Institut pooblaščenih oseb za varstvo osebnih podatkov (DPO) je uvedla Splošna uredba, nekaj dodatnih zahtev pa postavlja tudi ZVOP-2 (členi 44 do 50), pri čemer velja izpostaviti naslednje:

• ZVOP-2 nekoliko razširja nabor zavezancev, ki so dolžni imenovati pooblaščeno osebo,
• omogočeno je imenovanje skupnih pooblaščenih oseb tudi v zasebnem sektorju,
• določa se osnovne zahteve glede imenovanja pooblaščenih oseb (certifikacija znanj in izkušenj ni zahtevana) in roke za vnos, objavo in sporočanje podatkov o imenovanih osebah,
• za določene državne organe in sindikate veljajo posebnosti,
• ZVOP-2 podrobneje določa, kdaj gre za konflikt interesov glede imenovanja pooblaščenih oseb,
• nalog pooblaščene osebe se z ZVOP-2 ne spreminja in ostajajo iste, kot so določene v 39. členu Splošne uredbe.

Splošna uredba v 37. členu določa, da morajo pooblaščeno osebo imenovati:

a) Javni organi in telesa. Definicijo javnega sektorja določa ZVOP-2 v 3. točki 2. odstavka 5. člena, po kateri so »javni sektor« državni organi, samoupravne lokalne skupnosti, nosilci javnih pooblastil v delu, kjer izvršujejo javna pooblastila, javne agencije, javni skladi, javni zavodi, univerze, samostojni visokošolski zavodi, zasebni vrtci in zasebne osnovne ter srednje šole, ki izvajajo javno veljavne vzgojno-izobraževalne programe, samoupravne narodne skupnosti, Svet romske skupnosti Republike Slovenije in druge osebe javnega prava, ustanovljene z zakonom. Pri tem velja opozoriti, da med javni sektor po novem sodijo tudi zasebni vrtci in zasebne osnovne ter srednje šole, ki izvajajo javno veljavne vzgojno-izobraževalne programe, ki so s tem zavezani tudi za imenovanje pooblaščenih oseb.

b) Podjetja, katerih temeljne dejavnosti zajemajo dejanja obdelave, pri katerih je treba zaradi njihove narave, obsega in/ali namenov posameznike redno in sistematično obsežno spremljati. Med najbolj pogoste primere podjetij oziroma temeljnih dejavnosti se pri tej točki navaja operaterje elektronskih komunikacij, banke, zavarovalnice, trgovce s klubi zvestobe. Po tej točki so lahko zavezanci kadrovske agencije, izvajalci zdravstvenih storitev (bolnišnice, zdravstveni domovi, klinike in tudi npr. lekarne), večje spletne trgovine in IT-podjetja, ki vzdržujejo rešitve za obdelavo osebnih podatkov posameznikov, npr. baze podatkov ali sistemi za upravljanje podatkov odnosov s strankami. Kriterij za obveznost imenovanja pooblaščene osebe ni velikost podjetja v smislu prometa, dobička, števila zaposlenih ali drugih kazalnikov. Tako tudi npr. večje proizvodno podjetje, ki proizvaja industrijske valje in katerega temeljna dejavnost ni namenjena posameznikom, temveč drugim podjetjem in tako ne vključujejo obsežne obdelave osebnih podatkov oziroma spremljanja posameznikov, ni zavezano k imenovanju pooblaščene osebe. Podrobnejše razlage pojmov, kot so »temeljne dejavnosti«, »velik obseg« in »redno in sistematično spremljanje«, so podane v Smernicah o pooblaščenih osebah za varstvo osebnih podatkov Delovne skupine za varstvo podatkov iz člena 29[1].

c) Podjetja in organizacije, ki izvajajo obsežno obdelavo zdravstvenih in drugih občutljivih podatkov, ki sodijo med t.i. posebne vrste podatkov. To so - tako kot že pod prejšnjo točko - npr. bolnišnice in klinike, izvajalci zdravstvenih storitev in lekarne kakor tudi socialno-varstveni zavodi, organizacije, ki upravljajo kazenske in prekrškovne evidence, ponudniki zdravstvenih informacijskih sistemov in storitev. Splošna uredba tu določa izjemo, in sicer posamezen zasebni zdravnik, zobozdravnik ali odvetnik ni dolžan imenovati pooblaščene osebe.

