...

Nasprotje interesov in funkcija DPO

Kdo je lahko pooblaščena oseba za varstvo osebnih podatkov, smo že pisali v prispevku, ki si ga lahko preberete tukaj. V prispevku smo med drugim omenili tudi, da za pooblaščeno osebo za varstvo osebnih podatkov ne more biti imenovana oseba, ki je v nasprotju interesov z upravljavcem ali obdelovalcem ali v nasprotju interesov s sovjimi drugimi nalogami pri upravljavcu ali obdelovalcu.

Kdaj pa sploh je oseba imenovana za DPO v nasprotju interesov, pa smo se odločili, da vam predstavimo v tem prispevku.

Več prispevkov na temo varstva osebnih podatkov, javnega naročanja, delovnega prava in drugo, si lahko preberete tukaj.

Na portalu vam nudimo pravno svetovanje s področja varstva osebnih podatkov, pregledamo skladnost vašega poslovanja, pripravimo vso potrebno dokumentacijo, za vas pa lahko tudi izvajamo storitev pooblaščene osebe za varstvo osebnih podatkov – DPO

Kaj je nasprotje interesov?

Nasprotje interesov v Republiki Sloveniji ureja veča zakonom za posamezna področja, vendar je temeljno definicijo nasprotja interesov urejena v Zakonu o integriteti in preprečevanju korupcije (v nadaljevanju ZIntPK), ki nasprotje interesov definira kot okoliščine, v katerih zasebni interes uradne osebe ali osebe, ki jo subjekt javnega sektorja imenuje kot zunanjega člana komisije, sveta, delovnih skupin ali drugega primerljivega telesa, vpliva ali ustvarja videz, da vpliva na nepristransko in objektivno opravljanje njenih javnih nalog.

ZIntPK tako določa, da gre za nasprotje interesov že takrat, ko gre za okoliščine, ki samo ustvarjajo videz, da bi lahko zasebni interes uradne osebe prevladal nad nepristranskostjo delovanja le-te. Ni potrebno, da sploh pride do nepristranskega ravnanja uradne osebe, dovolj je samo videz, da bi lahko do takšnega dejanja prišlo.

 Komisija za preprečevanje korupcije je zasebni interes uradne osebe definirala kot premoženjsko ali nepremoženjsko korist zanjo, za njene družinske člane in za druge fizične ali pravne osebe, s katerimi ima, ali je imela ta uradna oseba ali njen družinski član osebne, poslovne ali politične stike.

Zakon o varstvu osebnih podatkov (v nadaljevanju ZVOP-2) v petem odstavku 46. člena določa, da za pooblaščeno osebo ali njenega namestnika ne sme biti določena oseba, ki je v nasprotju interesov z upravljavcem in obdelovalcem ali je njeno delo pooblaščene osebe v nasprotju z njenimi drugimi nalogami ali s položajem pri upravljavcu in obdelovalcu.

ZVOP-2 nadalje za javni sektor določa, da je DPO v nasprotju interesov, kadar:

  • je določen za upravljavca informacijskega sistema,
  • je določen za skrbnika informacijskega sistema ali vodja informacijske varnosti,
  • ima položaj predstojnika v osebi javnega sektorja,
  • je član organov upravljanja ali nadzora pri upravljavcu ali obdelovalcu,
  • njene druge naloge vključujejo sistemsko odločanje o obdelavi osebnih podatkov pri upravljavcu ali obdelovalcu ali
  • če zastopa upravljavca oziroma obdelovalca v sodnih ali arbitražnih postopkih v zvezi z vprašanji varstva osebnih podatkov.

ZVOP-2 določa, da se zgoraj navedene določbe smiselno uporabljajo tudi za pravne osebe zasebnega prava, se pravi za gospodarske družbe.

GDPR – Uredba (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES v šestem odstavku 38. člena določa, da lahko pooblaščena oseba za varstvo podatkov opravlja druge naloge in dolžnosti. Upravljavec ali obdelovalec zagotovi, da zaradi vsakršnih takih nalog in dolžnosti ne pride do nasprotja interesov.

Nasprotje ali konflikt interesov urejajo tudi drugi zakoni, med drugim:

 Informacijski pooblaščenec je že v več odločbah in mnenjih pojasnil, da je eno izmed vodil pri delu pooblaščene osebe njena neodvisnost, saj pooblaščena oseba med drugim ne sme biti v konfliktu interesov. To predvsem pomeni, da pooblaščena oseba v organizaciji ne sme imeti položaja, ki bi omogočal opredelitev namenov ali storitev obdelave osebnih podatkov. Iz navedenega izhaja, da nalog pooblaščene osebe ne more opravljati nekdo, ki odloča o sredstvih in namenih obdelave osebnih podatkov, saj bi sicer pooblaščena oseba nadzirala samo sebe.

