DPO On Demand

Slovenija: Ali je DPO lahko kolegijski organ?

Vodja IT in vodja pravne službe ne moreta opravljati funkcije pooblaščene osebe za varstvo osebnih podatkov

Informacijski pooblaščenec je 27.7.2017 izdal mnenje o tem, kdo bo po 25.5.2018, ko začne veljati Splošna evropska uredba o varstvu osebnih podatkov, lahko opravljal funkcijo pooblaščene osebe za varstvo osebnih podatkov. Spodaj ga objavljamo v celoti.

Mnenje Informacijskega pooblaščenca:

Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaše zaprosilo za mnenje, ki se nanaša na imenovanje pooblaščenih oseb za varstvo osebnih podatkov po Splošni uredbi (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov; uredba). 37. člen uredbe določa, da mora obdelovalec oziroma upravljavec pod določenimi pogoji imenovati pooblaščeno odgovorno osebo za varstvo osebnih podatkov (DPO), na temo DPO pa so bile izdane smernice Delovne skupine za varstvo podatkov iz člena 29[1]. Kot navajate iz smernic in uredbe izhaja, da lahko zavezanci za DPO imenujejo osebo, ki je že zaposlena v podjetju ali pa za te potrebe imenujejo gospodarski subjekt kot zunanjega eksperta na podlagi ustreznega civilno pravnega razmerja. Smernice naj bi dopuščale možnost, da naloge DPO izvaja več oseb in ne le ena, ob upoštevanju, da vsi posamezniki izpolnjujejo temeljne zahteve za imenovanje DPO ter da so odgovornosti posameznikov vnaprej točno določene v ustrezni pogodbi, kar vključuje tudi imenovanje vodje oziroma skrbnika take pogodbe. Poudarjate, da ima veliko podjetij že po trenutno veljavni zakonodaji za namen zagotavljanja varstva osebnih podatkov imenovane interne kolegijske organe, sestavljene iz zaposlenih v tem podjetju, ki so vpeti v procese obdelave osebnih podatkov vsak na svojem področju (npr. strokovna oseba s področja marketinga, IT pravne službe), saj navedena problematika terja interdisciplinarni pristop. Glede na navedeno vas zanima, ali se lahko zavezanci za imenovanje DPO odločijo, da za ta namen imenujejo kolegijski organ oziroma komisijo, ki kot taka predstavlja DPO in izvršuje s tem povezane naloge.

IP uvodoma pojasnjuje, da se uredba prične uporabljati 25. 5. 2018, s čimer stopijo v uporabo tudi pristojnosti IP glede izdajanja nezavezujočih mnenj na podlagi določb uredbe, zato lahko svoje mnenje v obdobju pred uporabo uredbe podamo le na podlagi obstoječe zakonodaje o varstvu osebnih podatkov. Tako vam na podlagi informacij, ki ste nam jih posredovali, v nadaljevanju na podlagi 7. točke prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07, uradno prečiščeno besedilo, v nadaljevanju ZVOP-1) ter 2. člena Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašimi vprašanji.

IP se povsem strinja z vašimi ugotovitvami, da terja ustrezno varovanje osebnih podatkov v podjetjih interdisciplinarna znanja. Prav tako se strinjamo, da uredba kot taka ne preprečuje, da bi se za naloge DPO formiral kolegijski organ oziroma komisija, vendar pa je pri sestavi komisije, njenih nalogah in pristojnostih ter zahtevah glede položaja in neodvisnosti treba upoštevati smisel in zadevne določbe uredbe. Menimo, da ni skladno s ciljem in določbami uredbe ravnanje, kjer se vodje določenih služb, ki so pogosto vpete v procese obdelave osebnih podatkov, kot npr. vodja pravna službe, IT oddelka in trženja, zgolj imenuje v kolegijski organ, ki naj bi predstavljal razpršeno vlogo DPO v podjetju, pri čemer dejansko nihče od posameznih članov ne bi imel naloge 'glavnega' DPO in s tem celovitega pregleda ter dejansko torej ne bi bila ena oseba ustrezno in pravočasno vključena v vse zadeve v zvezi z varstvom osebnih podatkov, ampak bi bile naloge razpršene. Če bi namreč obveljalo takšno stališče, potem bi bilo imenovanje DPO v podjetjih zgolj stvar formalnosti - sprejetja sklepa vodstva, s katerim se vloga DPO podeli vsem vodjem služb, ki so vpeti v procese obdelave osebnih podatkov. Institut DPO, kot ga vpeljuje uredba, namreč po mnenju IP predstavlja pomemben kakovostni preskok v smislu relativno neodvisnega posameznika ali več njih, ki neodvisno od vodij posameznih strokovnih služb izvajajo svetovalne in nadzorne naloge na področju varstva osebnih podatkov.

