Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Iskalnik po mnenjih GDPR

+ -
Datum: 13.06.2019
Naslov: Nasprotje interesov
Številka: 0712-1/2019/1453
Vsebina: Pooblaščene osebe za varstvo podatkov (»DPO«), Šolstvo
Pravni akt: Mnenje

Informacijski pooblaščenec (v nadaljevanju IP) je po elektronski pošti prejel vašo prošnjo za mnenje glede imenovanja pooblaščene osebe za varstvo podatkov in morebitnega nasprotja interesov. Opisujete, da vam je bila na željo ravnateljice dodeljena vloga pooblaščene osebe za varstvo podatkov. Na šoli ste zaposleni kot učitelj in kot računalničar, ki ima določene administratorske dostope oz. ste velikokrat v položaju, kjer odločate ali soodločate o zbiranju podatkov oseb na šoli. Prav tako vas zanima tudi stopnja izobrazbe, ki je potrebna za tako osebo.

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Uredba), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašimi vprašanji.

 

IP uvodoma pojasnjuje, da je končna presoja glede imenovanja pooblaščene osebe za varstvo podatkov  v domeni slehernega upravljavca oziroma obdelovalca osebnih podatkov in IP po Uredbi v postopku imenovanja te osebe nima nobenih pristojnosti ter se glede tega ne more in ne sme opredeljevati. IP lahko svojo zavezujočo oceno poda le v konkretnem inšpekcijskem postopku. IP pojasnjuje, da Uredba v prvem odstavku člena 37 določa primere, kdaj morata upravljavec in obdelovalec imenovati pooblaščeno osebo za varstvo podatkov. Točka a), ki to obveznost določa za primere, ko obdelavo opravlja javni organ ali telo (z izjemo sodišč, kadar delujejo kot sodni organ), se primarno nanaša na subjekte javnega sektorja. Točki b) in c) pa določata, da je treba imenovati pooblaščeno osebo tudi, kadar temeljne dejavnosti upravljavca ali obdelovalca zajemajo dejanja obdelave, pri katerih je treba zaradi njihove narave, obsega in/ali namenov posameznike, na katere se nanašajo osebni podatki, redno in sistematično obsežno spremljati ali kadar temeljne dejavnosti upravljavca ali obdelovalca zajemajo obsežno obdelavo posebnih vrst podatkov in osebnih podatkov v zvezi s kazenskimi obsodbami in prekrški.

 

Ključno vodilo pri izvajanju nalog pooblaščene osebe naj bo neodvisnost. Institut pooblaščene osebe zahteva celovitejši pristop in neodvisnega posameznika ali neodvisni kolegijski organ z vodjo (več posameznikov), ki mora(jo) izvrševati naloge in imeti ustrezno pozicijo, da pri tem ne pride do konflikta interesov. To predvsem pomeni, da pooblaščena oseba v organizaciji ne sme imeti položaja, ki bi omogočal opredelitev namenov ali storitev obdelave osebnih podatkov. Splošno gledano lahko nasprotujoči si položaji v organizaciji vključujejo položaje višjega vodstva (kot so izvršni direktor, operativni direktor, finančni direktor, vodja zdravstvene službe, vodja oddelka za trženje, vodja službe za človeške vire ali vodja oddelkov za informacijsko tehnologijo) in tudi druge vloge na nižji ravni organizacijske strukture, če taki položaji ali vloge vodijo v določitev namenov in sredstev obdelave. Vlogo pooblaščene osebe je treba razumeti kot neodvisnega notranjega svetovalca in »revizorja« glede osebnih podatkov, saj mora izvajati preglede, ozaveščati sodelavce in poročati vodstvu o svojih ugotovitvah. Glede imenovanja pooblaščene osebe za varstvo podatkov, ki izhaja iz Uredbe, so evropski nadzorni organi za varstvo osebnih podatkov že pripravili podrobne smernice, ki vam bodo v pomoč pri vaši odločitvi o imenovanju pooblaščene osebe: https://www.ip-rs.si/fileadmin/user_upload/Pdf/Mednarodno_delovanje/wp243rev01_sl.pdf.

 

IP je tudi pripravil Priporočila glede delovanja pooblaščene osebe za varstvo podatkov, kjer boste našli podrobnejša pojasnila in tudi predlog letnega načrta dela pooblaščene osebe za varstvo podatkov (dokument je dostopen na povezavi: https://www.ip-rs.si/fileadmin/user_upload/Pdf/novice/Priporocila_IP_glede_delovanja_DPO_koncno.pdf)

 

Prav tako boste na spletni strani IP našli uporabne napotke o nalogah in poklicnih odlikah pooblaščene osebe za varstvo podatkov: https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/kljucna-podrocja-uredbe/pooblascena-oseba-za-varstvo-podatkov/, pri čemer v Uredbi potrebna raven strokovnega znanja in tudi stopnja izobrazbe ni izrecno opredeljena, vendar mora biti sorazmerna z občutljivostjo, zapletenostjo in količino podatkov, ki jih organizacija obdeluje. Prihajajoči Zakon o varstvu osebnih podatkov ZVOP-2, ki pa je še v pripravi, zato končno besedilo ni znano, bo verjetno predpisal določene zahteve glede stopnje strokovne usposobljenosti in zahtevanih delovnih izkušenj.

 

Ob zaključku IP poudarja, da je odločitev in izbira o imenovanju pooblaščene osebe za varstvo podatkov v celoti na vaši strani, saj IP izven postopka inšpekcijskega nadzora konkretnih obdelav osebnih podatkov ne more presojati.

 

 

V upanju, da ste dobili odgovor na svoje vprašanje, vas lepo pozdravljamo.                                              

 

 

                                                                                                   Mojca Prelesnik, univ.dipl.prav.,                                                 

                                                                                                   informacijska pooblaščenka

 

Pripravila:                                                                                                                              

Jasmina Mešić,
svetovalka pooblaščenca za preventivo