37. člen GDPR
Pooblaščena oseba za varstvo osebnih podatkov (Data Protection Officer)

Kdo je dolžan imeti pooblaščeno osebo

Pooblaščeno osebo morajo po 37. členu Uredbe (in 45. členu ZVOP-1) določiti:

•             upravljavci in obdelovalci v javnem sektorju (razen nekaterih izjem),

•             upravljavci ali obdelovalci v zasebnem ali javnem sektorju, katerih temeljne dejavnosti ali naloge zajemajo redno in sistematično obsežno spremljanje posameznikov (glede na naravo, obseg oziroma namene obdelave),

•             upravljavci ali obdelovalci v zasebnem ali v javnem sektorju, katerih temeljne dejavnosti ali naloge zajemajo obsežne obdelave občutljivih osebnih podatkov (rasno ali etnično poreklo, politično mnenje, versko ali filozofsko prepričanje ali članstvo v sindikatu, genski podatki, biometrični podatki, podatki v zvezi z zdravjem,podatki o vpisu ali izbrisu v ali iz kazenske in prekrškovne evidence).

Katere naloge opravlja pooblaščena oseba

39. člen Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov (v nadaljevanju Uredba) določa, da so naloge pooblaščene osebe predvsem svetovalno-nadzorne narave:

•             obveščanje upravljavca ali obdelovalca in zaposlenih, ki izvajajo obdelavo, ter svetovanje navedenim o njihovih obveznostih v skladu s to Uredbo in drugimi določbami prava Unije ali prava države članice o varstvu podatkov;

•             spremljanje skladnosti s to uredbo, drugimi določbami prava Unije ali prava države članice o varstvu podatkov in politikami upravljavca ali obdelovalca v zvezi z varstvom osebnih podatkov, vključno z dodeljevanjem nalog, ozaveščanjem in usposabljanjem osebja, vključenega v dejanja obdelave, ter s tem povezanimi revizijami;

•             svetovanje, kadar je to zahtevano, glede ocene učinka v zvezi z varstvom podatkov in spremljanje njenega izvajanja v skladu s 35. členom Uredbe;

•             sodelovanje z nadzornim organom;

•             delovanje kot kontaktna točka za nadzorni organ pri vprašanjih v zvezi z obdelavo, vključno s predhodnim posvetovanjem iz člena 36, in, kjer je ustrezno, posvetovanje glede katere koli druge zadeve.

Predvsem je pomembno, da je pooblaščena oseba pri izvajanju nalog neodvisna. Opozoriti vas moramo tudi, da pooblaščena oseba ni odgovorna za zagotavljanje skladnosti z določbami o varstvu osebnih podatkov, pač pa sta  upravljavec in obdelovalec tista, ki morata dokazati, da obdelava poteka v skladu z Uredbo.

Vloga pooblaščene osebe za varstvo podatkov pri oceni učinka v zvezi z varstvom podatkov

V skladu s členom 35(1) Uredbe je izvedba ocene učinka v zvezi z varstvom podatkov, če je potrebna, naloga upravljavca in ne pooblaščene osebe za varstvo podatkov. Vendar lahko ima slednja zelo pomembno in koristno vlogo pri zagotavljanju pomoči upravljavcu. V skladu z načelom vgrajenega varstva podatkov člen 35(2) natančneje določa, da upravljavec pri izvedbi ocene učinka v zvezi z varstvom podatkov »za mnenje zaprosi« pooblaščeno osebo za varstvo podatkov. Na drugi strani pa člen 39(1)(c) pooblaščeni osebi za varstvo podatkov nalaga dolžnost »svetovanja«, kadar je to zahtevano, glede ocene učinka v zvezi z varstvom podatkov in »spremljanja« njenega izvajanja v skladu s členom 35.

Priporočamo, da upravljavec pooblaščeno osebo za varstvo podatkov med drugim prosi za mnenje o naslednjih vprašanjih:

•             ali naj izvede oceno učinka v zvezi z varstvom podatkov ali ne;

•             katero metodologijo naj uporabi pri izvajanju ocene učinka v zvezi z varstvom podatkov;

•             ali naj oceno učinka v zvezi z varstvom podatkov izvede interno ali naj jo odda v zunanje izvajanje;

•             katere zaščitne ukrepe (vključno s tehničnimi in organizacijskimi ukrepi) naj uporabi za zmanjševanje morebitnih tveganj za pravice in interese posameznikov, na katere se nanašajo osebni podatki, in

•             ali je bila ocena učinka v zvezi z varstvom podatkov pravilno izvedena in ali so njene ugotovitve (ali naj se obdelava nadaljuje ali ne in kateri zaščitni ukrepi naj se uporabijo) v skladu s Splošno uredbo o varstvu podatkov.

Če se upravljavec ne strinja z mnenjem pooblaščene osebe za varstvo podatkov, bi moral v dokumentaciji ocene učinka v zvezi z varstvom podatkov posebej pisno utemeljiti, zakaj mnenja ni upošteval.

Priporočamo vam tudi, da upravljavec na primer v pogodbi s pooblaščeno osebo za varstvo podatkov ter tudi v informacijah za zaposlene in vodstvo (in po potrebi druge deležnike) jasno opredeli naloge pooblaščene osebe za varstvo podatkov in njihov obseg, zlasti glede izvajanja ocene učinka v zvezi z varstvom podatkov.