ZVOP-2 je nabor zavezancev še razširil, in sicer:

d) Po določbi 1. odstavka 45. člena ZVOP-2 morajo poleg navedenih imenovati tudi upravljavci in obdelovalci, ki obdelujejo osebne podatke iz 1. do 4. točke prvega odstavka 23. člena ZVOP-2. Gre za informacijske sisteme, v katerih:

1. se izvaja obdelave osebnih podatkov, določenih v zakonih, ki urejajo področja upravnih notranjih zadev, finančne uprave, državljanstva, Slovenske obveščevalno varnostne agencije, obrambe, zdravstvenega varstva, obveznega zdravstvenega zavarovanja, uveljavljanja pravic iz javnih sredstev ter kazenskih in prekrškovnih evidenc (gre za velike »državne« zbirke osebnih podatkov in registre);
2. se obdeluje osebne podatke več kot 100.000 posameznikov na podlagi zakona, razen obdelav osebnih podatkov iz 3. poglavja 2. dela ZVOP-2 (izključen je videonadzor) – primeri takšnih informacijskih sistemov so recimo centralni kreditni register SISBON, zbirka podatkov o e-vinjetah in druge z zakoni vzpostavljene (in pogosto centralizirane) zbirke podatkov, kot npr. na področju visokega šolstva (CEUVIZ);
3. upravljavec ali obdelovalec kot svojo temeljno dejavnost izvaja obsežne obdelave posebnih vrst osebnih podatkov (npr. izvajalci zdravstvenih storitev) ali
4. obdeluje posebne vrste osebnih podatkov več kot 10.000 posameznikov (sem bi sodili recimo tudi večje politične stranke, večji sindikati, ki imajo o svojih članih posebne vrste osebnih podatkov, idr.).

Ne glede na določbe prvega odstavka 23. člena ZVOP-2 lahko drugi upravljavci ali obdelovalci prostovoljno določijo pooblaščeno osebo, vsak upravljavec ali obdelovalec pa lahko določi tudi namestnika pooblaščene osebe. Pooblaščena oseba svojega namestnika pooblasti, da opravlja s pooblastilom določene naloge pooblaščene osebe.

ZVOP-2 glede imenovanja pooblaščenih oseb postavlja kratke roke. Upravljavec ali obdelovalec v osmih dneh od določitve pooblaščene osebe vpiše njene kontaktne podatke v skladu s 30. členom Splošne uredbe v svojo evidenco dejavnosti obdelav in njen kontakt za namen sodelovanja s posamezniki, na katere se nanašajo osebni podatki, javno objavi na primeren način, zlasti na spletnih straneh (4. odstavek 45. člena ZVOP-2). Za sporočanje podatkov Informacijskemu pooblaščencu in njihovo popravljanje (npr. ob zamenjavi pooblaščene osebe) se lahko uporabi obrazec na spletni strani Informacijskega pooblaščenca: https://www.ip-rs.si/pooblascene-osebe.

Splošna uredba v 2. oz. v 3. odstavku 37. člena omogoča tudi imenovanje skupnih pooblaščenih oseb, in sicer lahko povezana družba imenuje eno pooblaščeno osebo za varstvo podatkov, če je ta pooblaščena oseba za varstvo podatkov lahko dostopna iz vsake enote. Takšno možnost pa ima tudi javni sektor - kadar je upravljavec ali obdelovalec javni organ ali telo, se lahko za več takšnih organov ali teles ob upoštevanju njihove organizacijske strukture in velikosti imenuje eno samo pooblaščeno osebo za varstvo podatkov. Tako bi lahko npr. v manjši občini osnovna šola, občina in javna knjižnica imele eno, skupno pooblaščeno osebo.

47. člen ZVOP-2 dopušča skupno določitev pooblaščene osebe in določitev pooblaščene osebe sindikata načeloma tudi v zasebnem sektorju, saj določa, da lahko več upravljavcev oziroma obdelovalcev lahko ob upoštevanju svoje organizacijske strukture, velikosti ali raznovrstnosti obdelav osebnih podatkov samostojno določi skupno pooblaščeno osebo in njenega namestnika – pri tem tega ne omejuje zgolj na javni sektor.

