Kateri so pogoji za imenovanje pooblaščene osebe za varstvo podatkov?

Objavljeno: 08.07.2020

Pogoje za imenovanje pooblaščene osebe za varstvo podatkov določajo drugi do sedmi odstavek 37. člena GDPR. Pri tem je seveda najpomembnejši peti odstavek, saj ta določa lastnosti osebe, ki je pooblaščena oseba za varstvo podatkov. Te so:
– poklicne odlike na področju varstva osebnih podatkov,
– zlasti strokovno znanje o zakonodaji in praksi na področju varstva osebnih podatkov, in
– zmožnost za izpolnjevanje nalog po 39. členu GDPR.

Glede na dejstvo, da v Sloveniji, z izjemo dodatne kvalifikacije strokovnjak/-inja za varstvo osebnih podatkov,1 ni formalne izobrazbe, ki bi potrjevala ustreznost usposobljenosti posameznikov za potrebe imenovanja za pooblaščeno osebo za varstvo podatkov, se seveda postavlja veliko vprašanje, kako in kdo naj presoja strokovno znanje teh posameznikov. Pri manjših upravljavcih bo to sicer nekoliko lažje rešljiva težava, saj gre v večini primerov za manjše obdelave osebnih podatkov, pogosto osredotočene na prodajo storitev in izdelkov ter izvajanje neposrednega trženja v manjšem obsegu.
Pri večjih upravljavcih, kjer pogosto prihaja do zahtevnejših nalog za pooblaščeno osebo za varstvo podatkov,2 pa bi morala oseba nedvomno izkazovati bistveno višjo raven tako znanja kot izkušenj na tem področju. Med zahtevnejše obdelave sami uvrščamo vse večje izvajalce zdravstvene dejavnosti, velike upravljavce, kot so denimo državni organi, univerze, organi lokalne samouprave, pa tudi večje gospodarske družbe, ki izvajajo profiliranje, agresivno trženje, sledenje posameznikom ipd. Vsi ti upravljavci bi torej morali za pooblaščeno osebo za varstvo podatkov imenovati osebo, ki lahko izkaže izkušnje na področju varstva osebnih podatkov. Seveda je krog takšnih oseb (torej oseb, ki dejansko lahko formalno izkažejo ustrezne izkušnje pri reševanju zahtevnih vprašanj) precej omejen, zato bodo morali upravljavci ali tvegati z manj usposobljeno pooblaščeno osebo za varstvo podatkov ali pa izkušene strokovnjake pridobiti z delovnopravnimi spodbudami. Glede na naše izkušnje žal različni certifikati iz tujine ne ponudijo dovolj (predvsem praktičnega) znanja za reševanje konkretnih praktičnih primerov, s katerimi se pooblaščene osebe za varstvo podatkov srečujejo na dnevni ravni.

Pri večjih upravljavcih mora pooblaščena oseba za varstvo podatkov poznati vsaj naprednejše osnove informacijske tehnologije, predvsem njeno varnost, standarde varovanja informacij, kot je denimo ISO/IEC 27001/2, pa tudi IT-orodja za različne obdelave osebnih podatkov, osnove baz podatkov in delovanja omrežij. Z razvojem potencialno invazivnih tehnologij z vidika zasebnosti posameznikov, kot so internet stvari (IoT), pametne naprave, umetna inteligenca (AI), pa bo to znanje slej ko prej moralo postati ena od zahtev upravljavcev za imenovanje pooblaščene osebe za varstvo podatkov.

Glede zmožnosti za izvajanje nalog po 39. členu GDPR je treba opozoriti predvsem na osebne odlike in položaj te osebe v organizaciji. Kot navaja EDPB, bi osebne odlike »morale vključevati integriteto in visoko raven poklicne etike; glavna skrb pooblaščene osebe za varstvo podatkov bi morala biti zagotavljanje skladnosti s Splošno uredbo o varstvu podatkov«.

Kontaktne podatke pooblaščene osebe za varstvo podatkov mora upravljavec v skladu s sedmim odstavkom 37. člena GDPR objaviti in jih sporočiti nadzornemu organu.3 Posebej poudarjamo, da GDPR zahteva objavo kontaktnih podatkov in ne imena in priimka – razlika je že v sami izdelavi strukture e-naslova:

–  ime.priimek@imepodjetja.si je osebni podatek posameznika, kar velja za zasebni in javni sektor,

–  dpo@imepodjetja.si je zgolj kontaktni e-naslov.

GDPR res ne določa, da bi morala upravljavec oziroma obdelovalec objaviti tudi ime in priimek ali druge podatke o pooblaščeni osebi za varstvo podatkov, saj določa zgolj objavo njenega kontakta. Zato je treba v skladu z načelom najmanjšega obsega podatkov v vsakem posamičnem primeru oceniti, ali je objava dodatnih podatkov pooblaščene osebe za varstvo podatkov smiselna oziroma potrebna.4 Delodajalec se torej lahko, glede na v času pisanja tega komentarja še veljaven 106. člen ZVOP-1, odloči, da ime in priimek pooblaščene osebe za varstvo podatkov objavi, in zato ne bo v prekršku. Pri zunanji pooblaščeni osebi za varstvo podatkov, to je tisti, ki ni zaposlena pri upravljavcu ali obdelovalcu, pa bi bil ustrezen pravni temelj za objavo imena in priimka lahko privolitev posameznika, ki to funkcijo opravlja, seveda upoštevaje pogoje za podajo veljavne privolitve, vključno z brezpogojno možnostjo njenega preklica. Objava naziva podjetja, ki izvaja storitve pooblaščene osebe za varstvo podatkov, pa seveda ni sporna.

