Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Iskalnik po mnenjih GDPR

+ -
Datum: 27.05.2019
Naslov: DPO
Številka: 0712-1/2019/1216
Vsebina: Pooblaščene osebe za varstvo podatkov (»DPO«)
Pravni akt: Mnenje

Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaše zaprosilo za mnenje glede imenovanja pooblaščene osebe za varstvo podatkov (ang. DPO).

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba o varstvu podatkov), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju: ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju: ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.

 

IP pojasnjuje, da je treba pri imenovanju pooblaščene osebe vsekakor ravnati skrbno in previdno ter upoštevati vsa dejanja obdelave osebnih podatkov, ki jih izvajate, ter vrsto in obseg podatkov, ki se obdelujejo. Pooblaščena oseba za varstvo podatkov se imenuje na podlagi poklicnih odlik in zlasti strokovnega znanja o zakonodaji in praksi na področju varstva podatkov ter zmožnosti za izpolnjevanje nalog iz 39. člena Splošne uredbe o varstvu podatkov. Eno izmed vodil pri delu pooblaščene osebe je neodvisnost, saj pooblaščena oseba med drugim ne sme biti v konfliktu interesov. To pomeni, da nalog pooblaščene osebe ne more opravljati nekdo, ki odloča o sredstvih in namenih obdelave osebnih podatkov, sicer bi pooblaščena oseba nadzirala samo sebe. Pooblaščena oseba zato ne more biti direktor, prokurist, član uprave, vodja službe za upravljanje s človeškimi viri, vodja oddelka za trženje, vodja IT oddelka ali drugi zaposleni, če odloča o namenih in sredstvih obdelave osebnih podatkov. Vlogo pooblaščene osebe je treba razumeti kot neodvisnega notranjega svetovalca in »revizorja« glede osebnih podatkov, saj mora izvajati preglede, ozaveščati sodelavce in poročati vodstvu o svojih ugotovitvah.

 

IP nadalje pojasnjuje, da potrebna raven strokovnega znanja pooblaščene osebe za varstvo podatkov v Splošni uredbi o varstvu podatkov ni izrecno predpisana (bolj natančno ureditev bo verjetno določil novi Zakon o varstvu osebnih podatkov – ZVOP-2, ko bo sprejet), vsekakor pa mora biti v sorazmerju z občutljivostjo, zapletenostjo in količino podatkov, ki jih vaša stranka obdeluje. Ob tem bi morala pooblaščena oseba dobro poznati in razumeti dejanja obdelave, ki se izvajajo, ter potrebe upravljavca v zvezi z varstvom podatkov.

 

Omenjene kriterije je treba obravnavati glede na značilnosti in organizacijsko strukturo vsake posamezne organizacije, zato vam IP ne more dati enoznačnega odgovora glede (ne)obstoja konflikta interesov. IP svetuje, da skupaj z vašo stranko temeljito preučite, ali so osebe, ki jih navajate v vašem zaprosilu, kakorkoli vključene v določitev sredstev in namenov obdelave. Končna presoja glede imenovanja pooblaščene osebe za varstvo podatkov je v domeni slehernega upravljavca oziroma obdelovalca osebnih podatkov in IP po Splošni uredbi o varstvu podatkov v postopku imenovanja te osebe nima nobenih pristojnosti ter se glede tega ne more in ne sme opredeljevati. IP lahko svojo zavezujočo oceno poda le v konkretnem inšpekcijskem postopku.

 

Glede imenovanja pooblaščene osebe za varstvo osebnih podatkov so evropski nadzorni organi za varstvo osebnih podatkov že pripravili podrobne smernice, ki vam bodo v pomoč pri vaši odločitvi o imenovanju pooblaščene osebe:

https://www.ip-rs.si/fileadmin/user_upload/Pdf/Mednarodno_delovanje/wp243rev01_sl.pdf.

Na spletni strani IP lahko prav tako najdete uporabne napotke glede pooblaščene osebe za varstvo podatkov:

https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/kljucna-podrocja-uredbe/pooblascena-oseba-za-varstvo-podatkov/.

 

IP sklepno poudarja, da lahko podaja nezavezujoča mnenja in pojasnila, ne more pa izven konkretnih inšpekcijskih postopkov posameznim poslovnim subjektom svetovati, kako organizirati konkretne poslovne procese in v tem okviru obdelovati osebne podatke, niti ne more vnaprej potrjevati posameznih rešitev z vidika skladnosti s Splošno uredbo o varstvu podatkov.

 

 

S spoštovanjem.

 

 

Pripravil:

Matej Sironič,                                                  

Svetovalec pooblaščenca

za varstvo osebnih podatkov

 

 

Mojca Prelesnik, univ. dipl. prav.,

Informacijska pooblaščenka