Kdo je primeren za opravljanje funkcije pooblaščene osebe za varstvo osebnih podatkov (angl. Data Protection Officer)

15. 10. 2018

Naloge in pogoji zaposlitve pooblaščenca za varstvo osebnih podatkov

Po kratkem poletnem predahu ponovno objavljamo članek na temo Splošne uredbe o varstvu osebnih podatkov (v nadaljevanju: GDPR). Pričakujemo, da bo v prihodnjih tednih novi Zakon o varstvu osebnih podatkov uvrščen na dnevni red Državnega zbora ter da bo tudi slovenski pravni red dokončno usklajen z GDPR. Kot smo že pisali maja, GDPR že sedaj velja tudi v Sloveniji, s sprejetjem nove zakonodaje pa se bodo uskladila še področja, ki jih GDPR na novo določa.

Ena izmed večjih novosti reforme varstva osebnih podatkov je uvedba nove funkcije in sicer pooblaščene osebe za varstvo osebnih podatkov (angl. Data Protection Officer, oziroma na kratko DPO).

Maja smo objavili članek na temo, katere pravne osebe so skladno s Splošno uredbo o varstvu osebnih podatkov (GDPR) dolžne imenovati osebo, zadolženo za varstvo osebnih podatkov. Morda ste ugotovili, da tudi vaše podjetje potrebuje pooblaščeno osebo za varstvo osebnih podatkov? Se sprašujete kdo izmed vaših zaposlenih bi lahko opravljal novo funkcijo ali koga pa kakšno osebo bi morali zaposliti….

Kdo je lahko imenovan na mesto pooblaščene osebe za varstvo osebnih podatkov?

GDPR določa, da mora biti za pooblaščeno osebo imenovana oseba »na podlagi poklicnih odlik in zlasti strokovnega znanja o zakonodaji in praksi na področju varstva podatkov« ter zmožnosti opravljanja nalog skladno z GDPR.

Naloge pooblaščenca za varstvo osebnih podatkov so skladno z GDPR:

• obveščanje upravljavca in obdelovalca osebnih podatkov ter njunih zaposlenih v zvezi z obdelavo osebnih podatkov ter svetovanje o njihovih obveznostih,
• spremljanje skladnosti z GDPR in nacionalno zakonodajo s področja varstva osebnih podatkov,
• dodeljevanje nalog, obveščanje, ozaveščanje in usposabljanje zaposlenih, ki so udeleženi v postopkih obdelave osebnih podatkov ter s tem povezanimi revizijami,
• svetovanje glede ocene učinka v zvezi z varstvom podatkov in spremljanje izvajanja GDPR,
• sodelovanje z nadzornimi organi in
• delovanje kot kontaktna točka za nadzorni organ v zvezi z obdelavo osebnih podatkov.

Pooblaščena oseba za varstvo osebnih podatkov je nadalje odgovoren za vse procese, ki vključujejo obdelavo osebnih podatkov in se svoji odgovornosti ne more izmakniti, pri svojem delu ne sme prejemati navodil, kakor tudi ne sme biti razrešen ali kaznovan zaradi opravljanja dela, odgovarja pa neposredno upravi oziroma poslovodstvu družbe.

Tako imenovana Skupina 29 pripravlja smernice in primere ustreznega izvajanja določb GDPR, v svojih smernicah pravni osebi nalaga pripravo dokumenta, iz katerega je razvidno, zakaj se je ali pa ni odločila za imenovanje pooblaščenca za varstvo osebnih podatkov.

Smernice izrecno prepovedujejo imenovanje pooblaščenca za varstvo osebnih podatkov , ki je v družbi zaposlen kot vodja marketinga, IT-ja ali pa poslovodenja družbe ter vse ostale osebe, zaradi katerih bi lahko prišlo do nasprotja interesov v družbi.

Družba je pooblaščencu dolžna zagotoviti tudi vsa potrebna delovna sredstva ter dovolj časa za izvajanje njegovih nalog. GDPR ter smernice delovne skupine 29 so relevantne tudi za slovenska podjetja. V pripravi pa je tudi nov Zakon o obdelavi osebnih podatkov ZVOP-2, ki vlogo pooblaščenca za varstvo osebnih podatkov ureja nekoliko natančneje.

