Splošna uredba o varstvu podatkov (angl. General Data Protecion Regulation – GDPR; v nadaljevanju: uredba) med številnimi novostmi, ki se nanašajo na načelo odgovornega ravnanja (accountability), uvaja tudi obvezen institut pooblaščene osebe za varstvo podatkov (angl. Data Protection Officer – DPO; v nadaljevanju: pooblaščena oseba). Smernice Delovne skupine za varstvo podatkov iz člena 29 Direktive 95/46/EC (v nadaljevanju: Delovna skupina) pojasnjujejo nekatera vprašanja, ki so se pojavila z uvedbo novega instituta in bodo služila kot pripomoček pri dilemah, vezanih na imenovanje, naloge in pristojnosti pooblaščenih oseb, imenovanje katerih bo z dnem 25. 5. 2018 tudi za javne organe, torej tudi za javne vzgojno-izobraževalne zavode^[1] (v nadaljevanju: VIZ) postalo obvezno.

V nadaljevanju bodo predstavljeni členi uredbe, ki opredeljujejo pooblaščenca kot enega ključnih akterjev v organizaciji, ki bo pripomogel k poslovanju, skladnem z uredbo, njegove naloge, položaj ter pogoje za imenovanje.

Imenovanje pooblaščene osebe

Pravno podlago za obvezno imenovanje pooblaščene osebe podaja uredba v 37. členu s tem, ko opredeli, da je imenovanje obvezno v naslednjih treh primerih.

»(a) Kadar obdelavo opravlja javni organ ali telo, razen sodišč, kadar delujejo kot sodni organ;

(b) kadar temeljne dejavnosti upravljavca ali obdelovalca zajemajo dejanja obdelave, pri katerih je treba zaradi njihove narave, obsega in/ali namenov posameznike, na katere se nanašajo osebni podatki, redno in sistematično obsežno spremljati, ali

(c) kadar temeljne dejavnosti upravljavca ali obdelovalca zajemajo obsežno obdelavo posebnih vrst podatkov v skladu s členom 9^[2] in osebnih podatkov v zvezi s kazenskimi obsodbami in prekrški iz člena 10^[3].«

 V navedenih primerih bo imenovanje pooblaščenca s 25. 5. 2018 postalo obvezno. Pri tem se takoj postavlja vprašanje, kaj vse sodi med »javni organ«. Definicijo javnega organa oz. javnega sektorja bo postavil novi Zakon o varstvu osebnih podatkov (ZVOP-2); prvi osnutek zakona[4] je bil dan v javno razpravo dne 3. 10. 2017 in pri definiciji javnega sektorja ne odstopa od definicije iz ZVOP-1, in sicer »javni sektor« pomeni državne organe, organe samoupravnih lokalnih skupnosti, nosilce javnih pooblastil, javne agencije, javne sklade, javne zavode, univerze, samostojne visokošolske zavode in samoupravne narodne skupnosti. Javni VIZ bodo torej po vsej verjetnosti morali imenovati pooblaščeno osebo.

Na tem mestu velja izpostaviti tudi možnost imenovanja ene pooblaščene osebe za več javnih organov ali teles. V tretjem odstavku 37. člena uredba določa:

»Kadar je upravljavec ali obdelovalec javni organ ali telo, se lahko za več takšnih organov ali teles ob upoštevanju njihove organizacijske strukture in velikosti imenuje ena sama pooblaščena oseba za varstvo podatkov.«

 Imenovanje ene pooblaščene osebe za več VIZ ne bo smelo vplivati na njegovo dostopnost; kljub temu da bo lahko imenovan kot pooblaščena oseba za več VIZ, bo moral biti pri vsakem zavodu dostopen tako posameznikom, na katere se osebni podatki nanašajo, nadzornemu organu kot tudi zaposlenim znotraj vsakega zavoda. Vsak posamezni zavod bo moral zagotoviti (tudi v dogovoru z drugimi), da bo pooblaščena oseba dostopna za vprašanja, ki bi jih navedeni subjekti imeli, da se bodo objavili njegovi kontaktni podatki, predvsem pa, da se mu zagotovijo vsi potrebni resursi, da bo lahko učinkovito opravljal naloge za več zavodov.