Sodelovanje z nadzornim organom in delovanje kot kontaktna točka

V skladu s členom 39(1)(d) in (e) bi morale biti naloge pooblaščene osebe za varstvo podatkov »sodelovanje z nadzornim organom« in »delovanje kot kontaktna točka za nadzorni organ pri vprašanjih v zvezi z obdelavo, vključno s predhodnim posvetovanjem iz člena 36, in, kjer je ustrezno, 2posvetovanje glede katere koli druge zadeve«.

Pooblaščena oseba za varstvo podatkov deluje kot kontaktna točka, da bi nadzornemu organu olajšala dostop do dokumentov in informacij za izvajanje nalog iz člena 57 ter za izvajanje njegovih preiskovalnih in popravljalnih pooblastil ter pooblastil v zvezi z dovoljenji in svetovalnih pristojnosti iz člena 58. Kot je že bilo navedeno, je pooblaščena oseba za varstvo podatkov pri opravljanju svojih nalog zavezana varovati skrivnost ali zaupnost v skladu s pravom Unije ali pravom države članice (člen 38(5)). Vendar pa obveznost varovanja skrivnosti/zaupnosti pooblaščeni osebi za varstvo podatkov ne prepoveduje, da stopi v stik z nadzornim organom in ga zaprosi za mnenje. Člen 39(1)(e) določa, da se lahko pooblaščena oseba za varstvo podatkov, kjer je ustrezno, posvetuje z nadzornim organom glede katere koli druge zadeve.

Pristop pooblaščene osebe

Člen 39(1) določa, da pooblaščena oseba za varstvo podatkov »upošteva tveganje, povezano z dejanji obdelave, ter naravo, obseg, okoliščine in namene obdelave«. V tem členu je poudarjeno načelo splošnega znanja in zdravega razuma, ki je lahko pomembno za več vidikov vsakodnevnega dela pooblaščene osebe za varstvo podatkov. Od pooblaščenih oseb za varstvo podatkov v bistvu zahteva, da prednostno razvrstijo svoje dejavnosti in svoja prizadevanja usmerijo v vprašanja, ki povzročajo večja tveganja v zvezi z varstvom podatkov. To ne pomeni, da bi morale zanemariti spremljanje skladnosti dejanj obdelave podatkov, ki so povezana s primerljivo nižjo ravnjo tveganja, temveč, da bi se morale osredotočiti predvsem na področja z večjim tveganjem. Ta selektivni in pragmatični pristop naj bi pooblaščenim osebam za varstvo podatkov pomagal svetovati upravljavcu v zvezi s tem, katero metodologijo naj uporabi pri izvedbi ocene učinka v zvezi z varstvom podatkov, katera področja naj bi vključil v notranje ali zunanje preverjanje varstva podatkov, katere notranje dejavnosti usposabljanja naj zagotovi osebju ali vodstvu, odgovornemu za dejavnosti obdelave podatkov, in v katera dejanja obdelave naj vloži več časa in sredstev.

Kdo ne more biti pooblaščena oseba?

Pooblaščena oseba v organizaciji ne sme imeti položaja, ki bi omogočala opredelitev namenov ali storitev obdelave osebnih podatkov. Splošno gledano lahko nasprotujoči si položaji v organizaciji vključujejo položaje višjega vodstva (kot so izvršni direktor, operativni direktor, finančni direktor, vodja zdravstvene službe, vodja oddelka za trženje, vodja službe za človeške vire ali vodja oddelkov za informacijsko tehnologijo) in tudi druge vloge na nižji ravni organizacijske strukture, če taki položaji ali vloge vodijo v določitev namenov in sredstev obdelave.

Dobre prakse:

•            opredelitev nezdružljivih položajev; 

•            oblikovanje notranjih pravil, da bi preprečili nasprotja interesov;

•            vključitev razlage nasprotij interesov;

•            izjava, da pooblaščena oseba ni v nasprotju interesov;

Sporočanje kontaktnih podatkov pooblaščene osebe

Uredba od upravljavca ali obdelovalca zahteva, da:

•            objavite kontaktne podatke pooblaščene osebe

Kontaktni podatki morajo vključevati poštni naslov, namensko telefonsko številko in/ali namenski e-poštni naslov, da bi posamezniki, na katere se nanašajo osebni podatki, lahko preprosto vzpostavili stik. Po potrebi lahko za komunikacijo z javnostjo zagotovite tudi druga sredstva, npr. namenska telefonska linija ali namenski kontaktni obrazec na spletni strani organizacije, naslovljen na pooblaščeno osebo. Zaradi dobre prakse svojim zaposlenim sporočite ime in kontaktne podatke pooblaščene osebe za varstvo podatkov. Te lahko objavite na intranetu, v notranjem telefonskem imeniku in organizacijskih shemah.

•            sporočite kontaktne podatke pooblaščene osebe nadzornim organom

Nadzornemu organu je poleg poštnega naslova, namenske telefonske številke in/ali namenskega e-poštnega naslova, nujno sporočiti tudi ime pooblaščene osebe. 

Ostale naloge

Kot že omenjeno so v členu 39(1) navedene naloge pooblaščene osebe za varstvo podatkov kjer je določeno, da ima ta oseba »vsaj« navedene naloge iz prve točke tega dokumenta. Zato upravljavcu nič ne preprečuje, da pooblaščeni osebi za varstvo podatkov dodeli tudi druge naloge, ki niso izrecno navedene v členu 39(1), ali pa te naloge podrobneje opredeli.