Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Iskalnik po mnenjih GDPR

+ -
Datum: 25.04.2019
Naslov: Obveznost imenovanja DPO
Številka: 0712-1/2019/966
Vsebina: Pooblaščene osebe za varstvo podatkov (»DPO«)
Pravni akt: Mnenje

Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaše zaprosilo za mnenje glede obveznosti imenovanja pooblaščene osebe za varstvo podatkov (ang. DPO).

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba o varstvu podatkov), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju: ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju: ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.

 

V zvezi s pooblaščeno osebo za varstvo podatkov IP splošno pojasnjuje, da je presoja, v kolikšni meri je posamezen subjekt glede na dejavnost in obseg osebnih podatkov, ki jih obdeluje, zavezan k njenemu imenovanju, v celoti na strani samega subjekta, saj IP izven postopka inšpekcijskega nadzora konkretnih obdelav osebnih podatkov ne more presojati.

 

IP nadalje pojasnjuje, da Splošna uredba o varstvu podatkov v prvem odstavku 37. člena določa, primere, kdaj morata upravljavec in obdelovalec imenovati pooblaščeno osebo za varstvo podatkov. Točka a) to obveznost določa za primere, kadar obdelavo opravlja javni organ ali telo (z izjemo sodišč, kadar delujejo kot sodni organ), torej se primarno nanaša na subjekte javnega sektorja. Točki b) in c) pa določata, da je treba imenovati pooblaščeno osebo tudi, kadar temeljne dejavnosti upravljavca ali obdelovalca zajemajo dejanja obdelave, pri katerih je treba zaradi njihove narave, obsega in/ali namenov posameznike, na katere se nanašajo osebni podatki, redno in sistematično obsežno spremljati ali kadar temeljne dejavnosti upravljavca ali obdelovalca zajemajo obsežno obdelavo posebnih vrst podatkov in osebnih podatkov v zvezi s kazenskimi obsodbami in prekrški. Med posebne vrste podatkov spadajo osebni podatki, ki razkrivajo rasno ali etnično poreklo, politično mnenje, versko ali filozofsko prepričanje ali članstvo v sindikatu, genetski podatki, biometrični podatki, podatki v zvezi z zdravjem in podatki v zvezi s posameznikovim spolnim življenjem ali spolno usmerjenostjo.

 

Ostali upravljavci in obdelovalci niso zavezani k imenovanju pooblaščene osebe za varstvo podatkov, lahko pa jo imenujejo, če želijo.

 

Vsekakor je treba pri odločitvi o imenovanju pooblaščene osebe ravnati skrbno in previdno ter upoštevati vsa dejanja obdelave osebnih podatkov, ki jih izvajate, ter vrsto in obseg podatkov, ki se obdelujejo. Dejstvo, ki ga navajate, da je vaša temeljna dejavnost prodaja (veleprodaja in maloprodaja – spletna trgovina), samo po sebi ne pomeni, da vam ni treba imenovati pooblaščene osebe, saj tudi v okviru te dejavnosti prihaja do obdelav osebnih podatkov, presoditi pa morate, ali gre za takšna dejanja obdelave, ki terjajo določitev pooblaščene osebe.

 

Končna presoja glede imenovanja pooblaščene osebe za varstvo podatkov je v domeni slehernega upravljavca oziroma obdelovalca osebnih podatkov in IP po Splošni uredbi o varstvu podatkov v postopku imenovanja te osebe nima nobenih pristojnosti ter se glede tega ne more in ne sme opredeljevati. IP lahko svojo zavezujočo oceno poda le v konkretnem inšpekcijskem postopku.

 

Glede imenovanja pooblaščene osebe za varstvo osebnih podatkov so evropski nadzorni organi za varstvo osebnih podatkov že pripravili podrobne smernice, ki vam bodo v pomoč pri vaši odločitvi o imenovanju pooblaščene osebe:

https://www.ip-rs.si/fileadmin/user_upload/Pdf/Mednarodno_delovanje/wp243rev01_sl.pdf.

Na spletni strani IP lahko prav tako najdete uporabne napotke glede pooblaščene osebe za varstvo podatkov:

https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/kljucna-podrocja-uredbe/pooblascena-oseba-za-varstvo-podatkov/.

 

Glede obveščanja posameznikov IP pojasnjuje, da so informacije, ki jih je treba zagotoviti posamezniku, na katerega se nanašajo osebni podatki, z vidika varstva osebnih podatkov na splošno urejene v členih 13 in 14 Splošne uredbe o varstvu podatkov. IP vam svetuje, da obvestilo oziroma pojasnilo, ki ga dajete strankam, preučite v luči spodaj navedenih pojasnil.

 

Skladno z določbo 13. člena je dolžan upravljavec v primeru, kadar so bili osebni podatki  pridobljeni od posameznika, na katerega se ti nanašajo, le-temu takrat, ko pridobi osebne podatke, zagotoviti naslednje informacije:

  1. identiteto in kontaktne podatke upravljavca in njegovega predstavnika, kadar ta obstaja;
  2. kontaktne podatke pooblaščene osebe za varstvo podatkov, kadar ta obstaja;
  3. namene, za katere se osebni podatki obdelujejo, kakor tudi pravno podlago za njihovo obdelavo;
  4. kadar obdelava temelji na točki (f) člena 6(1), zakonite interese, za uveljavljanje katerih si prizadeva upravljavec ali tretja oseba;
  5. uporabnike ali kategorije uporabnikov osebnih podatkov, kadar obstajajo;
  6. kadar je ustrezno, informacije o tem, da namerava upravljavec prenesti osebne podatke uporabniku v tretji državi ali mednarodni organizaciji, ter o obstoju ali neobstoju sklepa Komisije o ustreznosti ali v primeru prenosov iz člena 46 ali 47 ali drugega pododstavka člena 49(1) sklic na ustrezne ali primerne zaščitne ukrepe in sredstva za pridobitev njihove kopije ali kje so na voljo;
  7. tudi nekatere druge informacije, opredeljene v drugem odstavku istega člena.

 

Dodatno drugi odstavek člena 13 Splošne uredbe zahteva tudi zagotovitev nekaterih dodatnih informacij, med katerimi so tudi informacija o roku hrambe, obstoju pravic posameznika (tudi pravici do izbrisa) in možnosti pritožbe nadzornemu organu.

 

Posamezniku je torej navedene informacije o obdelavi osebnih podatkov treba zagotoviti ob pridobitvi njegovih osebnih podatkov.

 

Glede piškotkov IP pojasnjuje, da je več informacij o uporabi piškotkov podanih v Smernicah o uporabi piškotkov na spletnih straneh, ki so na voljo na spletni strani:

https://www.ip-rs.si/fileadmin/user_upload/Pdf/smernice/Smernice_o_uporabi_piskotkov.pdf

IP sklepno poudarja, da lahko podaja nezavezujoča mnenja in pojasnila, ne more pa izven konkretnih inšpekcijskih postopkov posameznim poslovnim subjektom svetovati, kako organizirati konkretne poslovne procese in v tem okviru obdelovati osebne podatke, niti ne more vnaprej potrjevati posameznih rešitev z vidika skladnosti s Splošno uredbo o varstvu podatkov.

 

 

S spoštovanjem.

 

 

Pripravil:

Matej Sironič,                                                  

Svetovalec pooblaščenca

za varstvo osebnih podatkov

 

 

Mojca Prelesnik, univ. dipl. prav.,

Informacijska pooblaščenka