Kdo je DPO in ali ga morate imenovati tudi vi?

,

Za eno največjih sprememb, ki jih prinaša nova evropska Uredba o varstvu osebnih podatkov, velja zahteva po imenovanju Pooblaščene osebe za varstvo osebnih podatkov (DPO). To pomeni, da v kolikor spadate v skupino organizacij, ki po GDPR morajo imenovati DPO-ja, ste primorani to storiti do najkasneje 25.5.2018, ko nova Uredba stopi v veljavo.

Katere gospodarske družbe morajo imenovati DPO-ja?

Uredba določa, da morajo DPO-ja imenovati organizacija, ki spadajo v eno teh treh skupin z določenimi karakteristikami:

  1. Prva skupina so upravljalci in obdelovalci javnega sektorja. Sem spadajo vse državne institucije, torej vsa ministrstva, javni zavodi, bolnišnice, šole, vrtci, javne agencije in podobno.
  2. V drugo skupino spadajo vsi gospodarski subjekti, katerih temeljna dejavnost zajema tovrstno obdelavo osebnih podatkov, ki obsega redno, sistematično in obsežno spremljanje posameznikov. Kot primer bi lahko navedli zavarovalnice, kadrovske agencije, spletne trgovine, trgovine s karticami zvestobe, in ostala podjetja, ki se ukvarjajo s segmentacijo in profiliranjem posameznikov.
  3. V tretjo skupino pa spadajo vsi gospodarski subjekti, katerih temeljne dejavnosti upravljavca zajemajo obsežno obdelavo posebnih vrst osebnih podatkov ali osebnih podatkov v zvezi s kazenskimi obsodbami in prekrški. Med posebne vrste osebnih podatkov spadajo podatki o verskem prepričanju, zdravstvenem stanju, članstvo v sindikatu in podobno.

Če ste v dvomih, je priporočljivo, da naredite notranjo analizo ter jo dokumentirate, kot podlago in dokaz za odločitev o imenovanju DPO-ja. Pri tem vam lahko pomaga tudi certificiran(a) strokovnjak(inja) za varstvo osebnih podatkov.

Kdo je lahko DPO?

DPO je lahko nekdo, ki izkazuje strokovno znanje iz področja varstva osebnih podatkov ter poznavanja ustrezne zakonodaje, tako evropske, kot tudi državne in področne. Najprimerneje je, da imenujete osebo, ki ima dokaz o ustreznem znanju, na primer Certifikat ali podobno. DPO je lahko vaš zaposleni ali zunanji, pogodbeni svetovalec. V primeru, da ste manjše ali srednje veliko podjetje in nimate ustreznega kadra, velja za bolj smotrno, da za DPO-ja imenujete pogodbenega svetovalca, kajti obstaja možnost konflikta interesov v primeru, da je vaš DPO, hkrati tudi vaš zaposlen.

Kar se tiče imenovanja DPO-ja v javnem sektorju, so določila, ki jih opredeljuje ZVOP-2 (ni še sprejet), nekoliko drugačna. Javni organi morajo imenovati DPO-ja, ki mora poleg izkazovanja strokovnega znanja, imeti še najmanj tri leta delovnih izkušenj iz področja varovanja osebnih podatkov ali poslovne skrivnosti, imeti vsaj univerzitetno izobrazbo ter biti mora zaposlen v javnem sektorju. Javni sektor lahko izjemoma najame zunanjega izvajalca, v primeru, da ima manj kot 20 zaposlenih.

Sprememba iz ZVOP-2 (Predlog zakona, 4.4.2018):

“Upravljavci ali obdelovalci iz javnega sektorja, razen državnih organov, lahko za pooblaščeno osebo, če je ni mogoče določiti znotraj osebe javnega sektorja v skladu s tem zakonom ali določiti skupne pooblaščene osebe z drugimi upravljavci ali obdelovalci javnega sektorja, lahko s pogodbo v pisni obliki določijo tudi posameznika ali posameznico iz zasebnega sektorja ali pravno osebo iz zasebnega sektorja v skladu s petim odstavkom tega člena.”

Kaj je potrebno storiti, ko imenujete DPO-ja?

Po imenovanju DPO-ja, morate v roku 8 dni vpisati njegove kontaktne podatke v evidenco dejanj obdelave, jih javno objaviti na primeren način ter sporočiti Informacijskemu pooblaščencu. Poleg tega, mora organizacija o tem seznaniti posameznike, na katere se nanašajo osebni podatki.

Kaj so naloge in dolžnosti DPO-ja?

Poleg tega, da Uredba narekuje, da mora imeti DPO ustrezna strokovna znanja in izkušnje, v veliki meri določa tudi njegove naloge in dolžnosti, ki pa seveda niso omeje zgolj na te:

  • svetovanje upravljavcu/obdelovalcu o obveznostih v skladu z novo uredbo, drugimi določbami prava EU in slovensko pravno ureditvijo varstva osebnih podatkov ter obveščanje o novostih in spremembah;
  • spremljanje skladnosti obdelave osebnih podatkov s predpisi in politiko podjetja ter usposabljanje zaposlenih, vključenih v obdelavo osebnih podatkov;
  • svetovanje, kadar je to zahtevano, glede ocene učinka na varstvo osebnih podatkov;
  • spremljanje izvajanja politik in sledenja pravilnikom upravljanja in rokovanja z zbirkami osebnih podatkov;
  • sodelovanje in komuniciranje z nadzornim organom (Informacijski pooblaščenec);
  • kontaktna točka za nadzorni organ pri vprašanjih v zvezi z obdelavo osebnih podatkov.

Imenovanje DPO je lahko vaša zakonska obveza ali pa ga imenujete zaradi zunanje podobe podjetja. Skladnost z Uredbo in slovensko zakonodajo o varstvu osebnih podatkov je lahko za določeno podjetje tudi konkurenčna prednost. Posameznikom, katerih podatke upravljate in obdelujete, boste lahko tako dokazali, da se njihovi podatki obdelujejo v skladu s predpisi in da je njihova zasebnost dobro zavarovana.

V kolikor imate kakšno vprašanje ali vas zanima ponudba storitve Zunanji DPO, nas kontaktirajte in z veseljem vam bomo pomagali.