47. člen ZVOP določa tudi nekatere specifične ureditve glede skupnih pooblaščenih oseb, in sicer:

1. Odvetniki in odvetniške družbe lahko v dogovoru z Odvetniško zbornico Slovenije določijo skupno pooblaščeno osebo.
2. Notarji lahko v dogovoru z Notarsko zbornico Slovenije določijo skupno pooblaščeno osebo.
3. Reprezentativna zveza ali konfederacija sindikatov lahko določi skupno pooblaščeno osebo in njenega namestnika glede obdelave osebnih podatkov za sindikate, ki so njeni člani in ki k takemu imenovanju dajo pisno soglasje.
4. Sindikat, ki je reprezentativen v panogi, dejavnosti ali poklicu, lahko za svoje organizacijske oblike delovanja pri posameznih delodajalcih določi skupno pooblaščeno osebo in njenega namestnika glede obdelave osebnih podatkov članov sindikata[2].

ZVOP-2 ureja tudi določene posebnosti glede imenovanja pooblaščene osebe pri določenih državnih organih (49. člen ZVOP-2), in sicer:

1. Vrhovno sodišče Republike Slovenije določi pooblaščeno osebo, ki opravlja naloge v skladu s prvim odstavkom prejšnjega člena za vsa sodišča s splošno pristojnostjo in specializirana sodišča v Republiki Sloveniji.
2. Vrhovno državno tožilstvo Republike Slovenije določi pooblaščeno osebo, ki opravlja naloge v skladu s prvim odstavkom prejšnjega člena za vsa državna tožilstva v Republiki Sloveniji in Državnotožilski svet.
3. Vsak minister določi pooblaščeno osebo, ki je zaposlena na tem ministrstvu, v primeru ministrstva brez listnice pa na organu ali v službi ministra. Če je v okviru ministrstva ustanovljen organ v sestavi, predstojnik organa v sestavi za pooblaščeno osebo organa v sestavi določi javnega uslužbenca, ki je zaposlen v organu v sestavi ali na tem ministrstvu.
4. Predstojnik organa s področja varnosti države določi pooblaščeno osebo in njenega namestnika znotraj organa. Pooblaščena oseba tega organa opravlja tiste naloge iz 39. člena Splošne uredbe, za katere tako določi predstojnik, obvezno pa opravlja naloge glede zagotavljanja varnosti osebnih podatkov, posredovanja osebnih podatkov Vladi Republike Slovenije, predsedniku Republike Slovenije, policiji, državnim tožilstvom, sodiščem, pristojnemu delovnemu telesu Državnega zbora Republike Slovenije in drugim subjektom ter glede čezmejnih obdelav in prenosov osebnih podatkov.
5. Pooblaščeno osebo upravne enote ali skupno pooblaščeno osebo več upravnih enot določi ministrstvo, pristojno za javno upravo. Po dogovoru z ministrstvom lahko tudi upravne enote določijo pooblaščene osebe. Pooblaščena oseba upravne enote mora biti zaposlena na ministrstvu, pristojnem za javno upravo ali v upravni enoti.

ZVOP-2 ne spreminja nalog pooblaščenih oseb – naloge pooblaščenih oseb za varstvo podatkov določa 39. člen Splošne uredbe. Naloge so predvsem svetovalno-nadzorne narave, pooblaščena oseba po eni strani nadzira obdelavo osebnih podatkov, obenem pa tudi svetuje in izobražuje osebe znotraj svoje organizacije glede pravil o varstvu osebnih podatkov. Naloge pooblaščene osebe so:

Pooblaščena oseba ni odgovorna za zagotavljanje skladnosti z določbami o varstvu osebnih podatkov, pač pa sta upravljavec in obdelovalec tista, ki morata dokazati, da obdelava poteka v skladu z zakonodajo.

