Prispevki

Kdo je DPO in ali ga morate imenovati tudi vi?

,

Za eno največjih sprememb, ki jih prinaša nova evropska Uredba o varstvu osebnih podatkov, velja zahteva po imenovanju Pooblaščene osebe za varstvo osebnih podatkov (DPO). To pomeni, da v kolikor spadate v skupino organizacij, ki po GDPR morajo imenovati DPO-ja, ste primorani to storiti do najkasneje 25.5.2018, ko nova Uredba stopi v veljavo.

Katere gospodarske družbe morajo imenovati DPO-ja?

Uredba določa, da morajo DPO-ja imenovati organizacija, ki spadajo v eno teh treh skupin z določenimi karakteristikami:

  1. Prva skupina so upravljalci in obdelovalci javnega sektorja. Sem spadajo vse državne institucije, torej vsa ministrstva, javni zavodi, bolnišnice, šole, vrtci, javne agencije in podobno.
  2. V drugo skupino spadajo vsi gospodarski subjekti, katerih temeljna dejavnost zajema tovrstno obdelavo osebnih podatkov, ki obsega redno, sistematično in obsežno spremljanje posameznikov. Kot primer bi lahko navedli zavarovalnice, kadrovske agencije, spletne trgovine, trgovine s karticami zvestobe, in ostala podjetja, ki se ukvarjajo s segmentacijo in profiliranjem posameznikov.
  3. V tretjo skupino pa spadajo vsi gospodarski subjekti, katerih temeljne dejavnosti upravljavca zajemajo obsežno obdelavo posebnih vrst osebnih podatkov ali osebnih podatkov v zvezi s kazenskimi obsodbami in prekrški. Med posebne vrste osebnih podatkov spadajo podatki o verskem prepričanju, zdravstvenem stanju, članstvo v sindikatu in podobno.

Če ste v dvomih, je priporočljivo, da naredite notranjo analizo ter jo dokumentirate, kot podlago in dokaz za odločitev o imenovanju DPO-ja. Pri tem vam lahko pomaga tudi certificiran(a) strokovnjak(inja) za varstvo osebnih podatkov.

Kdo je lahko DPO?

DPO je lahko nekdo, ki izkazuje strokovno znanje iz področja varstva osebnih podatkov ter poznavanja ustrezne zakonodaje, tako evropske, kot tudi državne in področne. Najprimerneje je, da imenujete osebo, ki ima dokaz o ustreznem znanju, na primer Certifikat ali podobno. DPO je lahko vaš zaposleni ali zunanji, pogodbeni svetovalec. V primeru, da ste manjše ali srednje veliko podjetje in nimate ustreznega kadra, velja za bolj smotrno, da za DPO-ja imenujete pogodbenega svetovalca, kajti obstaja možnost konflikta interesov v primeru, da je vaš DPO, hkrati tudi vaš zaposlen.

Kar se tiče imenovanja DPO-ja v javnem sektorju, so določila, ki jih opredeljuje ZVOP-2 (ni še sprejet), nekoliko drugačna. Javni organi morajo imenovati DPO-ja, ki mora poleg izkazovanja strokovnega znanja, imeti še najmanj tri leta delovnih izkušenj iz področja varovanja osebnih podatkov ali poslovne skrivnosti, imeti vsaj univerzitetno izobrazbo ter biti mora zaposlen v javnem sektorju. Javni sektor lahko izjemoma najame zunanjega izvajalca, v primeru, da ima manj kot 20 zaposlenih.

Sprememba iz ZVOP-2 (Predlog zakona, 4.4.2018):

“Upravljavci ali obdelovalci iz javnega sektorja, razen državnih organov, lahko za pooblaščeno osebo, če je ni mogoče določiti znotraj osebe javnega sektorja v skladu s tem zakonom ali določiti skupne pooblaščene osebe z drugimi upravljavci ali obdelovalci javnega sektorja, lahko s pogodbo v pisni obliki določijo tudi posameznika ali posameznico iz zasebnega sektorja ali pravno osebo iz zasebnega sektorja v skladu s petim odstavkom tega člena.”

Kaj je potrebno storiti, ko imenujete DPO-ja?

Po imenovanju DPO-ja, morate v roku 8 dni vpisati njegove kontaktne podatke v evidenco dejanj obdelave, jih javno objaviti na primeren način ter sporočiti Informacijskemu pooblaščencu. Poleg tega, mora organizacija o tem seznaniti posameznike, na katere se nanašajo osebni podatki.

Kaj so naloge in dolžnosti DPO-ja?

