Ta teden bomo govorili o pooblaščeni osebi za varstvo osebnih podatkov. To je institut, ki ga je uvedel GDPR, v Sloveniji pa ga podrobneje opredeljuje Zakon o varstvu osebnih podatkov (t.i. ZVOP-2). Pooblaščena oseba za varstvo osebnih podatkov (pogosto predstavljena kot DPO - kratica izhaja iz angleške terminologije, kjer DPO pomeni data protection officer oziroma v slovenščini pooblaščena oseba za varstvo osebnih podatkov) je oseba, katere funkcija je izvajanje svetovalne in nadzorne naloge s področja varovanja osebnih podatkov.
Kaj točno počne DPO?
Kot omenjeno, DPO predvsem svetuje in nadzira obdelavo osebnih podatkov v organizaciji. Sem sodijo naloge, kot so:
- svetovanje pri izdelavi ocene učinkov tveganja,
- redni pregledi procesov obdelav, ki potekajo v organizaciji,
- izobraževanje zaposlenih,
- reševanje zahtev posameznikov in
- sodelovanje z nadzornim organom v morebitnih postopkih.
Na tej točki je treba poudariti predvsem to, da je funkcija DPO-ja svetovalna, zato je pomembno, da ima DPO točne in ažurne podatke ter dostop do procesov, ki potekajo znotraj organizacije, kjer DPO deluje.
Ali je imenovanje obvezno?
Ja, v določenih primerih je imenovanje DPO-ja obvezno. Kdaj je imenovanje DPO-ja obvezno pa določata tako GDPR kot tudi slovenski ZVOP-2. V tej kolumni bomo pod drobnogled vzeli 2 pogoja; enega, ki izhaja iz GDPR in enega, ki ga postavlja slovenski zakon.
GDPR tako (med drugim) predpisuje obvezno imenovanje pooblaščene osebe za varstvo osebnih podatkov, kadar gre za organizacijo, katere temeljne dejavnosti obsegajo obdelave osebnih podatkov, pri katerih je treba redno in sistematično spremljati posameznike. Po pojasnilih našega informacijskega pooblaščenca se v zgornjo kategorijo uvrščajo predvsem spletne trgovine, IT-podjetja, ki ponujajo rešitve za obdelavo osebnih podatkov (npr. hramba v oblaku, CRM- in HRM-sistemi ipd.) pa tudi operaterji elektronskih komunikacij, banke, zavarovalnice ipd.
Na drugi strani pa naš ZVOP-2 določa, da je imenovanje pooblaščene osebe za varstvo osebnih podatkov obvezno za vse organizacije, ki obdelujejo osebne podatke več kot 100.000 posameznikov ali obdeluje posebne vrste osebnih podatkov (npr. zdravstveni podatki, podatki o socialnem stanju ipd.) več kot 10.000 posameznikov.
Kdo lahko opravlja nalogo DPO-ja?
Do zdaj smo si pogledali naloge, ki jih DPO opravlja, pa tudi, kdaj ga je posamična organizacija dolžna imenovati. Na tej točki pa si bomo pogledali, kakšne pogoje mora izpolnjevati posameznik, da lahko opravlja naloge DPO-ja.
Organizacija lahko pooblaščeno osebo za varstvo osebnih podatkov imenuje znotraj lastnih zaposlenih ali pa najame zunanjega izvajalca.
Če se organizacija odloči imenovati zaposlenega, je treba poskrbeti, da ne pride do navzkrižja interesov. DPO namreč ne sme biti zaposlen na poziciji, na kateri bi lahko prišlo do navzkrižja interesov pri opravljanju funkcije pooblaščene osebe. Tako se je v dosedanji praksi izkazalo, da kot DPO ne sme biti imenovano neposredno vodstvo organizacije, vodja IT, vodja marketinga oziroma prodaje in vodja kadrovskega oddelka.
Poleg omenjenega pogoja pa mora DPO posedovati določena znanja in odlike za opravljanje funkcije. Tako Evropski odbor za varstvo podatkov predpisuje, da mora imeti imenovana pooblaščena oseba visoko raven integritete in poklicne etike, hkrati pa seveda mora imeti znanja in izkušnje, da opravlja naloge, ki smo jih našteli.
Dodatno naš ZVOP-2 postavlja naslednje specifične pogoje:
- poslovno sposobnost,
- znanja oziroma praktične izkušnje s področja varstva osebnih podatkov in
- nekaznovanost (izkaz, da oseba ni bila pravnomočno obsojena za kaznivo dejanje).
Očitno je, da pogoji jasno odražajo tudi stališča GDPR in Evropskega odbora za varstvo podatkov, saj je (poleg obveznih znanj in izkušenj) treba zasledovati tudi nekaznovanost kot pogoj, ki sledi zahtevam po visokih etičnih standardih takšne osebe.
Kako imenovati pooblaščeno osebo?
Če ste dolžni imenovati DPO-ja, je treba poskrbeti, da javno objavite njegove kontaktne podatke, imenovanje pa je treba tudi prijaviti informacijskemu pooblaščencu.
Ne glede na to, ali ste dolžni imenovati takšno osebo ali ne, pa je lahko DPO dodana vrednost vaše organizacije, saj lahko z nasveti in nadzorom prepreči škodne dogodke ali plačilo globe v morebitnem inšpekcijskem postopku.