Dodatno je v ZVOP-2 (v 48. členu) le določba, da pooblaščena oseba na neodvisen način opravlja naloge iz 39. člena Splošne uredbe in zlasti svetuje pri ocenjevanju tveganj glede varnosti osebnih podatkov v zvezi z vsemi obdelavami osebnih podatkov v zbirkah, ki jih izvaja upravljavec oziroma obdelovalec, pri katerem je določena.

50. člen ZVOP-2 določa dolžnost varstva tajnosti osebnih podatkov, in sicer sta pooblaščena oseba in namestnik pri opravljanju dela in po njegovem zaključku zavezana k varstvu tajnosti obdelovanih osebnih podatkov. Pridobljene informacije smeta uporabljati izključno za opravljanje nalog pooblaščene osebe.

Pooblaščena oseba sodišča ali Ustavnega sodišča Republike Slovenije ne sme opravljati v zvezi z obdelavami osebnih podatkov v konkretnih zadevah sodišč ali zadev Ustavnega sodišča, kadar Ustavno sodišče obravnava zadeve sodišč.

Pogoji za imenovanje pooblaščene osebe

Potrebna raven strokovnega znanja v Splošni uredbi ni izrecno opredeljena, vendar mora biti sorazmerna z občutljivostjo, zapletenostjo in količino podatkov, ki jih organizacija obdeluje. Funkcija pooblaščene osebe tako terja različna znanja in takšno osebo se imenuje na podlagi poklicnih odlik in strokovnega poznavanja zakonodaje in prakse na področju varstva osebnih podatkov – smer ali stopnja izobrazbe ni predpisana. Bistveno je, da mora imeti pooblaščena oseba strokovno znanje o nacionalni in evropski zakonodaji in praksi na področju varstva podatkov ter da je dobro seznanjena z delovanjem svoje organizacije - pooblaščena oseba bi morala dobro razumeti obstoječe procese obdelav podatkov in informacijske sisteme pa tudi specifične okoliščine upravljavca v zvezi z varnostjo in varstvom podatkov. V primeru javnega organa ali telesa bi morala dobro poznati tudi upravna pravila in formalno-pravne postopke organizacije.

V postopku sprejemanja ZVOP-2 je bilo sicer obravnavanih več opcij glede pogojev za določitev pooblaščenih oseb (npr. konkretne zahteve glede let izkušenj in izobrazbe), vendar pa so bile na koncu sprejete le osnovne zahteve.

46. člen ZVOP-2 predpisuje naslednje posebne zahteve glede stopnje strokovne usposobljenosti in zahtevanih delovnih izkušenj - za pooblaščeno osebo upravljavca ali obdelovalca in njenega namestnika je lahko določen posameznik, ki izpolnjuje naslednje pogoje:

Prav tako velja poudariti, da certifikacija pooblaščenih oseb ni ne predvidena in ne zahtevana z vidika zakonodaje in je to prostovoljna odločitev organizacije ali pooblaščene osebe same.

Pooblaščena oseba državnega organa mora poleg teh pogojev izpolnjevati tudi pogoj, da je zaposlena v javnem sektorju.

Podobno kot Splošna uredba tudi ZVOP-2 dopušča najem zunanjih pooblaščenih oseb, in sicer lahko upravljavci ali obdelovalci iz javnega sektorja, razen državnih organov, določijo drugo pooblaščeno osebo, če je ni mogoče določiti znotraj osebe javnega sektorja. V tem primer lahko pooblaščeno osebo določijo skupaj z drugimi upravljavci ali obdelovalci javnega sektorja, lahko pa s pogodbo v pisni obliki določijo tudi posameznika ali posameznico iz zasebnega sektorja ali pravno osebo iz zasebnega sektorja. V pogodbi s pravno osebo se določi posameznik, ki odgovarja za delo pravne osebe kot pooblaščene osebe in čigar kontaktne podatke se objavi.