Odgovor na vprašanje, ali mora biti pooblaščena oseba nekdo od zaposlenih v zavodu, daje šesti odstavek 37. člena uredbe.

»Pooblaščena oseba za varstvo podatkov je lahko član osebja upravljavca ali obdelovalca ali pa naloge opravlja na podlagi pogodbe o storitvah.«

 Iz navedenega izhaja, da lahko VIZ na podlagi pogodbe o storitvah pooblasti drugo pravno ali fizično osebo za opravljanje funkcije pooblaščenca. Ob tem velja priporočiti, da se v pogodbi jasno opredeli, katera konkretna oseba bo opravljala funkcijo pooblaščenca, preveriti pa bi bilo tudi treba, da med VIZ in pogodbenim pooblaščencem ne obstoji konflikt interesov. ZVOP-2 lahko dodatno omeji, da mora zunanja pooblaščena oseba biti zaposlena v javnem sektorju oz. predpisati določene kriterije, ki jih mora izpolnjevati. Prvi osnutek ZVOP-2 kaže v to smer, vendar pa je treba počakati na uradno sprejeto končno različico ZVOP-2.

Profesionalne lastnosti, ki jih bo morala imeti pooblaščena oseba

Uredba v petem odstavku 37. člena določa, da se pooblaščeno osebo »imenuje na podlagi poklicnih odlik in zlasti strokovnega znanja o zakonodaji in praksi na področju varstva podatkov ter zmožnosti za izpolnjevanje nalog iz člena 39.«

Uredba konkretno ne določa, katere poklicne odlike bi moral pooblaščenec imeti, in ne opredeljuje niti vrste niti stopnje strokovnega znanja. Po mnenju Delovne skupine bi to morala biti oseba, ki dobro pozna slovensko in evropsko zakonodajo s področja varstva osebnih podatkov. Za pooblaščeno osebo bi bilo smiselno imenovati osebo, ki pozna vsebino dela konkretnega zavoda in njegovo organizacijo, hkrati pa je seznanjena z vrstami osebnih podatkov, ki se zbirajo in obdelujejo, načini in oblikami obdelave ter konkretnih potreb glede varstva in zavarovanja osebnih podatkov.

Kljub temu da raven strokovnega znanja, ki naj bi jo imela pooblaščena oseba, ni določena, bi morala biti sorazmerna s količino podatkov, ki se obdelujejo, zahtevnostjo obdelave ter tudi občutljivostjo podatkov, ki se obdelujejo.

Izboru pooblaščene osebe bi moral vsak VIZ posvetiti dovolj pozornosti; naj bo to pravnik, ki ima osnovno razumevanje delovanja informacijskih sistemov, ali informatik z zelo dobrim poznavanjem zakonodaje s področja varstva osebnih podatkov, morda tudi oseba, ki je v zavodu zadolžena za kakovost, skladnost poslovanja in podobno. Na trgu je mogoče že zaslediti ponudbe odvetniških pisarn in revizijskih hiš, ki ponujajo raznovrstne storitve skladnega poslovanja z uredbo, bo pa, kot rečeno, treba paziti na določbe ZVOP-2 glede omejitev uporabe storitev iz zasebnega sektorja.

Zmožnost za opravljanje nalog poleg poklicnih odlik in strokovne usposobljenosti vključuje tudi položaj pooblaščene osebe v organizaciji. Ker bo zavodu v pomoč pri implementaciji novosti, ki jih uvaja uredba, in ker bo imel pomembno vlogo pri ozaveščanju ter spodbujanju kulture varovanja podatkov znotraj zavoda, bo morala biti to oseba z visoko stopnjo integritete in poklicne etike.

