

 

Glede drugega vprašanja pojasnjujemo, da Splošna uredba v nekaterih primerih predvideva postavitev pooblaščene osebe za varstvo podatkov (t.i. »DPO«). Več o tem si lahko preberete v že izdanih mnenjih IP, npr. v mnenjih št. 0712-1/2019/966 z dne 25.4.2019 in št. 07121-1/2020/402 z dne 24.3.2020. Pri tem opozarjamo, da so naloge pooblaščene osebe za varstvo podatkov, skladno z 39. členom Splošne uredbe naslednje:

           

a) obveščanje upravljavca ali obdelovalca in zaposlenih, ki izvajajo obdelavo, ter svetovanje navedenim o njihovih obveznostih v skladu s to uredbo in drugimi določbami prava Unije ali prava države članice o varstvu podatkov;

 

(b) spremljanje skladnosti s to uredbo, drugimi določbami prava Unije ali prava države članice o varstvu podatkov in politikami upravljavca ali obdelovalca v zvezi z varstvom osebnih podatkov, vključno z dodeljevanjem nalog, ozaveščanjem in usposabljanjem osebja, vključenega v dejanja obdelave, ter s tem povezanimi revizijami;

 

(c) svetovanje, kadar je to zahtevano, glede ocene učinka v zvezi z varstvom podatkov in spremljanje njenega izvajanja v skladu s členom 35;

 

(d) sodelovanje z nadzornim organom;

 

(e) delovanje kot kontaktna točka za nadzorni organ pri vprašanjih v zvezi z obdelavo, vključno s predhodnim posvetovanjem iz člena 36, in, kjer je ustrezno, posvetovanje glede katere koli druge zadeve.

 

Ne gre torej, kot ste zapisali, za osebo, ki je odgovorna za obdelavo osebnih podatkov, temveč za osebo s potrebnimi strokovnimi znanji, ki bo upravljavcu osebnih podatkov predvsem svetovala glede vprašanj obdelave osebnih podatkov, ga obveščala oz. osveščala zaposlene, ki pri njem izvajajo obdelavo osebnih podatkov ter spremljala skladnost s Splošno uredbo (delovala bo kot nekakšni notranji revizor na področju varstva osebnih podatkov). Pooblaščeno osebo imenuje upravljavec osebnih podatkov, več vam glede samega načina imenovanja v vašem društvu žal ne moremo svetovati, predlagamo vam, da ravnate skladno s statutom vašega društva.

 

V kolikor se boste odločili, da imenujete pooblaščeno osebo za varstvo podatkov, morate skladno s sedmim odstavkom 37. člena Splošne uredbe kontaktne podatke pooblaščene osebe sporočiti IP, kar lahko storite s pomočjo obrazca, ki je dostopen na spletni strani IP: https://www.ip-rs.si/obrazci/varstvo-osebnih-podatkov/ (obrazec »Obvestilo o imenovanju pooblaščene osebe za varstvo osebnih podatkov«).

 

V upanju, da vam bodo naši napotki v pomoč, vas lepo pozdravljamo.

 

 

Mojca Prelesnik, univ.dipl.prav.,                                                 

informacijska pooblaščenka

 

 

Pripravila:                                                                                                                              

Barbara Pirš, univ.dipl.prav.,

Svetovalka Pooblaščenca za preventivo