Pogoji za določitev pooblaščene osebe za varstvo osebnih podatkov in njene naloge

24. 06. 2024

Objavljeno: Portal FinD-INFO, 10. 5. 2024, www.findinfo.si, Avtor: mag. Boštjan J. Turk

Splošna Uredba o varstvu osebnih podatkov (v nadaljevanju: Uredba) je pomenila pomembno prelomnico glede varstva osebnih podatkov. Naši osebni podatki so namreč od uveljavitve Uredbe dalje precej bolj zaščiteni kot doslej.

Upravljalcem in obdelovalcem osebnih podatkov Uredba nalaga številne dolžnosti, kot so obveščanje glede obdelave osebnih podatkov, pridobitev našega (informiranega) soglasja glede obdelave osebnih podatkov ter dolžnost ravnanja v skladu z našimi zahtevami, če želimo, da se naši podatki prenehajo obdelovati, kot tudi, če želimo, da se začnejo uporabljati le v omejenem obsegu, če želimo, da se popravijo, pozabijo, izbrišejo, ipd.

Da bi lahko vse te pravice, ki smo jih pridobili na osnovi Uredbe, tudi ustrezno zaščitili, je ta vzpostavila učinkovit sistem (institucionalnega) varstva, ki so ga nato države članice EU še dodatno razdelale preko svojih nacionalnih zakonodaj.

Pomemben del tega varstva je pooblaščena oseba za varstvo osebnih podatkov (v nadaljevanju: pooblaščena oseba). Gre za osebo, ki upravljalcu ali obdelovalcu na neodvisen način svetuje pri zagotavljanju skladnosti obdelave z Uredbo in Zakonom o varstvu osebnih podatkov (v nadaljevanju: ZVOP-2)[1].    

V skladu z Uredbo[2] sta upravljalec in obdelovalec dolžna imenovati pooblaščeno osebo za varstvo osebnih podatkov vedno, kadar:

1.) obdelavo opravlja javni organ, razen sodišč, kadar ta delujejo kot sodni organ,

2.) kadar temeljne dejavnosti upravljalca ali obdelovalca zajemajo dejanja obdelave, pri katerih je treba zaradi njihove narave, obsega in/ali namenov posameznike, na katere se nanašajo osebni podatki, redno in sistematično obsežno spremljati, ali

3.) kadar temeljne dejavnosti upravljalca ali obdelovalca zajemajo obsežno obdelavo posebnih vrst podatkov[3] in osebnih podatkov  v zvezi s kazenskimi obsodbami in prekrški.

ZVOP-2 je poleg tega določil še obveznost imenovanja pooblaščene osebe za celoten javni sektor, ter za vse upravljalce in obdelovalce, ki izvajajo obdelave osebnih podatkov, določenih v zakonih, ki urejajo področja upravnih notranjih zadev, finančne uprave, državljanstva, Slovenske obveščevalno-varnostne agencije, obrambe, zdravstvenega varstva, obveznega zdravstvenega zavarovanja, uveljavljanja pravic iz javnih sredstev ter kazenskih in prekrškovnih evidenc, ali ki obdelujejo osebne podatke več kot 100.000 posameznikov na podlagi zakona, za upravljalce in obdelovalce, ki kot svojo temeljno dejavnost izvajajo obsežne raziskave posebnih vrst podatkov in za upravljalce in obdelovalce, ki obdelujejo posebne vrste osebnih podatkov več kot 10.000 posameznikov.

Kdo konkretno so zavezanci?

Kar zadeva javni sektor je njegovo definicijo določil ZVOP-2, po kateri so vanj vključeni državni organi, samoupravne lokalne skupnosti, nosilci javnih pooblastil v delu, kjer izvršujejo javna pooblastila, javne agencije, javni skladi, javni zavodi, univerze, samostojni visokošolski zavodi, zasebni vrtci in zasebne osnovne ter srednje šole, ki izvajajo javno veljavne vzgojno-izobraževalne programe, samoupravne narodne skupnosti, Svet romske skupnosti Republike Slovenije in druge osebe javnega prava, ustanovljene z zakonom.

