Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Iskalnik po mnenjih GDPR

+ -
Datum: 07.07.2020
Naslov: Imenovanje DPO, identifikacija LSA
Številka: 07121-1/2020/1192
Vsebina: Pooblaščene osebe za varstvo podatkov (»DPO«), Razno
Pravni akt: Mnenje

Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaše zaprosilo za mnenje glede obveznosti imenovanja pooblaščene osebe za varstvo podatkov (ang. DPO) ter identifikacije vodilnega nadzornega organa (ang. LSA).

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba o varstvu podatkov), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju: ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju: ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.

 

V zvezi s pooblaščeno osebo za varstvo podatkov IP splošno pojasnjuje, da je presoja, v kolikšni meri je posamezen subjekt glede na dejavnost in obseg osebnih podatkov, ki jih obdeluje, zavezan k njenemu imenovanju, v celoti na strani samega subjekta, saj IP izven postopka inšpekcijskega nadzora konkretnih obdelav osebnih podatkov ne more presojati.

 

IP nadalje pojasnjuje, da Splošna uredba o varstvu podatkov v prvem odstavku 37. člena določa, primere, kdaj morata upravljavec in obdelovalec imenovati pooblaščeno osebo za varstvo podatkov. Točka a) to obveznost določa za primere, kadar obdelavo opravlja javni organ ali telo (z izjemo sodišč, kadar delujejo kot sodni organ), torej se primarno nanaša na subjekte javnega sektorja. Točki b) in c) pa določata, da je treba imenovati pooblaščeno osebo tudi, kadar temeljne dejavnosti upravljavca ali obdelovalca zajemajo dejanja obdelave, pri katerih je treba zaradi njihove narave, obsega in/ali namenov posameznike, na katere se nanašajo osebni podatki, redno in sistematično obsežno spremljati ali kadar temeljne dejavnosti upravljavca ali obdelovalca zajemajo obsežno obdelavo posebnih vrst podatkov in osebnih podatkov v zvezi s kazenskimi obsodbami in prekrški. Med posebne vrste podatkov spadajo osebni podatki, ki razkrivajo rasno ali etnično poreklo, politično mnenje, versko ali filozofsko prepričanje ali članstvo v sindikatu, genetski podatki, biometrični podatki, podatki v zvezi z zdravjem in podatki v zvezi s posameznikovim spolnim življenjem ali spolno usmerjenostjo.

 

Ostali upravljavci in obdelovalci niso zavezani k imenovanju pooblaščene osebe za varstvo podatkov, lahko pa jo imenujejo, če to želijo.

 

Vsekakor je treba pri odločitvi o imenovanju pooblaščene osebe ravnati skrbno in previdno ter upoštevati vsa dejanja obdelave osebnih podatkov, ki jih izvajate, ter vrsto in obseg podatkov, ki se obdelujejo.

Enako velja tudi za odločitev, ali lahko naloge pooblaščene osebe opravlja zgolj ena oseba ali je takih oseb več. Iz vašega zaprosila po mnenju IP izhaja, da je temeljna dejavnost vaše stranke prodaja in zagotavljanje programske opreme za izvajanje storitev casinojev, športnih stavnic in loterij ter razvoj iger in drugih storitev na tem področju. V okviru te dejavnosti zelo verjetno prihaja do obdelav osebnih podatkov, presoditi pa morate, ali gre za takšna dejanja obdelave, ki terjajo določitev pooblaščene osebe.

 

Končna presoja glede imenovanja pooblaščene osebe za varstvo podatkov je v domeni slehernega upravljavca oziroma obdelovalca osebnih podatkov in IP po Splošni uredbi o varstvu podatkov v postopku imenovanja te osebe nima nobenih pristojnosti ter se glede tega ne more in ne sme opredeljevati. IP lahko svojo zavezujočo oceno poda le v konkretnem inšpekcijskem postopku.

