Preverite, ali morate tudi vi imeti pooblaščeno osebo za varstvo podatkov po GDPR

Splošna uredba Evropske unije o varstvu osebnih podatkov, znana tudi kot GDPR¹ (ang. General data Protection Regulation), se uporablja od 25. maja 2018. Med številnimi novostmi je GDPR uvedla tudi funkcijo Pooblaščene osebe za varstvo podatkov (ang. Data Protection Officer ali DPO). V praksi se je prijela kratica DPO, redno jo uporablja tudi Informacijski pooblaščenec.

Informacijski pooblaščenec je pričel aktivno preverjati ali so zavezanci, ki so DPO-ja dolžni imenovati, to tudi izvedli. Podatke imenovanega DPO mora zavezanec javno objaviti na svoji spletni strani in o tem obvezno obvestiti Informacijskega pooblaščenca. Tako lahko vsakdo (tudi Informacijski pooblaščenec) enostavno preveri, ali je zavezanec izpolnil svoje obveznosti. Namen funkcije DPO je ravno v tem, da je enostavno dosegljiv splošni javnosti oziroma posameznikom.

V skladu s 37. členom GDPR morajo DPO imenovati:

• javni organi ali telesa (ves javni sektor),
• organizacije, katerih temeljne dejavnosti zajemajo dejanja obdelave, pri katerih je treba zaradi njihove narave, obsega in/ali namenov posameznike, na katere se nanašajo osebni podatki, redno in sistematično obsežno spremljati (npr. banke, zavarovalnice, operaterji elektronskih komunikacij, trgovci s klubi zvestobe, spletni trgovci …),
• organizacije, ki obsežno obdelujejo posebne vrste osebnih podatkov. To so občutljivi osebni podatki, kot so zdravstveni podatki, podatki o spolni usmerjenosti, politični dejavnosti, verski pripadnosti, sindikalnih dejavnostih ipd. Običajno v to kategorijo spadajo bolnišnice, klinike, zdravstveni zavodi, ponudniki informacijskih sistemov in storitev, večji sindikati …).

DPO lahko prostovoljno imenujejo tudi organizacije, ki k temu niso obvezane, pa ga zaradi želje po zagotavljanju varstva podatkov želijo imenovati.

Vsem organizacijam svetujemo, da najprej preverijo ali je imenovanje DPO za njih obvezno ali samo priporočljivo. Iz letnega poročila Informacijskega pooblaščenca za leto 2021 izhaja, da je imenovanje DPO izvedlo že preko 2.500 podjetij v Sloveniji².

Pooblaščena oseba za varstvo podatkov je lahko notranja (zaposlena znotraj organizacije) ali zunanja (pogodbena pooblaščena oseba). Ne glede na svojo obliko, pa se mora DPO odlikovati z bogatimi poklicnimi odlikami in s strokovnim znanjem o zakonodaji in praksi na področju varstva podatkov.

Naloge DPO so podrobno opisane v 39. členu GDPR, njegovo delo je zelo podobno vlogi revizorja. Najprej mora dobro poznati organizacijo, ki ga je imenovala in posebnosti njene dejavnosti. Dobro mora poznati zakonodajo in njihovo uporabo v praksi. Delo DPO se pogosto vsaj delno prekriva s področjem informacij javnega značaja, kjer je potrebno tehtati, katera pravica ima prednost (varstvo zasebnosti ali javnost informacije). Zadnje področje, ki ga mora DPO poznati pa je področje informacijske varnosti. Tako za zunanjo ali notranjo DPO je pomembno, da se redno izobražuje in da ima za opravljanje svoje naloge na razpolago dovolj časa in zagotovljena sredstva. Zelo priporočljivo je, da pripravi letni načrt dela, ki ga organizacija sprejme oz. potrdi. Skratka, znanje in sposobnosti DPO morajo biti prilagojene konkretni organizaciji in obveznost vodstva je, da imenuje »dovolj dobrega« DPO.

Po mnenju strokovnjaka, ki se s tem področjem ukvarja že preko 20 let, doc. dr. Benjamina Lesjaka, pooblaščena oseba za varstvo podatkov pri opravljanju svojih nalog ne sme prejemati nobenih navodil in mora biti neodvisna. Prav tako ne sme biti razrešena ali kaznovana zaradi opravljanja svojih nalog. Pooblaščena oseba ne sme imeti položaja v organizaciji, ki bi omogočal opredelitev namenov ali storitev obdelave osebnih podatkov, se pravi ne sme biti direktor, ravnatelj, pomočnik vodstva, prokurist, vodja kadrovsko računovodske službe ipd. Bistvo je preprečevanje konflikta interesov. Zaradi navedenih zahtev je imenovanje zaposlenega za notranje pooblaščene osebe za varstvo podatkov v organizacijah pogosto oteženo, še meni dr. Lesjak.

Naloge pooblaščene osebe za varstvo podatkov vključujejo tudi svetovanje (upravljavcu ali obdelovalcu podatkov) glede zahtev, ki jih nalaga zakonodaja, obveščanje in izobraževanje zaposlenih, spremljanje skladnosti z GDPR in celotno zakonodajo iz tega področja, svetovanje glede ocene učinka v zvezi z varstvom podatkov, sodelovanje z Informacijskim pooblaščencem (prevsem v primeru inšpekcijskem nadzoru), delovanje kot kontaktna točka posameznikom. Pomembno je, da DPO opravlja naloge redno in sistematično ter svoje aktivnosti dokumentira.

Avtor: Miroslav Ekart, pooblaščena oseba za varstvo osebnih podatkov in ustanovitelj Datainfo.si, d.o.o.

¹Uredba (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov) (Besedilo velja za EGP) OJ L 119, 4.5.2016

²Letna poročila Informacijskega pooblaščenca: https://www.ip-rs.si/publikacije/letna-poro%C4%8Dila/.