Kar zadeva podjetja, katerih temeljne dejavnosti zajemajo dejanja obdelave, pri katerih je treba zaradi njihove narave, obsega in/ali namenov posameznike redno in sistematično obsežno spremljati, velja, da sem sodijo denimo banke, zavarovalnice, operaterji elektronskih komunikacij, trgovci s klubi zvestobe, ipd.

Prav tako bi sem sodile kadrovske agencije, številne spletne trgovine in IT podjetja, ki vzdržujejo rešitve za obdelavo osebnih podatkov posameznikov, npr. sistemi za upravljanje podatkov kupcev in njihovo profiliranje (upravljanje odnosov s strankami), zdravstveni IT sistemi. Proizvodna podjetja in druga podjetja, katerih temeljne storitve niso namenjene posameznikom, temveč drugim podjetjem in ki ne vključujejo obsežne obdelave osebnih podatkov, pa niso dolžna imenovati pooblaščene osebe.

Med podjetja in institucije, ki obdelujejo posebne vrste podatkov sodijo tista, ki izvajajo obsežno obdelavo zdravstvenih in drugih občutljivih podatkov, denimo bolnišnice in klinike, zdravstveni in socialno-varstveni zavodi, ponudniki zdravstvenih informacijskih sistemov in storitev. 

Posamezen zasebni zdravnik, zobozdravnik ali odvetnik ni dolžan imenovati pooblaščene osebe.

Pogoji za določitev pooblaščene osebe

Za pooblaščeno osebo upravljavca ali obdelovalca in njenega namestnika je lahko določen posameznik, ki izpolnjuje naslednje pogoje:

1. je poslovno sposoben,
2. ima znanja oziroma praktične izkušnje s področja varstva osebnih podatkov in
3. ni bil pravnomočno obsojen na kazen zapora najmanj šestih mesecev oziroma ni bil pravnomočno obsojen za kaznivo dejanje glede zlorabe osebnih podatkov.

Pooblaščena oseba državnega organa mora poleg zgornjih pogojev izpolnjevati tudi pogoj, da je zaposlena v javnem sektorju.

Upravljavci ali obdelovalci iz javnega sektorja, razen državnih organov, lahko določijo drugo pooblaščeno osebo, če je ni mogoče določiti znotraj osebe javnega sektorja. V tem primeru lahko pooblaščeno osebo določijo skupaj z drugimi upravljavci ali obdelovalci javnega sektorja, lahko pa s pogodbo v pisni obliki določijo tudi posameznika iz zasebnega sektorja ali pravno osebo iz zasebnega sektorja.

Upravljavci ali obdelovalci iz zasebnega sektorja za pooblaščeno osebo določijo osebo, ki je zaposlena pri njih, ali pa s pogodbo v pisni obliki določijo drugega posameznika ali pravno osebo. 

Pomembno je poudariti, da za pooblaščeno osebo ali njenega namestnika ne sme biti določena oseba, ki je v nasprotju interesov z upravljavcem in obdelovalcem ali je njeno delo pooblaščene osebe v nasprotju z njenimi drugimi nalogami ali s položajem pri upravljavcu in obdelovalcu.

V javnem sektorju se šteje, da je določena oseba v nasprotju interesov, če je določena kot upravljavec informacijskega sistema, skrbnik informacijskega sistema ali vodja informacijske varnosti, ima položaj predstojnika v osebi javnega sektorja, če je član organov upravljanja ali nadzora pri upravljavcu ali obdelovalcu, če njene druge naloge vključujejo sistemsko odločanje o obdelavi osebnih podatkov pri upravljavcu ali obdelovalcu ali če zastopa upravljavca oziroma obdelovalca v sodnih ali arbitražnih postopkih v zvezi z vprašanji varstva osebnih podatkov.

Če pooblaščena oseba izve za okoliščine, ki predstavljajo ali bi lahko predstavljale nasprotje interesov, mora o tem takoj pisno obvestiti upravljavca oziroma obdelovalca. Upravljavec oziroma obdelovalec v tem primeru odpravi nasprotje ali pooblaščeno osebo razreši opravljanja določene naloge kot pooblaščene osebe ali s položaja pri upravljavcu ali obdelovalcu.