Pooblaščena oseba in konflikt interesov

Glede na to, da med pomembnejše naloge pooblaščene osebe sodijo nadzorne naloge, je bistveno, da pri tem ne pride do situacij, ko bi ta oseba morala nadzirati svoje oblastno delo in lastne odločitve – ne sme priti do konflikta interesov. Institut pooblaščene osebe zahteva celovitejši pristop in neodvisnega posameznika ali neodvisni kolegijski organ z vodjo, ki mora(jo) izvrševati naloge in imeti ustrezno pozicijo, da pri tem ne pride do konflikta interesov. Kot poudarjajo smernice EDPB[3], to predvsem pomeni, da pooblaščena oseba v organizaciji ne sme imeti položaja, ki bi omogočala opredelitev namenov ali storitev obdelave osebnih podatkov. Smernice navajajo, da splošno gledano lahko nasprotujoči si položaji v organizaciji vključujejo položaje višjega vodstva (kot so izvršni direktor, ravnatelj šole, predstojnik ali direktor organa v javnem sektorju, operativni direktor, finančni direktor, vodja zdravstvene službe, vodja oddelka za trženje, vodja službe za človeške vire ali vodja oddelkov za informacijsko tehnologijo) in tudi druge vloge na nižji ravni organizacijske strukture, če taki položaji ali vloge vodijo v določitev namenov in sredstev obdelave.

1. odstavek 46. člena ZVOP-2 določa, da za pooblaščeno osebo ali njenega namestnika ne sme biti določena oseba, ki je v nasprotju interesov z upravljavcem in obdelovalcem ali je njeno delo pooblaščene osebe v nasprotju z njenimi drugimi nalogami ali s položajem pri upravljavcu in obdelovalcu.

Nasprotje interesov podrobneje opredeljuje 6. odstavek 46. člena ZVOP-2, in sicer se v javnem sektorju (te določbe pa se smiselno uporablja tudi za zasebni sektor) šteje, da je določena oseba v nasprotju interesov, če je:

• določena kot upravljavec informacijskega sistema,
• skrbnik informacijskega sistema ali
• vodja informacijske varnosti,
• ima položaj predstojnika v osebi javnega sektorja,
• če je član organov upravljanja ali nadzora pri upravljavcu ali obdelovalcu,
• če njene druge naloge vključujejo sistemsko odločanje o obdelavi osebnih podatkov pri upravljavcu ali obdelovalcu ali
• če zastopa upravljavca oziroma obdelovalca v sodnih ali arbitražnih postopkih v zvezi z vprašanji varstva osebnih podatkov.

Nekoliko nenavadno je, da ZVOP-2 tudi položaj vodje informacijske varnosti (angl. CISO) vidi kot v konfliktu interesov s pozicijo pooblaščene osebe za varstvo osebnih podatkov. Informacijski pooblaščenec je glede tega v mnenju[4] št. 07121-1/2023/123 zapisal, da Splošna uredba izrecno ne opredeljuje, katere funkcije so v nasprotju interesov, temveč gre za specifiko ZVOP-2, in meni, da so lahko v konkretnih okoliščinah podani utemeljeni argumenti, da konkretni vlogi pooblaščene osebe in CISO nista v nasprotju interesov in tako nista v nasprotju z določbami ZVOP-2, gre pa za odgovornost konkretnega upravljavca, ki mora znati to izkazati, ne pa za zaključek, ki ga je mogoče posploševati, med drugim zaradi v praksi vendarle pogostega združevanja funkcij vodij IT in vodij informacijske varnosti. Po mnenju Informacijskega pooblaščenca imata pooblaščena oseba za varstvo podatkov in CISO podobno poslanstvo in »tako DPO kot CISO stremita k temu, da je poslovanje organizacije skladno in varno, kar pa recimo ni primarni namen vodij trženja, kjer je poglavitno doseči čim večjo dodano vrednost oglaševalskih aktivnosti, seveda ob upoštevanju varnosti in skladnosti, ne pa s primarnim ciljem skladnosti in varnosti. Vlogi DPO in CISO tako v osnovi stremita k doseganju zelo podobnih ciljev, je pa treba preveriti, ali gre vendarle lahko za nasprotje interesov«.

Če pooblaščena oseba izve za okoliščine, ki predstavljajo ali bi lahko predstavljale nasprotje interesov, o tem takoj pisno obvesti upravljavca oziroma obdelovalca. Upravljavec oziroma obdelovalec v tem primeru odpravi nasprotje ali pooblaščeno osebo razreši opravljanja določene naloge kot pooblaščene osebe ali s položaja pri upravljavcu ali obdelovalcu. V primeru, ko organizacija znotraj svojih zaposlenih nima oseb, ki bi imele ustrezna znanja, ali so takšne osebe v konfliktu interesov, se mora zateči k zunanjim ponudnikom tovrstnih storitev.