Na portalu vam nudimo pravno svetovanje s področja varstva osebnih podatkov, pregledamo skladnost vašega poslovanja, pripravimo vso potrebno dokumentacijo, za vas pa lahko tudi izvajamo storitev pooblaščene osebe za varstvo osebnih podatkov – DPO

Evropean Data protection Supervisor oziroma Evropski nadzorni organ za varstvo osebnih podatkov je sprejel smernice, v katerih med drugim pojasnjuje, da nasprotujoči si položaji v organizaciji vključujejo položaje:

  • višjega vodstva (kot so izvršni direktor, operativni direktor, finančni direktor, vodja zdravstvene službe, vodja oddelka za trženje, vodja službe za človeške vire ali vodja oddelkov za informacijsko tehnologijo) in
  • druge vloge na nižji ravni organizacijske strukture, če taki položaji ali vloge vodijo v določitev namenov in sredstev obdelave osebnih podatkov.

Nasprotje interesov lahko poleg tega na primer nastopi, če je zunanja pooblaščena oseba za varstvo podatkov pooblaščena, da upravljavca ali obdelovalca v zadevah, povezanih z varstvom podatkov, zastopa pred sodišči.

Kaj narediti, če ugotovimo nasprotje interesov?

Evropski nadzorni organ za varstvo podatkov v svojih smernicah predlaga ukrepe, ki zmanjšajo možnost nastanka nasprotja interesov.

Upravljavec in obdelovalec, glede na velikost svoje organizacije, naj sprejmeta naslednje ukrepe za zmanjšanje možnosti nastanka nasprotja interesov DPO:

  • v internem aktu naj se opredelijo položaji, ki bi bili nezdružljivi s funkcijo pooblaščene osebe za varstvo podatkov,
  • izdela naj se interni akt, ki oblikuje notranja pravila o tem, kako preprečiti nasprotja interesov,
  • vključitev splošnejše razlage nasprotij interesov v interni akt,
  • priprava izjave obdelovalca ali upravljavca, da njihova pooblaščena oseba za varstvo podatkov ni v nasprotju interesov v zvezi s svojo funkcijo, kot način seznanjanja s to zahtevo in
  • vključitev zaščitnih ukrepov v notranja pravila organizacije in zagotovitev, da je razpis prostega delovnega mesta pooblaščene osebe za varstvo podatkov ali pogodba o storitvah dovolj natančna in podrobna za preprečevanje nasprotja interesov.

Vsak obdelovalec in upravljavec naj pri imenovanju oziroma določitvi pooblaščene osebe za varstvo podatkov, najprej vzpostavi sistem imenovanja, da se v čim večji meri izogne imenovanju pooblaščene osebe za varstvo podatkov, ki je v nasprotju interesov s svojim sedanjim delom, oziroma imenuje zunanjega sodelavca, ki upravljavcu ali obdelovalca zastopa pred sodišči v postopkih zaradi varstva osebnih podatkov.

 ZVOP-2 določa, da mora v primerih, ko pooblaščena oseba za varstvo podatkov izve za okoliščine, ki predstavljajo, ali bi lahko predstavljale nasprotje interesov, o tem takoj pisno obvesti upravljavca oziroma obdelovalca.

Upravljavec oziroma obdelovalec v takem primeru odpravi nasprotje ali pooblaščeno osebo razreši opravljanja določene naloge kot pooblaščene osebe ali s položaja pri upravljavcu ali obdelovalcu.

Upravljavec in obdelovalec ne smeta imenovati svojega zaposlenega za pooblaščeno osebo za varstvo podatkov, če le-ta že prej opravlja naloge, ki so v nasprotju interesov s funkcijo pooblaščene osebe za varstvo podatkov.

 ZVOP-2 pa upravljavcu in obdelovalcu omogoča, da nezakonitost odpravi na dva načina:

  • razreši pooblaščeno osebo za varstvo podatkov in na njegovo mesto imenuje drugega delavca, ki ni v nasprotju interesov in
  • že imenovani oziroma določeni pooblaščeni osebi za varstvo podatkov odvzame naloge, ki so v nasprotju s funkcijo DPO.

 Na portalu vam nudimo pravno svetovanje s področja varstva osebnih podatkov, pregledamo skladnost vašega poslovanja, pripravimo vso potrebno dokumentacijo, za vas pa lahko tudi izvajamo storitev pooblaščene osebe za varstvo osebnih podatkov – DPO

Globe za prekršek

ZVOP-2 v 95. členu določa, da prekrškovni organ izreka globe za kršitve, ki jih predvideva GDPR pravnim osebam in samostojnim podjetnikom, v višini in razponu, kot jih določa GDPR v 83. členu.

 GDPR v 83. členu določa, upravne globe v znesku do 10 000 000 € ali v primeru družbe v znesku do 2 % skupnega svetovnega letnega prometa v preteklem proračunskem letu, odvisno od tega, kateri znesek je višji za kršitev obveznosti upravljavca in obdelovalca v skladu s členi 8, 11, 25 do 39 ter 42 in 43.

 GDPR imenovanje pooblaščene osebe in nasprotje interesov ureja v 38. členu. Sodne prakse zaradi izdanih glob za prekršek zaradi neupoštevanja prepovedi nasprotja interesov še ni, glede na predpisane globe, pa so le-te lahko precej visoke.

 Za svetovanje s področja varstva osebnih podatkov, ali pa če potrebujete DPO, nas kontaktirajte

Pravno svetovanje

Contact Form Demo

Komentiraj

Vaš e-naslov ne bo objavljen. * označuje zahtevana polja

Scroll to Top