Povezane družbe lahko v skladu z drugim odstavkom 37. člena GDPR (podobno tudi javni organi po tretjem odstavku 37. člena GDPR) imenujejo eno pooblaščeno osebo za varstvo podatkov, pri čemer mora ta biti dosegljiva iz vsake enote. Pri tem je treba opozoriti na mednarodno povezane družbe, kjer zaposleni govorijo različne jezike. Ob upoštevanju 12. člena GDPR5 mora pooblaščena oseba za varstvo podatkov nedvomno pregledovati in podajati svoje strokovno mnenje o informacijah za posameznike in o drugih besedilih. Pri tem lahko pride do težave, če pooblaščena oseba za varstvo podatkov posameznega jezika ne razume – v tem primeru bo svoje delo izjemno težko opravila. Zato je v takšnih primerih priporočljivo razmisliti o namestniku pooblaščene osebe za varstvo podatkov v posameznih državah ali pa celo kar o samostojnih pooblaščenih osebah za varstvo podatkov, ki jih koordinira pooblaščena oseba za varstvo podatkov matičnega podjetja.

Šesti odstavek 37. člena GDPR določa, da je pooblaščena oseba za varstvo podatkov lahko član osebja upravljavca ali pa naloge opravlja na podlagi pogodbe o storitvah. Pri tej določbi je treba opozoriti na nekaj posebnosti. Če je pooblaščena osebe za varstvo podatkov član osebja, ne sme hkrati biti tudi vodstveni organ, saj bi sama s seboj prišla v nasprotje interesov.6 Po drugi strani pa EDPB navaja, da bi organizacija morala zagotoviti, da:7

–  »je pooblaščena oseba za varstvo podatkov povabljena k rednemu udeleževanju na sestankih višjega in srednjega vodstva;

–  se pri sprejemanju odločitev, ki vplivajo na varstvo podatkov, priporoča njena prisotnost«.

To pa seveda pomeni, da mora biti pooblaščena oseba za varstvo podatkov sposobna udeleževati se takšnih sestankov, ki pa se jih navadno ne morejo in ne smejo udeleževati vsi zaposleni. Posledično bi bilo treba (kar v velikih organizacijah že počnejo) pooblaščeno osebo za varstvo podatkov kot delovno mesto umestiti neposredno pod upravo (denimo na delovno mesto svetovalca uprave, kar mora še vedno biti samostojna in neodvisna funkcija). Če to ni mogoče, GDPR še vedno predvideva tudi možnost, da upravljavec najame zunanjo pooblaščeno osebo za varstvo podatkov.8

1Dodatna kvalifikacija je bila v Slovensko in Evropsko ogrodje kvalifikacij umeščena s sklepom Ministrstva RS za delo, družino in socialne zadeve, št. 012-8/2017/11 z dne 3. 11. 2017.

2 Na primer pomoč pri izdelavi DPIA, izvedba skupnega upravljanja, zapleteni primeri reševanja pravnih podlag …

3 Pri tem opozarjamo na vsebino enega od predlogov ZVOP-2, ki je določal, da mora Informacijski pooblaščenec javno objaviti kontaktne podatke pooblaščene osebe za varstvo podatkov, kar seveda ni namen tega odstavka. Namen je v objavi kontakta, preko katerega lahko posamezniki stopijo v stik z upravljavcem/obdelovalcem, ne pa v razkrivanju njegovega imena (razen v javnem sektorju). Z objavo imena in priimka pooblaščene osebe za varstvo podatkov bi namreč po našem mnenju kršili prav določila GDPR, ki varuje osebne podatke.

4 Pri tem morajo upravljavci oziroma obdelovalci (v razmerju do podatkov pooblaščene osebe za varstvo podatkov namreč obdelovalci nastopajo v vlogi upravljavca) upoštevati drugi odstavek 106. člena ZVOP-1, ki opredeljuje dopusten obseg javne objave podatkov zaposlenih. Za pooblaščene osebe za varstvo podatkov v javnem sektorju bi bilo pri oceni potrebnosti objave treba upoštevati na primer tudi določbe Zakona o dostopu do informacij javnega značaja (ZDIJZ) (zlasti prvo alinejo tretjega odstavka 6. člena).

5 Glej več v komentarju k 12. členu GDPR.

6 Smernice Delovne skupine iz 29. člena o pooblaščenih osebah za varstvo podatkov, ki jih je dne 25. 5. 2018 potrdil EDPB, str. 18: »Splošno gledano lahko nasprotujoči si položaji v organizaciji vključujejo položaje višjega vodstva (kot so izvršni direktor, operativni direktor, finančni direktor, vodja zdravstvene službe, vodja oddelka za trženje, vodja službe za človeške vire ali vodja oddelkov za informacijsko tehnologijo) in tudi druge vloge na nižji ravni organizacijske strukture, če taki položaji ali vloge vodijo v določitev namenov in sredstev obdelave. Nasprotje interesov lahko poleg tega na primer nastopi, če je zunanja pooblaščena oseba za varstvo podatkov zaprošena, da upravljavca ali obdelovalca v zadevah, povezanih z varstvom podatkov, zastopa pred sodišči.«

7 Prav tam,  str. 15.

8 Eden od predlogov ZVOP-2 je to določbo za državno upravo omejeval, kar ocenjujemo kot kršitev šestega odstavka 37. člena GDPR in kršitev svobodne gospodarske pobude. Ta določba namreč določa, da je treba pooblaščeno osebo za varstvo podatkov imenovati in ne zaposliti.

Vir: Knjiga Komentar Splošne Uredbe o varstvu osebnih podatkov, Klemen Kraigher Mišič.