V smernicah EDPB o pooblaščenih oseb lahko najdemo tudi primere dobrih praks za izogibanje konflikta interesov, kot so:

• opredelitev nezdružljivih položajev;
• oblikovanje notranjih pravil, da bi preprečili nasprotja interesov;
• vključitev razlage nasprotij interesov;
• izjava, da pooblaščena oseba ni v nasprotju interesov;
• vključitev ustreznih klavzul v razpise za pooblaščeno osebo.

Prehodne določbe ZVOP-2 in sankcije

ZVOP-2 vsebuje dve prehodni določbi, ki se nanašata na pooblaščene osebe za varstvo podatkov, in sicer:

• 118. člen ZVOP-2 določa, da pooblaščene osebe, ki so jih do uveljavitve tega zakona (op. 26. 1. 2023) določili predstojniki organov v sestavi ministrstev, nadaljujejo opravljanje dela pooblaščene osebe po tem zakonu.
• 123. člen ZVOP-2 določa, da upravljavcem in obdelovalcem, ki so pred začetkom uveljavitve tega zakona posredovali podatke nadzornemu organu o pooblaščenih osebah, ni treba ponovno posredovati informacij, če podatki o pooblaščenih osebah niso spremenjeni.

Sankcije za kršitev določb ZVOP-2 glede pooblaščenih oseb niso določene v ZVOP-2, temveč veljajo splošna pravila za izrekanje sankcij po Splošni uredbi. Po podatkih iz EU[5] je bilo do prve polovice 2023 izrečenih 40 kazni v povezavi s pooblaščenimi osebami zaradi kršitev 37., 38. ali 39. člena Splošne uredbe, pri čemer je najvišja izrečena kazen znašala 525.000 evrov[6], večinoma pa so bile izrečene v razponu med 10.000 in 20.000 evri.

[1] Dostopno na: https://www.ip-rs.si/fileadmin/user_upload/Pdf/Mednarodno_delovanje/wp243rev01_sl.pdf.

[2] V primeru določitve skupne pooblaščene osebe je reprezentativen sindikat pri delodajalcu dolžan pomagati pri zagotavljanju zakonitosti ravnanja z osebnimi podatki in upoštevati navodila skupne pooblaščene osebe iz prejšnjega odstavka. Za ta namen lahko sindikat pri delodajalcu pooblasti osebo, ki pa ne sme biti iz javnega sektorja, če ne gre za sindikat pri delodajalcu v javnem sektorju.

Kadar sindikat pri določanju pooblaščene osebe zaradi organizacijskih ali tehničnih razlogov ne more uporabiti možnosti določitve pooblaščene osebe po določbah četrtega in petega odstavka 47. člena ZVOP-2, lahko predsednik sindikata določi, da sindikalni zaupnik ali predsednik sindikata sam opravlja naloge pooblaščene osebe.

[3] Smernice o pooblaščenih osebah za varstvo podatkov, WP 243 rev. 01, dostopno na: https://www.ip-rs.si/fileadmin/user_upload/Pdf/Mednarodno_delovanje/wp243rev01_sl.pdf

[4] Dostopno na: https://www.ip-rs.si/mnenja-zvop-2/nasprotje-interesov-med-poobla%C5%A1%C4%8Deno-osebo-za-varstvo-podatkov-dpo-in-odgovorno-osebo-za-upravljanje-informacijske-varnosti-ciso-v-ban%C4%8Dnem-sektorju-1675673200

[5] Vir: https://www.enforcementtracker.com/.

[6] https://www.enforcementtracker.com/ETid-1398. Nadzorni organ Berlina je izrekel visoko kazen podružnici podjetja, kjer je bila pooblaščena oseba obenem direktor in kjer je bil s tem kršen šesti odstavek 38. člena Splošne uredbe; pred tem pa je bilo istemu podjetju že izdano opozorilo zaradi tega.