Objava kontaktnih podatkov pooblaščene osebe

Skladno s 7. odstavkom 37. člena uredbe bo VIZ moral objaviti kontaktne podatke pooblaščene osebe in jih sporočiti nadzornemu organu (tj. Informacijskemu pooblaščencu). Javne objave imena in priimka uredba ne predpisuje (čeprav bi to bila dobra praksa), objava pa bi morala kljub temu obsegati informacije, ki bodo posamezniku omogočile enostaven dostop do pooblaščene osebe (npr. telefonska številka, elektronski naslov, obrazec na spletni strani VIZ, ki je namenjen kontaktiranju ...).

Cilj objave kontaktov je zagotoviti, da bodo lahko posamezniki, na katere se podatki nanašajo (in tudi nadzorni organi), enostavno in neposredno navezali stik s pooblaščeno osebo, kot to določa četrti odstavek 38. člena. »Posamezniki, na katere se nanašajo osebni podatki, lahko s pooblaščeno osebo za varstvo podatkov stopijo v stik glede vseh vprašanj, povezanih z obdelavo njihovih osebnih podatkov, in uresničevanjem njihovih pravic na podlagi te uredbe.«

Ne glede na zgornji dve določili bi bila smiselna tudi interna objava imena in kontaktnih podatkov pooblaščenca, in sicer tako, kot je v zavodu običajno (npr. interno glasilo, interni telefonski imenik, intranet in podobno).

Kaj bo moral VIZ zagotoviti pooblaščeni osebi, da bo lahko učinkovito opravljala svoja dela in naloge?

VIZ bo kot upravljavec osebnih podatkov dolžan skladno s prvim odstavkom 38. člena uredbe zagotoviti, da bo pooblaščenec »ustrezno in pravočasno vključena v vse zadeve v zvezi z varstvom osebnih podatkov«.

To bo VIZ zagotovil tako, da bo (kot primeroma našteva Delovna skupina) pooblaščenca vabil na sestanke vodstva, da bo pri sprejemanju odločitev, ki bodo imele vpliv na varstvo osebnih podatkov, njegova prisotnost priporočena in da bo imel pred sprejemanjem takih odločitev dovolj časa ter bo prejel vse relevantne informacije, da bo lahko podal ustrezno mnenje; da se bo njegovo mnenje upoštevalo (to ne pomeni nujno, da se bo sprejelo; v primeru sprejema odločitve, ki bo v nasprotju s pooblaščenčevim mnenjem, se priporoča dokumentiranje razlogov za tako odločitev). Brez dvoma pa bo treba pooblaščeno osebo obveščati v primeru kršitev varnosti podatkov ali v primeru kakšnega drugega varnostnega incidenta, povezanega z osebnimi podatki. Vključiti bi ga bilo treba tudi v procese prenove informacijskih sistemov, ki obdelujejo osebne podatke, pri uvajanju novih programov in podobno. Vsekakor bo pooblaščena oseba imela pomembno vlogo pri izdelavi ocen učinka, ki jih bo moral opraviti VIZ pred začetkom nove obdelave podatkov, saj bo moral skladno z drugim odstavkom 35. člena uredbe za mnenje VIZ zaprositi tudi pooblaščenca.

Koristno in z vidika ekonomične porabe časa ter denarja bi bilo, če bi VIZ pooblaščeno osebo vključil že v začetnih fazah izdelave ocene učinka, saj bo ustrezna končna odločitev tako skladnejša in lahko tudi hitreje sprejeta.