Poleg tega, da Uredba narekuje, da mora imeti DPO ustrezna strokovna znanja in izkušnje, v veliki meri določa tudi njegove naloge in dolžnosti, ki pa seveda niso omeje zgolj na te:

  • svetovanje upravljavcu/obdelovalcu o obveznostih v skladu z novo uredbo, drugimi določbami prava EU in slovensko pravno ureditvijo varstva osebnih podatkov ter obveščanje o novostih in spremembah;
  • spremljanje skladnosti obdelave osebnih podatkov s predpisi in politiko podjetja ter usposabljanje zaposlenih, vključenih v obdelavo osebnih podatkov;
  • svetovanje, kadar je to zahtevano, glede ocene učinka na varstvo osebnih podatkov;
  • spremljanje izvajanja politik in sledenja pravilnikom upravljanja in rokovanja z zbirkami osebnih podatkov;
  • sodelovanje in komuniciranje z nadzornim organom (Informacijski pooblaščenec);
  • kontaktna točka za nadzorni organ pri vprašanjih v zvezi z obdelavo osebnih podatkov.

Imenovanje DPO je lahko vaša zakonska obveza ali pa ga imenujete zaradi zunanje podobe podjetja. Skladnost z Uredbo in slovensko zakonodajo o varstvu osebnih podatkov je lahko za določeno podjetje tudi konkurenčna prednost. Posameznikom, katerih podatke upravljate in obdelujete, boste lahko tako dokazali, da se njihovi podatki obdelujejo v skladu s predpisi in da je njihova zasebnost dobro zavarovana.

V kolikor imate kakšno vprašanje ali vas zanima ponudba storitve Zunanji DPO, nas kontaktirajte in z veseljem vam bomo pomagali.

Kaj za vas in vaše podjetje pomeni nova uredba o varstvu osebnih podatkov (GDPR)?

,

Evropska unija nam je pripravila nova pravila glede varovanja osebnih podatkov, ki so združena v novi Splošni uredbi in jo najbolje poznamo po kratici GDPR. Govora o tem, kaj vse morajo fizične in pravne osebe spremeniti, popraviti in na novo vpeljati v svoje poslovne procese in tehnološke rešitve, je veliko, še posebej pa se izpostavljajo velike denarne kazni, ki čakajo tiste, ki pravilom o varovanju osebnih podatkov ne bodo sledili, oziroma jih bodo kršili. V nadaljevanju smo združili nekaj glavnih usmeritev in napotkov kako se lotiti doseganja skladnosti z novo zakonodajo in se s tem izogniti morebiti globi.

  • Zbirke osebnih podatkov – Preden se podate v konkretne ukrepe je ključnega pomena, da v vašem podjetju ugotovite katere zbirke osebnih podatkov upravljate in ali jih sploh potrebujete za vaše poslovanje.
  • Zavarovanje in varnostne politike – V kolikor v vašem podjetju upravljate z eno ali več zbirkami osebnih podatkov in so te ključnega pomena za vaše poslovanje, se osredotočite na zavarovanje teh zbirk pred možnimi nedovoljenimi dostopi, krajo ali uničenjem.
  • Izobraževanje zaposlenih – Zgolj izobraženost vodstva o novi zakonodaji in pravilih v skladu z varovanjem osebnih podatkov je premalo, kajti ključnega pomena v procesu so zaposleni, ki vsakodnevno dostopajo do osebnih podatkov in jih obdelujejo. V skladu s tem se priporoča, da podjetje za svoje zaposlene pripravi ustrezno izobraževanje.
  • Postavite pravila – Zgolj izobraževanja v večini primerov ne bodo zadostovala, zato se priporoča, da oblikujete ustrezne pravilnike in napotke v primeru upravljanja in obdelave vaših zbirk osebnih podatkov tako znotraj, kot tudi zunaj vašega podjetja.
  • Pazljivo izberite pogodbene obdelovalce – Preverite, da vsi vaši pogodbeni partnerji (izvajalci storitev), ki bodo obdelovali vaše zbirke osebnih podatkov, sledijo vašim pravilom glede varovanja osebnih podatkov in so hkrati vpeljali vse ukrepe za doseganje skladnosti z novo zakonodajo.
  • Ali osebne podatke sploh smete obdelovati? – Pred samim upravljanjem osebnih podatkov, kamor spada že tudi hranjenje le teh, preverite ali imate za to ustrezno pravno podlago in ali je to z zakonom dopuščeno. V kolikor niste povsem prepričani, raje povprašajte vašega svetovalca za varovanje osebnih podatkov.
  • Kaj je DPO in ali ga morate imenovati? – DPO je pooblaščena oseba za varovanje osebnih podatkov in ima nalogo, da vam svetuje in pomaga pri vpeljavi ukrepov za zagotavljanje skladnosti z zakonodajo, vam pomaga v primeru obiska informacijskega pooblaščenca (inšpektorja) ter drugo. Imenovati ga morajo vsi javni organi, upravljalci in obdelovalci osebnih podatkov, katerih osnovna dejavnost vključuje obsežne obdelave ter upravljalci in obdelovalci katerih osnovna dejavnost vključuje obdelavo posebnih vrst osebnih podatkov.

Ste kljub vsem napotkom in smernicam, ki ste jih prebrali in pridobili, še vedno v dvomih? Potrebujete pri tem strokovno pomoč? Za morebitno pomoč, svetovanje ali nasvet Pooblaščene osebe za varovanje osebnih podatkov (DPO) nam pišite ali nas pokličite in z veseljem vam bomo pomagali. Kontaktni podatki so vam na voljo tukaj.