Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Iskalnik po mnenjih GDPR

+ -
Datum: 27.09.2019
Naslov: Preverjanje obdelav osebnih podatkov
Številka: 0712-1/2019/2205
Vsebina: Inšpekcijski postopki, Pooblaščene osebe za varstvo podatkov (»DPO«)
Pravni akt: Mnenje

Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaše zaprosilo za mnenje glede preverjanja obdelav osebnih podatkov.

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba o varstvu podatkov), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju: ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju: ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.

 

IP uvodoma pojasnjuje, da je v skladu z 2. členom ZInfP med drugim pristojen tudi za inšpekcijski nadzor nad izvajanjem zakona in drugih predpisov, ki urejajo varstvo ali obdelavo osebnih podatkov oziroma iznos osebnih podatkov iz Republike Slovenije, ter opravljanje drugih nalog, ki jih določajo ti predpisi. Inšpekcijski nadzor IP izvaja po relevantnih določbah Splošne uredbe o varstvu podatkov, ZVOP-1 in subsidiarno na podlagi določb Zakona o inšpekcijskem nadzoru ter Zakona o splošnem upravnem postopku. V letu 2018 je IP zaradi suma kršitev določb Splošne uredbe o varstvu podatkov in ZVOP-1 vodil 1029 inšpekcijskih zadev.

 

Več o samem inšpekcijskem nadzoru si lahko preberete na spletni strani IP:

https://www.ip-rs.si/varstvo-osebnih-podatkov/inspekcijski-nadzor/

 

Ob tem IP pojasnjuje, da ni pristojen za izvajanje nadzora nad potekom kadrovskih postopkov. IP pa potrjuje dejstvo, da so v okviru izvajanja inšpekcijskih postopkov s področja varstva osebnih podatkov predmet nadzora tudi obdelave osebnih podatkov, ki se nahajajo v kadrovskih mapah in drugi dokumentaciji s področja delovnega prava.

 

IP v zvezi z vprašanji iz vašega zaprosila nadalje pojasnjuje, da je predviden znesek upravnih glob, ki ga Splošna uredba o varstvu podatkov  lahko naloži upravljavcu ali obdelovalcu, določen v četrtem oziroma petem odstavku 83. člena in znaša (kot navajate v vašem zaprosilu) do 10 oziroma 20 milijonov EUR ali v primeru družbe do 2- oziroma 4% svetovnega letnega prometa v preteklem proračunskem letu. Znesek globe, ki se lahko naloži upravljavcu ali obdelovalcu, je torej omejen navzgor (do 10 oziroma 20 milijonov EUR), ne pa navzdol.

 

IP pa ob tem pojasnjuje, da Splošna uredba o varstvu podatkov v 83. členu določa tudi splošne pogoje za naložitev upravnih glob. V prvem odstavku tako splošno določa, da morajo biti upravne globe, naložene na podlagi tega člena, v vsakem posameznem primeru učinkovite, sorazmerne in odvračilne. Pri odločitvi o naložitvi upravne globe in njeni višini se ustrezno upoštevajo številni dejavniki, ki so določeni v drugem odstavku, in sicer je treba ustrezno upoštevati naravo, težo in trajanje kršitve, namernost kršitve, sprejete ukrepe s strani upravljavca ali obdelovalca za ublažitev utrpljene škode, stopnjo odgovornosti upravljavca ali obdelovalca ali morebitne njune pomembne predhodne kršitve, način, kako se je s kršitvijo seznanil nadzorni organ, skladnost z ukrepi, odrejenimi zoper upravljavca ali obdelovalca, zavezanost h kodeksom ravnanja ali odobrenim mehanizmom potrjevanja in morebitne druge oteževalne ali olajševalne dejavnike.

 

Splošna uredba o varstvu podatkov torej navaja zgornjo mejo in merila za določanje s tem povezanih upravnih glob. Pristojni nadzorni organ mora tako v vsakem posameznem primeru pri določitvi višine globe upoštevati vse zadevne okoliščine v določeni situaciji, zlasti pa naravo, težo in trajanje kršitve, njene posledice in sprejete ukrepe za zagotavljanje skladnosti z obveznostmi iz Splošne uredbe o varstvu podatkov ter za preprečitev ali ublažitev posledic kršitve.

 

Glede vašega vprašanja v zvezi z osebo, ki je v podjetju odgovorna za obdelave osebnih podatkov, IP pojasnjuje, da Splošna uredba o varstvu podatkov v prvem odstavku 37. člena določa, primere, kdaj morata upravljavec in obdelovalec imenovati pooblaščeno osebo za varstvo podatkov. Točka a) to obveznost določa za primere, kadar obdelavo opravlja javni organ ali telo (z izjemo sodišč, kadar delujejo kot sodni organ), torej se primarno nanaša na subjekte javnega sektorja. Točki b) in c) pa določata, da je treba imenovati pooblaščeno osebo tudi, kadar temeljne dejavnosti upravljavca ali obdelovalca zajemajo dejanja obdelave, pri katerih je treba zaradi njihove narave, obsega in/ali namenov posameznike, na katere se nanašajo osebni podatki, redno in sistematično obsežno spremljati ali kadar temeljne dejavnosti upravljavca ali obdelovalca zajemajo obsežno obdelavo posebnih vrst podatkov in osebnih podatkov v zvezi s kazenskimi obsodbami in prekrški. Med posebne vrste podatkov spadajo osebni podatki, ki razkrivajo rasno ali etnično poreklo, politično mnenje, versko ali filozofsko prepričanje ali članstvo v sindikatu, genetski podatki, biometrični podatki, podatki v zvezi z zdravjem in podatki v zvezi s posameznikovim spolnim življenjem ali spolno usmerjenostjo.

 

Ostali upravljavci in obdelovalci niso zavezani k imenovanju pooblaščene osebe za varstvo podatkov, lahko pa jo imenujejo, če želijo.

 

Če upravljavec ali obdelovalec kršita določbe Splošne uredbe o varstvu podatkov, ki se nanašajo na pooblaščeno osebo za varstvo podatkov, se jima prav tako lahko izreče globa v skladu s četrtim odstavkom 83. člena Splošne uredbe o varstvu podatkov.

 

Na spletni strani IP lahko najdete uporabne informacije, ki se nanašajo na pooblaščene osebe za varstvo podatkov:

https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/kljucna-podrocja-uredbe/pooblascena-oseba-za-varstvo-podatkov/.

 

 

S spoštovanjem.

 

Pripravil:

Matej Sironič,                                                  

Svetovalec pooblaščenca

za varstvo osebnih podatkov

 

 

Mojca Prelesnik, univ. dipl. prav.,

informacijska pooblaščenka