Poleg vključitve v vse zadeve, povezane z varstvom osebnih podatkov, bo VIZ pooblaščeni osebi moral zagotoviti tudi druga sredstva za opravljanje nalog. Skladno z drugim odstavkom 38. člena uredbe bo moral VIZ pooblaščeni osebi zagotoviti »sredstva, potrebna za opravljanje teh nalog, in dostop do osebnih podatkov in dejanj obdelave, ter ohranjanje njenega strokovnega znanja«. Delovna skupina je mnenja, da mora vodstvo VIZ poleg (1) aktive podpore pooblaščeni osebi nuditi oz. mu zagotoviti (2) dovolj časa za opravljanje funkcije (pooblaščena oseba namreč lahko to funkcijo opravlja poleg drugih nalog in zadolžitev, vendar bi bilo v takem primeru smotrno jasno opredeliti vse naloge in delež časa, ki se nameni za posamezno od njih), ustrezna (3) finančna sredstva in (4) ustrezne delovne pogoje (delovni prostor, delovne pripomočke, sredstva za delo ter dodatno osebje, če je to treba), (5) ozaveščati zaposlene o imenovanju pooblaščene osebe, o funkcijah, ki jih ima, in o njegovem položaju znotraj organizacije, (6) omogočiti konstruktivno sodelovanje in pridobivanje potrebnih informacij s strani drugih notranjih organizacijskih enot (kot npr. služba informatike, pravna služba, kadrovska služba ...), (7) omogočiti pooblaščeni osebi izobraževanja in usposabljanja, da bo lahko spremljal razvoj varstva osebnih podatkov.

VIZ bo moral zagotoviti tudi, da bo pooblaščena oseba svoje naloge opravljala neodvisno, pri tem mu zavod ne bo smel dajati navodil oziroma usmeritev, kako naj opravlja svoje delo ter kako naj si razlaga določbe zakona in uredbe. To določa uredba v tretjem odstavku 38. člena z zapisom: »Upravljavec in obdelovalec zagotovita, da pooblaščena oseba za varstvo podatkov pri opravljanju teh nalog ne prejema nobenih navodil.« Zapisano dopolnjuje 97. uvodna določba uredbe, ki določa, da bo morala pooblaščena oseba, ne glede na to, ali bo zaposlen pri upravljavcu ali ne, svoje dolžnosti in naloge izvajati neodvisno.

Kljub neodvisnosti pooblaščene osebe pri delu to ne pomeni, da bo zavod zavezan sprejeti njegove predloge in mnenja. Zavodu bo ostala avtonomija pri sprejemanju odločitev, s tem pa tudi odgovornost za zakonsko skladno obdelavo osebnih podatkov. Zelo pomembno je sporočilo, da je za skladnost z zakonodajo odgovoren zavod in ne pooblaščena oseba. V primeru sprejema odločitve v nasprotju z mnenjem pooblaščene osebe bi bilo smotrno pisno dokumentirati razloge za tako odločitev.

VIZ bo skladno s tretjim odstavkom 38. člena uredbe dolžan prav tako zagotoviti, da bo pooblaščenec neposredno poročal najvišji upravni ravni zavoda, to je direktorju oz. ravnatelju.

Uredba je v 38. členu zagotovila tudi ustrezno zaščito pooblaščene osebe, da bo svoje naloge lahko opravljala svoje naloge učinkovito ter neodvisno in zapisala, da »pooblaščena oseba za varstvo podatkov ne sme biti razrešena ali kaznovana zaradi opravljanja svojih nalog«.

Kot že zapisano v predhodnem tekstu, bo pooblaščena oseba poleg nalog, ki bodo predstavljene v nadaljevanju, lahko opravljala tudi druge naloge in zadolžitve, vendar pa bo VIZ pri tem moral zagotoviti, da ne bo prihajalo do nasprotja interesov.^[5] Do nasprotja interesov bi lahko prišlo na primer takrat, ko bi bila pooblaščena oseba hkrati tudi pristojna za sprejemanje odločitev o namenih in sredstvih obdelave podatkov. Vodje kadrovskih služb, vodje računovodskih služb in vodje informatike ter ravnatelji so lahko hitro v konfliktu interesov. Glede uradnih oseb za posredovanje informacij javnega značaja je treba opraviti presojo od primera do primera glede potencialnih konfliktov; če gre za ravnatelje, bo treba iskati druge rešitve.

