Informacijski pooblaščenec Republika Slovenija
SLO | ENG

Iskalnik po odločbah in mnenjih GDPR

+ -
Datum: 26.06.2019
Naslov: Naloge pooblaščene osebe za varstvo OP
Številka: 0712-1/2019/1110
Vsebina: Pooblaščene osebe za varstvo podatkov (»DPO«)
Pravni akt: Mnenje

Obrnili ste se na Informacijskega pooblaščenca RS (v nadaljevanju IP) s svojim zaprosilom za mnenje, glede nalog in vloge pooblaščene osebe za varstvo osebnih podatkov (ang. DPO). Navajate, da kot pooblaščena oseba v UKC Ljubljana dnevno prejemate zahtevke po posredovanju zdravstvene dokumentacije ali drugih osebnih podatkov s strani posameznikov, sodišč, policije, zavarovalnic, odvetniških pisarn. Pojasnjujete, da UKCL želi/zahteva, da kot pooblaščena oseba vso dokumentacijo pregledate, ugotovite, če je v popolna, če so upravičeni do posedovanja podatkov in potem tudi spišete odgovore/pozive za dopolnitve, zavrnitve,… ter komunicirate z vsemi temi kategorijami. Menite, da to predstavlja konflikt interesov. Navajate tudi Priporočila Informacijskega pooblaščenca glede delovanja pooblaščene osebe za varstvo osebnih podatkov  z dne 9. 11. 2018, kjer iz »Dobrih praks glede izvajanja nalog DPO« v točki 1 izhaja, da pooblaščena oseba zaradi preprečevanja konflikta interesov ne bi smel odločati o pravicah posameznika, poleg tega pa ugotavljate, da so te aktivnosti po obsegu in potrebnem času relativno velike. Prosite za mnenje in usmeritev glede delovanja v takšnih primerih.

 

Dodatno prosite za mnenje glede tega ali je pooblaščena oseba dolžna vsebinsko pregledati vse pogodbe/sporazume po Splošni uredbi in ostalo dokumentacijo povezano z izvedbo kliničnih študij (informirane privolitve).  Za pomoč pri presojanju usklajenosti pogodb in privolitev ste namreč na vašem intranetu oblikovali nekakšen kratek kompendi oz. »ček listo«. Te informacije so dosegljive vsem zaposlenim, pri čemer ne vidite spornosti v tem, če se strokovne službe, ki sicer procesirajo navedeno dokumentacijo, obrnejo na vas v primeru dilem. Menite, da je prvič, vloga pooblaščene osebe predvsem svetovalne narave, zato gre v tem primeru po vašem mnenju verjetno za konflikt interesov. Drugič, če bi pooblaščena oseba smela opravljati navedene aktivnosti, je obseg vseh pogodb in ostale dokumentacije velikanski in zato praktično onemogoča izvedbo osnovnih nalog pooblaščene osebe.   

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba o varstvu podatkov), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašimi vprašanji.

 

IP pojasnjuje, da člen 38 (6) Splošne uredbe določa, da pooblaščena oseba za varstvo podatkov lahko opravlja druge naloge in dolžnosti. Upravljavec ali obdelovalec zagotovi, da zaradi vsakršnih takih nalog in dolžnosti ne pride do nasprotja interesov. Po mnenju IP je odločanje o pravicah posameznikov s področja varstva osebnih podatkov v nasprotju z interesi, ki jih zagotavlja institut pooblaščene osebe – pooblaščena oseba torej ne sme odločati o pravicah posameznikov. Ob tem IP poudarja, da vse aktivnosti v zvezi z obravnavo zahtev za posredovanje podatkov ne predstavljajo nujno odločanja o pravicah posameznikov. Procesiranje vlog v smislu seznanitve z zahtevki in vodenje postopka (izdaja pozivov za dopolnitve, itd.) ne predstavlja nujno tovrstnih aktivnosti, ki bi lahko predstavljale nasprotje interesov z nalogami pooblaščene osebe.

 

Vsebinski pregled »vseh GDPR pogodb/sporazumov in ostale dokumentacije povezane z izvedbo kliničnih študij (informirane privolitve)«, po mnenju IP samo po sebi ni v nasprotju z nalogami pooblaščene osebe po Splošni uredbi, v kolikor gre za seznanitev z dokumentacijo in podajo morebitnih pripomb oziroma predlogov. Vloga pooblaščene osebe je kot sami ugotavljate, svetovalne narave, pri čemer pa pooblaščena oseba deluje tudi kot neke vrste »notranji revizor«. Iz člena 39 (1)(b) Splošne uredbe izhaja, da ima pooblaščena oseba nalogo spremljati skladnost s to uredbo, drugimi določbami prava Unije ali prava države članice o varstvu podatkov in politikami upravljavca ali obdelovalca v zvezi z varstvom osebnih podatkov, vključno z dodeljevanjem nalog, ozaveščanjem in usposabljanjem osebja, vključenega v dejanja obdelave, ter s tem povezanimi revizijami. Pregledovanje pogodb in zbranih privolitev nedvomno sodi v okvir »notranjih revizij«, pri čemer pa je lahko povsem ustrezno, če pooblaščena oseba zaradi večje učinkovitosti svojega dela, pripravi orodja, kot so vnaprej pripravljeni seznami za preverjanje izpolnjevanja vseh zahtev po Splošni uredbi, za tiste osebe, ki so neposredno vključene v pripravo dokumentacije, zbiranje privolitev, itd. Pomembno pa je da pooblaščena oseba ne more biti odgovorna za skladnost dokumentacije z zakonodajo s področja varstva osebnih podatkov.  

 

Ob zgoraj navedenem, pa je odgovornost upravljavca ali obdelovalca, da zagotovi pooblaščeni osebi ustrezna sredstva za opravljanje njegovih nalog. Splošna uredba v členu 38 (2) izrecno nalaga, da upravljavec in obdelovalec pooblaščeni osebi za varstvo podatkov pomagata pri opravljanju nalog iz člena 39, tako da zagotovita sredstva, potrebna za opravljanje teh nalog, in dostop do osebnih podatkov in dejanj obdelave, ter ohranjanje njenega strokovnega znanja. Iz navedenega člena izhaja, da mora imeti pooblaščena oseba na voljo zadostna sredstva za izvajanje svojih nalog, kar pomeni tako finančna, kot kadrovska in druga sredstva, ki bodo pooblaščeni osebi omogočala izvajanje njegovih nalog. Če teh sredstev organizacija pooblaščeni osebi ne zagotavlja, predstavlja to samostojno kršitev Splošne uredbe. IP ob tem poudarja, da večji upravljavci osebnih podatkov, ki na dnevni ravni izvajajo velik obseg obdelav osebnih podatkov, za izvajanje nalog pooblaščene osebe zaposlujejo oziroma najemajo celotne ekipe strokovno usposobljenih oseb, kjer lahko ena oseba opravlja vlogo pooblaščene osebe, ostale – njemu podrejene – pa izvajajo posamezne naloge po njegovih navodilih. Zagotavljanje ustreznih kadrovskih in finančnih zmogljivosti je ključno za učinkovito izvajanje nalog pooblaščene osebe po Splošni uredbi, odgovornost za to pa nosi upravljavec oziroma obdelovalec. 

 

Upamo, da smo vam s svojimi pojasnili uspeli pomagati.

 

Lep pozdrav,

 

 

Pripravil:

Anže Novak, univ. dipl. prav.

Svetovalec Pooblaščenca za preventivo                       

 

 

Mojca Prelesnik

informacijska pooblaščenka