Informacijski pooblaščenec Republika Slovenija
SLO | ENG

Iskalnik po odločbah in mnenjih GDPR

+ -
Datum: 07.06.2019
Naslov: Imenovanje DPO, računovodski servis
Številka: 0712-1/2019/1423
Vsebina: Pooblaščene osebe za varstvo podatkov (»DPO«)
Pravni akt: Mnenje

Informacijski pooblaščenec (v nadaljevanju IP) je po elektronski pošti prejel vašo prošnjo za mnenje glede imenovanja pooblaščene osebe za varstvo podatkov v družbah, ki opravljajo dejavnost računovodstva in obračuna plač. Sprašujete, ali se računovodski servis šteje kot »podjetje, katerih temeljne dejavnosti zajemajo dejanja obdelave, pri katerih je treba zaradi njihove narave, obsega in/ali namenov posameznike redno in sistematično obsežno spremljati«, kot to določa člen 37 Uredbe.

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Uredba), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašimi vprašanji.

 

IP uvodoma pojasnjuje, da je končna presoja glede imenovanja pooblaščene osebe za varstvo podatkov  v domeni slehernega upravljavca oziroma obdelovalca osebnih podatkov in IP po Uredbi v postopku imenovanja te osebe nima nobenih pristojnosti ter se glede tega ne more in ne sme opredeljevati. IP lahko svojo zavezujočo oceno poda le v konkretnem inšpekcijskem postopku.

 

Skladno s členom 37 Uredbe mora upravljavec ali obdelovalec osebnih podatkov imenovati pooblaščeno osebo za varstvo osebnih podatkov vedno, kadar:

  1. obdelavo opravlja javni organ ali telo, razen sodišč, kadar delujejo kot sodni organ;
  2. temeljne dejavnosti upravljavca ali obdelovalca zajemajo dejanja obdelave, pri katerih je treba zaradi njihove narave, obsega in/ali namenov posameznike, na katere se nanašajo osebni podatki redno in sistematično obsežno spremljati;
  3. temeljne dejavnosti upravljavca ali obdelovalca zajemajo obsežno obdelavo posebnih vrst podatkov v skladu z 9. členom Uredba in osebnih podatkov v zvezi s kazenskimi obsodbami in prekrški iz člena 10 Uredbe.

Če ne sodite v katero od navedenih kategorij, potem vam pooblaščene osebe za varstvo podatkov ni treba imenovati. Glede imenovanja pooblaščene osebe za varstvo podatkov so evropski nadzorni organi za varstvo osebnih podatkov že pripravili podrobne smernice, ki vam bodo v pomoč pri vaši odločitvi o imenovanju pooblaščene osebe: https://www.ip-rs.si/fileadmin/user_upload/Pdf/Mednarodno_delovanje/wp243rev01_sl.pdf.

Navedene smernice med drugim določajo, da se za temeljne dejavnosti lahko štejejo ključne dejavnosti, ki so potrebne za doseganje ciljev upravljavca ali obdelovalca. Prav tako navajajo, da razlaga temeljnih dejavnosti ne bi smela izključevati dejavnosti, pri katerih je obdelava podatkov neločljiv del dejavnosti upravljavca ali obdelovalca. Nadalje IP pojasnjuje, da Uredba ne opredeljuje, kaj pomeni obsežna obdelava, niti ne določa nikakršnih številčnih kriterijev, niti v zvezi s količino obdelanih podatkov niti v zvezi s številom zadevnih posameznikov. Navedene smernice pa priporočajo, naj se pri določanju, ali se obdelava izvaja v velikem obsegu, v vsakem primeru upoštevajo zlasti naslednji dejavniki:

  • število zadevnih posameznikov, na katere se nanašajo osebni podatki – bodisi kot določeno število ali delež ustrezne populacije;
  • količina podatkov in/ali obseg različnih podatkovnih postavk, ki se obdelujejo;
  • trajanje ali stalnost dejavnosti obdelave podatkov in
  • geografska razsežnost dejavnosti obdelave.

 

Uredba ne opredeljuje, kaj pomeni redno in sistematično spremljanje posameznikov, na katere se nanašajo osebni podatki, navaja pa, da pojem spremljanja ni omejen zgolj na spletno okolje. Iz navedenih smernic izhaja, da izraz »redno« pomeni eno ali več od naslednjega:

  • ki poteka ali nastopa v določenih intervalih in določenem obdobju;
  • ki se izvaja večkrat ali se ponavlja ob določenem času;
  • ki se izvaja stalno ali periodično.

Izraz »sistematično« pomeni eno ali več od naslednjega:

  • ki se izvaja v skladu s sistemom;
  • ki je vnaprej določeno, organizirano ali metodično;
  • ki poteka kot del splošnega načrta zbiranja podatkov;
  • ki se izvaja kot del strategije.

 

Ob zaključku IP poudarja, da je presoja, v kolikšni meri ste glede na dejavnost in obseg osebnih podatkov, ki jih obdelujete, zavezani k imenovanju pooblaščene osebe za varstvo podatkov, v celoti na vaši strani, saj IP izven postopka inšpekcijskega nadzora konkretnih obdelav osebnih podatkov ne more presojati.

 

 

 

V upanju, da ste dobili odgovor na svoje vprašanje, vas lepo pozdravljamo.                                              

 

 

                                                                                                   Mojca Prelesnik, univ.dipl.prav.,                                                 

                                                                                                   informacijska pooblaščenka

 

Pripravila:                                                                                                                              

Jasmina Mešić,
svetovalka pooblaščenca za preventivo