Zadolžitve, ki jih uredba nalaga pooblaščenim osebam 

Naloge in pooblastila, ki jih uredba zaupa pooblaščenim osebam, so opredeljene predvsem v 39. členu; ob tem velja zapisati, da gre za osnovni seznam nalog, ki se bo lahko v dogovoru med zavodom in pooblaščeno osebo tudi dopolnjeval.

Med prvimi zadolžitvami je navedena dolžnost obveščanja in svetovanja tako zavoda kot tudi zaposlenih, ki sodelujejo pri obdelavi osebnih podatkov o njihovih obveznostih, vezanih na varstvo podatkov, ki jih določa uredba, druga določila prava Evropske unije in slovenska zakonodaja.

Pooblaščenec bo zadolžen za spremljanje skladnosti poslovanja z uredbo; preverjal bo, ali bo delovanje zavoda v zvezi z obdelavo podatkov ažurno in skladno z evropsko in slovensko zakonodajo, ali je skladno dodeljevanje nalog, ali je osebje, ki bo sodelovalo pri obdelavi podatkov, ustrezno usposobljeno in ozaveščeno. Konkretno to pomeni, da bo morala pooblaščena oseba delovati kot interni nadzorni organ, ki spremlja skladnost, izdela poročilo in poroča vodstvu, to pa je odgovorno za implementacijo ukrepov in priporočil pooblaščene osebe. Na tem mestu velja še enkrat poudariti, da je odgovornost varstva podatkov na zavodu, pooblaščenčeva naloga je zgolj, da to nadzira in svetuje.

Če bo zavod dolžan izvesti oceno učinka, bo pooblaščena oseba pri tem svetovala zavodu. Zavod se bo na pooblaščeno osebo obrnil z vprašanji, kot so, ali je treba oceno učinka izvesti in če da, s katero metodo ali izvedbo ocene učinka zaupati zunanji instituciji ali jo izvede sama, kako se lahko zmanjša vpliv na pravice posameznikov, kateri podatki se obdelujejo ter ali je bila opravljena ocena učinka izvedena ustrezno in ali so njeni zaključki skladni z veljavno zakonodajo.

Naslednja naloga pooblaščene osebe je, da bo sodeloval z nadzornim organom, to je Informacijskim pooblaščencem, ter bo deloval kot kontaktna točka za nadzorni organ, kadar se bo le-ta obrnil na VIZ pri vprašanjih, vezanih na obdelavo podatkov (npr. v inšpekcijskem postopku).

Pri opravljanju svojih nalog bo pooblaščenec dolžan varovati »skrivnost ali zaupnost v skladu s pravom Unije ali pravom države članice«^[6], vendar pa se bo kljub temu lahko obrnil na Informacijskega pooblaščenca, če bo v konkretni zadevi potreboval pomoč ali posvet.

Pri svojem delu bi si moral narediti seznam nalog in jim določiti prioritetno stopnjo ter se primarno lotiti zadev, ki predstavljajo višjo grožnjo za varstvo podatkov. Pri svojem delu bo moral upoštevati tveganja obdelave, tudi naravo, obseg, okoliščine in namene obdelave.

Sklepno

Po vsej verjetnosti bodo VIZ morali imenovati pooblaščene osebe za varstvo osebnih podatkov, dokončni odgovor pa bo dal ZVOP-2. VIZ bi morali preučiti, ali imajo ustrezne kadrovske resurse za opravljanje predvidenih nalog ob upoštevanju omejitev glede konflikta interesov in morebitnih dodatnih pogojev za imenovanje po ZVOP-2. Prav gotovo pa je na mestu tudi razmislek o imenovanju skupnih pooblaščenih oseb, ki bi pokrivale več VIZ, seveda ob upoštevanju organizacijskih struktur, dostopnosti in resursov, ki jih imajo na voljo VIZ.