Posebnost ureditve položaja pooblaščenca za varstvo osebnih podatkov v Sloveniji

Besedilo zakona, ki je objavljeno (in se bo lahko še spremenilo) nakazuje, da bo položaj pooblaščenca v slovenskem pravu podoben položaju delavskega zaupnika. To pomeni, da je predvideno, da bo pooblaščenec samostojen, neodvisen in dodatno zavarovan pred pritiski nadrejenih zaradi opravljanja svojega dela.

Ob imenovanju mora pooblaščenec za varstvo osebnih podatkov podati soglasje z imenovanjem, vedno pa lahko zahteva svojo razrešitev in sicer ob ustrezni utemeljitvi.

Družba lahko imenuje pooblaščenca, izmed svojih zaposlenih, lahko je pooblaščenec njegov zunanji svetovalec, v primeru da gre za večjo družbo pa ima lahko pooblaščenec tudi pomočnike.

Za pooblaščenca za varstvo osebnih podatkov v javnem sektorju so predvidene še dodatne zahteve in sicer:

1. je državljan Republike Slovenije ali države članice Evropske unije ali države članice Evropskega gospodarskega prostora in aktivno obvlada slovenski jezik,
2. je poslovno sposoben,
3. ima najmanj izobrazbo, pridobljeno po študijskem programu druge stopnje, oziroma izobrazbo, ki ustreza ravni izobrazbe, pridobljene po študijskem programu druge stopnje, in je v skladu z zakonom, ki ureja slovensko ogrodje kvalifikacij, uvrščena na 8. raven, ali ima najmanj izobrazbo, pridobljeno po študijskem programu druge stopnje, oziroma izobrazbo, ki ustreza ravni izobrazbe, pridobljene po študijskem programu druge stopnje, in je v skladu z zakonom, ki ureja slovensko ogrodje kvalifikacij, uvrščena na 9. raven,
4. ima vsaj tri leta delovnih izkušenj s področja varstva osebnih podatkov,
5. ni bil pravnomočno obsojen na kazen najmanj šestih mesecev zapora oziroma ni bil pravnomočno obsojen za kaznivo dejanje glede zlorabe osebnih podatkov ali kraje identitete in obsodba še ni bila izbrisana,
6. zaposlen mora biti v javnem sektorju.

 

Predlog Zakona o varstvu osebnih podatkov predvideva še možnost za občine, da skupaj imenujejo enega pooblaščenca, ki opravlja naloge za več občin istočasno.

Pooblaščencu se delovno razmerje ne sme odpovedati za čas njene določitve in še eno leto po prenehanju določitve, če ravna v skladu z zakonom, kolektivno pogodbo in pogodbo o zaposlitvi, razen če v primeru poslovnega razloga odkloni ponujeno ustrezno zaposlitev pri delodajalcu ali če gre za odpoved pogodbe o zaposlitvi v postopku prenehanja delodajalca, po vzorcu 112. člena Zakona o delovnih razmerjih. Razrešitev pooblaščene osebe za varstvo osebnih podatkov je možna le z utemeljeno odločitvijo.

Na ta način želi slovenska zakonodaja doseči neodvisnost pooblaščenca, saj bodo lahko delo neodvisno opravljali, če se bodo zavedali, da zaznava morebitnih kršitev ter opozorilo nanje ne ogroža njihovega delovnega mesta.

Naj ponovno opozorimo, da slovenski Zakon o varstvu osebnih podatkov, ki GDPR umešča v slovenski pravni red res še ni sprejet, ta prispevek pa je napisan na podlagi sedaj dostopnega osnutka.

Spremljanje sprejemanja Zakona o varstvu osebnih podatkov lahko spremljate na spletni strani Državnega zbora RS in sicer:

https://www.dz-rs.si/wps/portal/Home/deloDZ/zakonodaja/izbranZakonAkt?uid=7E0E2D4C5D00343FC12582670045DF4F&db=pre_zak&mandat=VII&tip=doc#

Potrebujete pooblaščeno oseba za varstvo osebnih podatkov in v družbi nimate ustrezne osebe za to funkcijo? Kontaktirajte nas, pokličite na 051 368 812 ali nam pišite na info@pravnisos.si.  Preverite pa tudi ostale storitve pravnega ali davčnega svetovanja, ki vam jih nudimo znotraj našega omrežja Pravni SOS.