Informacijski pooblaščenec Republika Slovenija
SLO | ENG

Iskalnik po odločbah in mnenjih GDPR

+ -
Datum: 29.04.2019
Naslov: Nadzor pooblaščene osebe za varstvo osebnih podatkov nad izvajanjem določil o tajnih podatkih
Številka: 0712-1/2019/996
Vsebina: Pooblaščene osebe za varstvo podatkov (»DPO«)
Pravni akt: Mnenje

Prejeli smo vaš dopis, v katerem nas prosite za mnenje glede nadzora pooblaščene osebe za varstvo osebnih podatkov nad izvajanjem določil o tajnih podatkih (41. člen Zakona o tajnih podatkih). Zanima vas, ali lahko pooblaščena oseba za varstvo osebnih podatkov skrbi oz. je določena za nadzor nad izvajanjem določil o tajnih podatkih.

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju na podlagi 58. člena Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba), 7. točke prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07, uradno prečiščeno besedilo, v nadaljevanju ZVOP-1) ter 2. člena Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.

 

IP uvodoma poudarja, da 6. točka člena 38 Splošne uredbe določa, da lahko pooblaščena oseba za varstvo podatkov opravlja druge naloge in dolžnosti. Upravljavec ali obdelovalec zagotovi, da zaradi vsakršnih takih nalog in dolžnosti ne pride do nasprotja interesov.

 

Pooblaščena oseba tore lahko opravlja druge naloge in dolžnosti, vendar pa je  treba paziti, ali lahko pri tem pride do konflikta interesov med temi nalogami in nalogami, ki jih opravlja kot pooblaščena oseba za varstvo podatkov, ki so glede na 1. odstavek člena 39 Splošne uredbe:

 

(a) obveščanje upravljavca ali obdelovalca in zaposlenih, ki izvajajo obdelavo, ter svetovanje navedenim o njihovih obveznostih v skladu s to uredbo in drugimi določbami prava Unije ali prava države članice o varstvu podatkov;

(b) spremljanje skladnosti s to uredbo, drugimi določbami prava Unije ali prava države članice o varstvu podatkov in politikami upravljavca ali obdelovalca v zvezi z varstvom osebnih podatkov, vključno z dodeljevanjem nalog, ozaveščanjem in usposabljanjem osebja, vključenega v dejanja obdelave, ter s tem povezanimi revizijami;

(c) svetovanje, kadar je to zahtevano, glede ocene učinka v zvezi z varstvom podatkov in spremljanje njenega izvajanja v skladu s členom 35;

(d) sodelovanje z nadzornim organom;

(e) delovanje kot kontaktna točka za nadzorni organ pri vprašanjih v zvezi z obdelavo, vključno s predhodnim posvetovanjem iz člena 36, in, kjer je ustrezno, posvetovanje glede katere koli druge zadeve.

 

41. in 42. člen Zakona o tajnih podatkih opredeljujeta notranji nadzor nad izvajanjem tega zakona

in predpisov, sprejetih na njegovi podlagi in sicer določata, da so za to odgovorni predstojniki organov in organizacij. V organih in organizacijah, ki obravnavajo tajne podatke stopnje tajnosti ZAUPNO ali višje stopnje tajnosti, se za notranji nadzor in druge strokovne naloge v zvezi z obravnavanjem in varovanjem tajnih podatkov sistemizira delovno mesto ali se za izvajanje teh nalog posebej zadolži obstoječo organizacijsko enoto organa ali organizacije. Z notranjim nadzorom se mora v vseh organih zagotoviti redno spremljanje in ocenjevanje posameznih dejavnosti in dejavnost organa v celoti glede izvajanja tega zakona ter predpisov in ukrepov, sprejetih na njegovi podlagi. Vlada podrobneje predpiše način in vsebino izvajanja notranjega nadzora nad izvajanjem tega zakona in predpisov, izdanih na njegovi podlagi.

 

Iz navedenega ni videti, da bi šlo za konflikt interesov, saj glede na navedene določbe ni razbrati nalog, ki bi bile v konfliktu z nalogami pooblaščene osebe za varstvo podatkov, t.j. situacij, kjer bo pooblaščena oseba za varstvo osebnih podatkov nadzirala svoje odločitve glede osebnih podatkov (poudarjamo, da gre za odločanje o osebnih podatkih in ne za dostop do osebnih podatkov).  Interesi v obeh primerih so relativno podobni – skladnost organizacije s predpisi na določenem področju (varovanja tajnih podatkov in varovanja osebnih podatkov). Določbe 41. člena Zakona o tajnih podatkov, da »sistemizira delovno mesto ali se za izvajanje teh nalog posebej zadolži obstoječo organizacijsko enoto organa ali organizacije« ne razumemo tako, da to delovno mesto ali organizacijska enota organa ali organizacije ne sme obenem opravljati tudi nalog pooblaščene osebe za varstvo podatkov. Prav tako konflikt interesov ni razviden iz podzakonskega akta - Uredbe o notranjem nadzoru nad izvajanjem zakona o tajnih podatkih in predpisov, izdanih na njegovi podlagi  (Uradni list RS, št. 106/02), kjer je v 8. členu opredeljena vsebina nadzora, in sicer se z nadzorom ugotavlja:

 

  • obstoj in ustreznost načrtov varovanja,
  • zagotavljanje in izvajanje tehničnih, fizičnih in organizacijskih ukrepov ter postopkov za varovanje tajnih podatkov,
  • poslovanje z dokumenti, ki vsebujejo tajne podatke,
  • ali imajo osebe, ki imajo dostop do tajnih podatkov, veljavno dovoljenje ustrezne stopnje za dostop do tajnih podatkov in ali je bil izpolnjen pogoj iz 31. člena zakona,
  • izvajanje usposabljanja in izpopolnjevanja ter seznanjanja na področju varovanja tajnih podatkov,
  • preverjanje, ali pogodbe med naročniki in organizacijami vsebujejo vse predpisane ukrepe iz 35. člena zakona in ali je pooblaščena oseba naročnika opravila vse določene postopke pred začetkom izvajanja pogodbe,
  • preverjanje ustreznosti in sprotnega vodenja evidenc izdanih dovoljenj za dostop do tajnih podatkov in preklicev dovoljenj,
  • ustreznost vodenja posebnega dela kadrovske evidence in
  • drugo, kar je določeno z zakonom in predpisi, izdanimi na njegovi podlagi.

 

Navedene naloge po mnenju IP ne posegajo v naloge pooblaščene osebe za varstvo podatkov.

 

IP je na temo imenovanja, položaja in nalog pooblaščenih oseb za varstvo podatkov izdal tudi priporočila, ki so na voljo na povezavi:

 

 

 

Lep pozdrav,

 

Mojca Prelesnik, univ.dipl.prav.,                                                                                                  

informacijska pooblaščenka

 

 

Pripravil:                                                                                                                              

mag. Andrej Tomšič,
namestnik informacijske pooblaščenke