Po mnenju IP uredba glede DPO zahteva celovitejši pristop in v precejšnji meri neodvisnega posameznika ali neodvisni kolegijski organ (več posameznikov), ki mora(jo) izvrševati naloge in imeti ustrezno pozicijo, da pri tem ne pride do konflikta interesov.

Ne gre torej zgolj za strokovnjake, ki opravljajo posamezne naloge glede varstva osebnih podatkov, ampak bi lahko govorili o neke vrste internem revizorju za področje varstva osebnih podatkov. Ne glede na to, ali gre za posameznika ali kolegijski organ torej mora biti formalno in dejansko jasno, kdo nosi odgovornosti DPO, kot so opredeljene v uredbi.

Na takšno sklepanje nas napeljujejo številne določbe uredbe, predvsem naslednje:

  • 37(5): Pooblaščena oseba za varstvo podatkov se imenuje na podlagi poklicnih odlik in zlasti strokovnega znanja o zakonodaji in praksi na področju varstva podatkov ter zmožnosti za izpolnjevanje nalog iz člena 39;
  • 38(2) Upravljavec in obdelovalec pooblaščeni osebi za varstvo podatkov pomagata pri opravljanju nalog iz člena 39, tako da zagotovita sredstva, potrebna za opravljanje teh nalog, in dostop do osebnih podatkov in dejanj obdelave, ter ohranjanje njenega strokovnega znanja.
  • 38(3): Upravljavec in obdelovalec zagotovita, da pooblaščena oseba za varstvo podatkov pri opravljanju teh nalog ne prejema nobenih navodil. Pooblaščena oseba za varstvo podatkov ne sme biti razrešena ali kaznovana zaradi opravljanja svojih nalog. Pooblaščena oseba za varstvo podatkov neposredno poroča najvišji upravni ravni upravljavca ali obdelovalca.
  • 38(6): Pooblaščena oseba za varstvo podatkov lahko opravlja druge naloge in dolžnosti. Upravljavec ali obdelovalec zagotovi, da zaradi vsakršnih takih nalog in dolžnosti ne pride do nasprotja interesov.

Posebej opozarjamo tudi na uvodno določbo št. 97, ki navaja, da »… pooblaščena oseba za varstvo podatkov bi morala svoje dolžnosti in naloge izvajati neodvisno, ne glede na to, ali je pri upravljavcu zaposlena ali ne.«

Določbo, da lahko DPO opravlja »druge naloge in dolžnost« je treba interpretirati skupaj z določbo, »da zaradi vsakršnih takih nalog in dolžnosti ne pride do nasprotja interesov«. DPO skratka lahko opravlja naloge DPO in druge naloge, kolikor te niso v konfliktu s položajem in nalogami, ki naj bi jih opravljal DPO. Določene funkcije v podjetju bodo po našem mnenju tako pogosto v nasprotju z interesi, ki naj bi jih v organizaciji zastopal DPO in zato ne morejo opravljati nalog v morebitnem kolegijsko organiziranem DPO. Kot poudarjajo smernice, to predvsem pomeni, da DPO ne sme imeti pozicij v organizaciji, ki bi mu omogočale opredelitev namenov ali storitev obdelave osebnih podatkov. Slednje je treba presojati od primera do primera. Kot posebej nekompatibilne funkcije s predvidnim položajem in nalogami DPO smernice navajajo izvršne direktorje, vodje finančnih, kadrovskih, trženjskih in IT oddelkov. Glede na smernice so sicer njim podrejeni strokovni sodelavci lahko DPO (ali del DPO kot kolegijskega organa), razen če je njihova pozicija takšna, da vodi v opredelitev namenov in sredstev obdelave osebnih podatkov.

Menimo, da položaj in naloge DPO pod temi pogoji sicer lahko opravlja kolegijski organ, ki pa mora imeti jasno imenovanega vodjo oziroma predsedujočega z opredeljeno odgovornostjo za opravljanje nalog DPO, pri čemer ta oseba upoštevajoč njen položaj in naloge pri upravljavcu ne sme biti v nasprotju z interesi, ki naj bi jih v organizaciji zastopal DPO in ne sme zasedati eno od prej omenjenih funkcij ter vloge in naloge morebitnih članov. Upravljavec oziroma obdelovalec skladno z zahtevo določbe 37(7) objavi kontaktne podatke pooblaščene osebe za varstvo podatkov in jih sporoči nadzornemu organu.

Smernice pojasnjujejo, da bila dobra praksa, če bi upravljavec ali obdelovalec:

  • identificiral funkcije, ki so nezdružljive s funkcijo DPO;
  • določil interna pravila z namenom izogniti se nasprotju interesov;
  • z namenom ozaveščanja podal izjavo, da pooblaščenec ni v nasprotju interesov;
  • v interna pravila vnesel varovalke in zagotovila, ki bi prav tako morala biti vključena v razpisnih pogojih za opravljanje funkcije DPO.