Zgornja pravila se sicer smiselno uporabljajo tudi za zasebni sektor.

Skupna določitev pooblaščene osebe

Več upravljavcev oziroma obdelovalcev lahko ob upoštevanju svoje organizacijske strukture, velikosti ali raznovrstnosti obdelav osebnih podatkov samostojno določi skupno pooblaščeno osebo in njenega namestnika.

Tako lahko denimo odvetniki in odvetniške družbe v dogovoru z Odvetniško zbornico Slovenije določijo skupno pooblaščeno osebo. Tudi notarji lahko v dogovoru z Notarsko zbornico Slovenije določijo skupno pooblaščeno osebo.

Kar zadeva sindikate, velja, da lahko reprezentativna zveza ali konfederacija sindikatov določi skupno pooblaščeno osebo in njenega namestnika glede obdelave osebnih podatkov za sindikate, ki so njeni člani in ki k takemu imenovanju dajo pisno soglasje.

Sindikat, ki je reprezentativen v panogi, dejavnosti ali poklicu, lahko za svoje organizacijske oblike delovanja pri posameznih delodajalcih določi skupno pooblaščeno osebo in njenega namestnika glede obdelave osebnih podatkov članov sindikata.

Naloge pooblaščene osebe

Bistvena značilnost pooblaščene osebe je njena neodvisnost. Tako pooblaščena oseba na neodvisen način opravlja naloge iz Uredbe GDPR. To pomeni predvsem to, da upravljalca ali obdelovalca in zaposlene, ki izvajajo obdelavo obvešča in jima svetuje glede njunih obveznosti, sodeluje z nadzornim organom in deluje kot kontaktna točka v zvezi z obdelavo, vključno s predhodnim posvetovanjem.[4]

Še zlasti pa svetuje pri ocenjevanju tveganj glede varnosti osebnih podatkov v zvezi z vsemi obdelavami osebnih podatkov v zbirkah, ki jih izvaja upravljavec oziroma obdelovalec, pri katerem je določena.

Dolžnost varovanja osebnih podatkov

Pooblaščena oseba in namestnik sta pri opravljanju dela in po njegovem zaključku zavezana k varstvu tajnosti obdelovanih osebnih podatkov. Izrecno je določeno, da lahko pridobljene informacije uporabljata izključno za opravljanje svojih profesionalnih nalog.

Sklep

Razmah interneta, družbenih omrežij in posledično vedno večja obdelava osebnih podatkov so povzročili potrebo po tem, da se slednje še dodatno zaščiti. Tako Uredba GDPR kot tudi ZVOP-2 sta upravljalcem in obdelovalcem osebnih podatkov naložila številne obveznosti glede obveščanja in selektivnega razpolaganja z osebnimi podatki.

Ena izmed njih je tudi imenovanje strokovnjaka, ki je pooblaščen za varstvo osebnih podatkov (imenovanje pooblaščene osebe). Tak strokovnjak mora biti obvezno imenovan v okoljih, kjer prihaja do masovne in široke obdelave osebnih podatkov, oziroma v tistih okoljih, kjer se obdelujejo tako imenovani posebni podatki, kot so to denimo zdravstvene kartoteke.

Tak pooblaščenec nato upravljalcem in obdelovalcem svetuje, kako osebne podatke uporabljati pravilno oziroma zakonito, pri čemer je ključno, da je pri opravljanju svojega dela neodvisen in, da pri njem ne obstaja konflikt interesov.

• [1] Zakon o varstvu osebnih podatkov - ZVOP-2; Uradni list RS, št. 163/22
• [2] Glej 37/1 člen Uredbe GDPR
• [3] V skladu z 9. členom Uredbe GDPR
• [4] Še natančneje o tem glej 39. člen Uredbe GDPR

***

Članki izražajo stališča avtorjev, in ne nujno organizacij, v katerih so zaposleni, ali uredništva portala FinD-INFO.