 

Glede imenovanja pooblaščene osebe za varstvo osebnih podatkov so evropski nadzorni organi za varstvo osebnih podatkov že pripravili podrobne smernice, ki vam bodo v pomoč pri vaši odločitvi o imenovanju pooblaščene osebe:

https://www.ip-rs.si/fileadmin/user_upload/Pdf/Mednarodno_delovanje/wp243rev01_sl.pdf.

Na spletni strani IP lahko prav tako najdete uporabne napotke glede pooblaščene osebe za varstvo podatkov:

https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/kljucna-podrocja-uredbe/pooblascena-oseba-za-varstvo-podatkov/.

Glede identifikacije vodilnega nadzornega organa IP uvodoma pojasnjuje, da Splošna uredba o varstvu podatkov v členih 51 do 54 podrobneje ureja status nadzornih organov, ki izvršujejo nadzor nad izvajanjem določb Splošne uredbe. V Sloveniji je ta organ v skladu z ZInfP Informacijski pooblaščenec Republike Slovenije. Vsaka država članica ima svoj nadzorni organ za varstvo osebnih podatkov oziroma več takih organov. Seznam nadzornih organ držav članic je dostopen na spletni strani Evropske komisije:

http://ec.europa.eu/justice/article-29/structure/data-protection-authorities/index_en.htm.

IP nadalje pojasnjuje, da se pristojnost nadzornega organa v konkretnem primeru določi na podlagi opredelitve kraja (edinega) sedeža ali glavnega sedeža upravljavca ali obdelovalca osebnih podatkov v EU. Glavni sedež je v zvezi z upravljavcem, ki ima sedeže v več kot eni državi članici, v 16. točki 4. člena Splošne uredbe o varstvu podatkov opredeljen kot kraj njegove osrednje uprave v EU ali sedež, ki sprejema odločitve o sredstvih in namenih obdelave osebnih podatkov, kadar se te odločitve sprejemajo na drugem sedežu upravljavca v EU in ima ta sedež pooblastila za izvajanje teh odločitev. Za določitev glavnega sedeža je torej bistvena opredelitev osrednje uprave upravljavca v EU, če obstaja. V skladu s pristopom iz Splošne uredbe o varstvu podatkov je osrednja uprava v EU v kraju, kjer se sprejemajo odločitve o namenih in sredstvih obdelave osebnih podatkov, pri čemer ima ta kraj pooblastilo za izvajanje takšnih odločitev. V zvezi z obdelovalcem, ki ima sedeže v več kot eni državi članici, pa je glavni sedež opredeljen kot kraj njegove osrednje uprave v EU. Kadar obdelovalec nima osrednje uprave v EU, pa je glavni sedež opredeljen kot sedež obdelovalca v EU, kjer se izvajajo glavne dejavnosti obdelave v okviru dejavnosti sedeža obdelovalca, kolikor za obdelovalca veljajo posebne obveznosti iz te uredbe.

V primeru čezmejnih postopkov je pri določitvi vodilnega nadzornega organa ob tem treba upoštevati še druge določbe, ki so podrobneje obrazložene v smernicah delovne skupine za varstvo podatkov iz člena 29 za opredelitev vodilnega nadzornega organa upravljavca ali obdelovalca, ki so dostopne na povezavi:

https://www.ip-rs.si/fileadmin/user_upload/Pdf/Mednarodno_delovanje/wp244rev01_sl.pdf.

 

IP sklepno poudarja, da lahko podaja nezavezujoča mnenja in pojasnila, ne more pa izven konkretnih inšpekcijskih postopkov posameznim poslovnim subjektom svetovati, kako organizirati konkretne poslovne procese in v tem okviru obdelovati osebne podatke, niti ne more vnaprej potrjevati posameznih rešitev z vidika skladnosti s Splošno uredbo o varstvu podatkov.

 

 

S spoštovanjem.

 

 

 

Pripravil:

Matej Sironič,                                                  

Svetovalec pooblaščenca

za varstvo osebnih podatkov

 

 

Mojca Prelesnik, univ. dipl. prav.,

Informacijska pooblaščenka