Opozoriti velja tudi na naloge DPO, ki so predvsem svetovalno-nadzorne narave, in sicer:

39(1): Pooblaščena oseba za varstvo podatkov ima vsaj naslednje naloge:

(a) obveščanje upravljavca ali obdelovalca in zaposlenih, ki izvajajo obdelavo, ter svetovanje navedenim o njihovih obveznostih v skladu s to uredbo in drugimi določbami prava Unije ali prava države članice o varstvu podatkov;

(b) spremljanje skladnosti s to uredbo, drugimi določbami prava Unije ali prava države članice o varstvu podatkov in politikami upravljavca ali obdelovalca v zvezi z varstvom osebnih podatkov, vključno z dodeljevanjem nalog, ozaveščanjem in usposabljanjem osebja, vključenega v dejanja obdelave, ter s tem povezanimi revizijami;

(c) svetovanje, kadar je to zahtevano, glede ocene učinka v zvezi z varstvom podatkov in spremljanje njenega izvajanja v skladu s členom 35;

(d) sodelovanje z nadzornim organom;

(e) delovanje kot kontaktna točka za nadzorni organ pri vprašanjih v zvezi z obdelavo, vključno s predhodnim posvetovanjem iz člena 36, in, kjer je ustrezno, posvetovanje glede katere koli druge zadeve.

Tudi iz teh nalog, še zlasti iz zahteve po »spremljanju skladnosti« izhaja zahteva po neodvisnosti od oseb, ki odločajo o namenih in sredstvih obdelave.

Na relativno neodvisen položaj DPO od drugih vodij posameznih služb oz. lastnikov posameznih poslovnih procesov/funkcij opozarjajo tudi Smernice o oceni učinka na varstvo podatkov[2], ki jih je izdala Delovna skupina za varstvo podatkov iz člena 29 (DPIA smernice). Ena izmed nalog DPO je med drugim, da izvaja »svetovanje, kadar je to zahtevano, glede ocene učinka v zvezi z varstvom podatkov in spremljanje njenega izvajanja v skladu s členom 35«. DPO torej svetuje drugim službam (pravni službi, IT službi, marketinški službi …), kako izvesti oceno učinka in spremlja, ali se ocena učinka izvaja. DPO ni odgovorna oseba za pripravo ocene učinka, temveč so to skrbniki poslovnih procesov/funkcij – če bi torej DPO kot kolegijski organ sestavljale vodje služb ali podrejeni, ki sprejemajo odločitve o namenih in sredstvih obdelave, bi svetovale in nadzirale samega sebe, kar očitno ni namen uredbe, temveč je njen namen vzpostaviti do neke mere neodvisen svetovalni in nadzorni organ pri upravljavcih in obdelovalcih, ki potrebuje tudi poklicne odlike in specifična strokovna znanja na področju varstva osebnih podatkov. Smernice tudi jasno izpostavijo, da je zagotavljanje skladnosti z zakonodajo naloga upravljavca (oziroma obdelovalca) in ne DPO. DPO svetuje in nadzira.

Zaključno bi želeli poudariti, da povsem razumemo, da bo imenovanje DPO za mnoga podjetja predstavljajo izziv, saj njen položaj, naloge in zahteve glede usposobljenosti in neodvisnosti vodijo v zahteve po kadrih, ki jih predvsem manjša podjetja nimajo[3]. Vseeno pa navedeno ne bi smelo izvodeneti v smeri imenovanja DPO kot konglomerata oseb, ki imajo že sicer opravka z osebnimi podatki, temveč v določitev najprimernejših oseb bodisi znotraj bodisi izven organizacije. Institut DPO namreč ocenjujemo kot pomemben element v zagotavljanju odgovornega ravnanja z osebnimi podatki (angl. accountability), ki predstavlja novo temeljno načelo uredbe, s ciljem proaktivnega varovanja osebnih podatkov in izogibanja kršitvam, zato upamo, da bodo tudi podjetja prepoznala njegove (tudi finančne) koristi. Ne nazadnje delujemo v informacijski družbi, kjer podatki in informacije predstavljajo temeljno vrednost, posledično pa tudi zaupanje v odgovorno ravnanje z njimi predstavlja pomemben del uspeha podjetij. Škode za ugled podjetja, finančne kazni in izguba zaupanja zaradi neodgovornega ravnanja s podatki imajo lahko težke posledice za podjetje, ki se jim lahko s pomočjo DPO izogne. Prav tako upamo, da bomo tudi v sodelovanju z združenji upravljavcev in obdelovalcev uspeli razviti in vzdrževati dobre prakse tako glede delovanja DPO kot tudi pri drugih področjih varstva osebnih podatkov.

Vir: IP

Objavil/a

Info hiša