Kdaj moramo imenovati Pooblaščeno osebo za varstvo osebnih podatkov (DPO)? | Pravni SOS

Kdaj moramo imenovati Pooblaščeno osebo za varstvo osebnih podatkov (DPO)?

25.5.2018 – rok v katerem ste morali nekateri že imenovati pooblaščeno osebo za varstvo osebnih podatkov

Verjetno se mnoga podjetja/institucije v zadnjem času ukvarjajo z dilemo, ali so dolžna imenovati pooblaščeno osebo za varstvo osebnih podatkov. V spodnjem članku povzemamo pojasnila iz Smernic o pooblaščenih osebah za varstvo podatkov, ki definirajo osnovne pogoje pod katerimi so podjetja/institucije to dolžna storiti.

Splošna uredba o varstvu osebnih podatkov (angl. kratica GDPR) ob imenovanju pooblaščene osebe za varstvo osebnih podatkov določa obvezo, da se do 25.5.2018 javno objavi kontaktne podatke pooblaščene osebe za varstvo podatkov ter njegove kontaktne podatke sporoči ustreznim nadzornim organom, v Sloveniji je to Informacijski pooblaščenec.

Pri objavi kontaktnih podatkov pooblaščene osebe za varstvo osebnih podatkov (v nadaljevanju pooblaščenec) na spletni strani ni potrebno objaviti imena in priimka pooblaščenca, temveč samo kontaktni e-poštni naslov npr. DPO@……………… , medtem ko morate informacijskemu pooblaščencu poleg kontaktnih podatkov posredovati še ime in priimek pooblaščenca ter podatke o družbi, ki je pooblaščenca imenovala.

GDPR določa kriterije za podjetja ali institucije, ki morajo imenovati pooblaščeno osebo za varstvo osebnih podatkov (angleški izraz– data protection officer oz. DPO). Pooblaščenec opravlja nadzor nad skladnostjo obdelave osebnih podatkov z zakonodajo, obvešča upravljavca ali obdelovalca (torej družbo samo) o vseh potrebnih ukrepih za ustrezno obdelavo osebnih podatkov oz. mu izdaja ustrezna priporočila, predstavlja pa tudi kontaktno osebo na katero se lahko posameznik obrne v zvezi z zahtevkom po posredovanju podatkov, pritožbo, itd.. Potrebno pa je poudariti, da DPO ni dolžan za zagotovitev ali izvedbo svojih priporočil – za ustrezno implementacijo priporočil DPO-ja je odgovorna družba.

Pooblaščenec lahko v podjetju/instituciji opravlja tudi druga dela, vendar pri opravljanju vloge pooblaščenca ne sme priti do nasprotja interesov, to pomeni da njegova funkcija na delovnem mestu ne sme biti ena od naslednjih: direktor, finančni direktor, vodja zdravstvene službe, vodja oddelka za trženje, vodja kadrovske službe, vodja IT, itd., saj bi lahko sicer vplivala na namene in sredstva obdelave osebnih podatkov.

GDPR v 37. členu določa še, da morajo pooblaščeno osebo za varstvo osebnih podatkov imenovati vsi javni organi in telesa in podjetja, katerih temeljna dejavnost je obsežno obdelovanje podatkov posameznikov na redni in sistematični osnovi ter tista podjetja, ki obdelujejo zdravstvene in druge občutljive podatke t.i. posebne vrste podatkov ali podatke v zvezi s kazenskimi obsodbami in prekrški.

Kdo redno in sistematično obsežno spremlja osebne podatke posameznikov? Sem sodijo banke, zavarovalnice, telekomunikacijski operaterji – operaterji elektronskih komunikacij, mnoge spletne trgovine, IT podjetja – za upravljanje podatkov kupcev in profiliranje – CRM, zdravstveni IT sistemi, trgovci s klubi zvestobe, kadrovske agencije itd.

Podjetja/inštitucije, ki obdelujejo zdravstvene in druge občutljive podatke so klinični centri, bolnišnice, klinike, zdravstveni in socialno-varstveni zavodi, ponudniki zdravstvenih informacijskih sistemov, zapori, prevzgojni zavodi, itd.. Informacijski pooblaščenec je na svoji spletni strani objavil informacijo, da posamezen zasebni zdravnik, zobozdravnik ali odvetnik ne bo dolžan imenovati pooblaščene osebe.

Pod pojem temeljne dejavnosti, ki so ključne za podjetje/institucije, so vključene tudi dejavnosti, pri katerih je obdelava podatkov neločljiv del dejavnosti upravljavca ali obdelovalca. V temeljno dejavnost seveda ne sodi izplačevanje plač delavcem, temveč so to podporne funkcije, ki prav tako lahko predstavljajo obsežno, redno in sistematično obdelavo osebnih podatkov zaposlenega, vendar podjetja/institucije za to ne potrebujejo pooblaščenca za varstvo osebnih podatkov.

Primeri obsežnih obdelav, ki terjajo pooblaščeno osebo za varstvo podatkov in jih navajajo Smernice so naslednji:

  • obdelava podatkov o bolnikih s strani bolnišnice v okviru običajnega poslovanja;
  • obdelava potovalnih podatkov posameznikov, ki uporabljajo sistem javnega mestnega prevoza (npr. sledenje prek vozovnic);
  • obdelava podatkov o zemljepisnem položaju strank mednarodne verige hitre prehrane v realnem času za statistične namene s strani obdelovalca, specializiranega za zagotavljanje teh storitev;
  • obdelava podatkov o strankah s strani zavarovalnice ali banke v okviru običajnega poslovanja;
  • obdelava osebnih podatkov za oglaševanje na podlagi vedenjskih vzorcev prek iskalnika in
  • obdelava podatkov (vsebine, prometa, položaja) s strani ponudnikov telefonskih ali internetnih storitev.

Za vse podrobnejše informacije in razlago pojmov vam predlagamo, da si preberete ustrezne člene v Splošni uredbi, kakor tudi Smernice o pooblaščenih osebah za varstvo podatkov, na naslednji povezavi: https://www.ip-rs.si/fileadmin/user_upload/Pdf/Mednarodno_delovanje/wp243rev01_sl.pdf.

Obrnite se lahko tudi na naše omrežje, ki vam lahko pomaga pri imenovanju ustrezne pooblaščene osebe za varstvo podatkov. Pokličite nas na 051 368 812 ali nam pošljite povpraševanje preko »kontaktirajte nas«.