Informacijski pooblaščenec (IP) je prejel zaprosilo za mnenje glede odgovornosti pooblaščenih oseb za varstvo osebnih podatkov v luči GDPR in ZVOP-2. Vprašanje se nanaša na interpretacijo izraza “odgovorna oseba pravne osebe” in ali se to nanaša na pooblaščeno osebo za varstvo osebnih podatkov ali direktorja pravne osebe.
Mnenje poudarja, da se odgovornost za kršitve zakonodaje o varstvu osebnih podatkov določa na individualni osnovi, ob upoštevanju vseh okoliščin posameznega primera.
Odgovornost se ne more avtomatsko pripisati vodstvu ali pooblaščeni osebi za varstvo podatkov. Ključno je ugotoviti, kdo je kršil zakonodajo s svojimi dejanji ali opustitvami. IP je v preteklosti kaznoval različne profile zaposlenih, odvisno od specifik posameznega primera.
Zakon o prekrških (ZP-1) določa pogoje za predpisovanje prekrškov in sankcij. Odgovorna oseba je tista, ki je pooblaščena za delovanje v imenu pravne osebe ali državnega organa. Ta oseba je odgovorna za prekrške, storjene med opravljanjem svojih dolžnosti.
V obrazložitvah k predlogu ZVOP-2 je jasno, da pooblaščene osebe niso odgovorne za zagotavljanje skladnosti obdelav osebnih podatkov. Njihova vloga je omejena na obveščanje, svetovanje in pomoč upravljavcem in obdelovalcem. Odgovornost za skladnost ostaja na zavezancih, ne pa na pooblaščenih osebah.
Čeprav pooblaščene osebe niso neposredno odgovorne za kršitve, to ne izključuje možnosti odškodninskih tožb ali regresnih zahtevkov proti njim. Vendar pa to ne spada pod pristojnost IP.
ZVOP-2 ne predpisuje sankcij za pooblaščene osebe, temveč se uporabljajo splošna pravila Splošne uredbe. Do prve polovice leta 2023 je bilo v EU izrečenih 40 kazni v povezavi s pooblaščenimi osebami, pri čemer so bile kazni izrečene pravnim osebam, ne pa posameznikom.
IP poudarja, da je odgovornost za kršitve zakonodaje o varstvu osebnih podatkov kompleksno vprašanje, ki zahteva individualno presojo. Pooblaščene osebe imajo ključno vlogo pri zagotavljanju skladnosti, vendar niso neposredno odgovorne za kršitve. Odgovornost za zagotavljanje skladnosti ostaja pri upravljavcih in obdelovalcih, ki svoje odgovornosti ne morejo prenesti na pooblaščene osebe.
