Informacijski pooblaščenec Republika Slovenija
SLO | ENG

Novice

Informacijska pooblaščenka: Splošna uredba, vključno z imenovanjem pooblaščenih oseb ni razlog za paniko, treba pa se je aktivno lotiti dela

+ -

Dogodek ob evropskem dnevu varstva osebnih podatkov

Ljubljana, 26. 1. 2018

 

Evropski dan varstva osebnih podatkov je Informacijski pooblaščenec skupaj z Gospodarsko zbornico Slovenije letos posvetil eni od pomembnih novosti, ki jih s 25. 5. 2018 prinaša nova evropska Splošna uredba o varstvu podatkov – pooblaščenim osebam za varstvo osebnih podatkov (ang. Data Protection Officer – DPO). Kot je uvodoma poudarila generalna direktorica Gospodarske zbornice, Sonja Šmuc, so med podjetji pogledi in stopnja pripravljenosti ter posledično tudi zaskrbljenosti v zvezi z uporabo nove uredbe različni, bi pa morali tovrstne spremembe, ki vplivajo na način poslovanja, vsi znati izkoristiti tudi kot priložnost, da se zbirke prečisti in sisteme bolje poveže znotraj ter med sabo. 

 

O novi uredbi krožijo številni miti, ki niso točni, eden takih je splošna obveznost imenovanja  pooblaščenih oseb in njihove vloge, je uvodoma izpostavila informacijska pooblaščenka, Mojca Prelesnik. Ta obveznost po besedah Prelesnikove vsekakor velja za javne organe, v zasebnem sektorju pa zgolj za tiste upravljavce in obdelovalce, katerih temeljne dejavnosti zajemajo dejanja obdelave, pri katerih je treba zaradi njihove narave, obsega in/ali namenov posameznike redno in sistematično (vnaprej določeno in metodično) in obsežno (veliki obdelovalci) spremljati, ali katerih temeljne dejavnosti zajemajo obsežno obdelavo posebnih vrst podatkov in osebne podatke v zvezi s kaznivimi dejanji in prekrški. Imenovanje pooblaščene osebe pa predvsem ne pomeni, da upravljavec oz. obdelovalec ne bo več odgovoren in da je to edina oseba v podjetju, ki skrbi za varstvo osebnih podatkov, kot je opozoril mag. Andrej Tomšič, namestnik informacijske pooblaščenke. 

 

Pomembna odločitev pri tem je, kdo glede na položaj in strukturo podjetja prevzame to nalogo in komu ta oseba poroča. Kot je še izpostavil Janko Šavnik z Addiko Bank d.d., je to še posebej ključno v velikih družbah s podružnicami v več državah. Pooblaščena oseba je nujno del svetovne skupine in mora biti kot taka vpeta v celovito strukturo družbe, je izpostavila Lea Rozman z A1 Slovenija, d.d. Od prepoznavanja vloge varstva osebnih podatkov s strani vodstva in njihove podpore delu pooblaščene osebe bo odvisno, ali bodo ti lahko dosegli svoje naloge. V praksi pa morajo biti pooblaščene osebe, kot je izpostavil Rok Praprotnik z NLB d.d., tudi osebnostno tiste, ki si upajo, ne le znajo, opozoriti na probleme, tveganja in morebitne napake. Pooblaščeni osebi morajo biti po izkušnjah iz prakse po oceni Šavnika v praksi odprta vrata tako do posameznih služb znotraj podjetja, kot do uprave. 

 

Vloga pooblaščene osebe in celovit sistem skladnosti dejansko ni nekaj novega, ampak v številnih podjetij obstaja že več kot 10 let, je opozoril Jure Holešek z Leka, d.d. Učinki nalog pooblaščene osebe pa so v praksi dejansko del sistema vgrajene zasebnosti. Preventivne aktivnosti pooblaščenca bodo (podobno kot v primeru zagotavljanja skladnosti širše) pomemben element ukrepov, za katere bodo odgovorne pooblaščene osebe, česar po oceni Andrijane Bergant z EISEP ne more biti brez strategije in ocene tveganj. V praksi to pomeni na primer pripravo akcijskega načrta, projekta za identifikacijo in izvedbo ukrepov, ki pa jih kot kažejo izkušnje zavarovalnic po besedah mag. Maje Golovrški Verdev z Zavarovalnice Triglav pooblaščene osebe ne izvajajo nujno same in brez ustreznih zagotovljenih sredstev. Zato je nujen dober sistem komuniciranja znotraj različnih segmentov podjetja (zlasti npr. med pravnimi in IT službami) in organizacije, sicer na izvedbeni ravni vloga pooblaščene osebe ne more doseči zastavljenih ciljev. 

 

Kot so še poudarili udeleženci okrogle mize, ki jo je vodil Marjan Antončič, predsednik Združenja EIDES, je pri izvajanju nalog pooblaščenih oseb nova, a zelo pomembna tudi obveznost samoprijave v primeru zaznanih kršitev, zato njihove naloge znotraj podjetij ne bodo lahke. Imenovanje pooblaščenih oseb pa bo po besedah pravnice Vesne Cukrov nenazadnje tudi priložnost za ustvarjanje novih delovnih mest.

 

Na dogodku je Informacijski pooblaščenec že tradicionalno ob tej priložnosti podelil priznanje Ambasador zasebnosti, ki ga je za leto 2017 prejel ICS – Inštitut za korporativne varnostne študije za več leten pomemben prispevek k varovanju podatkov in javni ozaveščenosti o pomenu informacijske in korporativne varnosti za zaščito osebnih podatkov. Temeljne človekove pravice do varstva osebnih podatkov namreč, kot je ob podelitvi priznanja poudarila informacijska pooblaščenka, ni mogoče zagotoviti brez ustrezno usposobljenih strokovnjakov, zavedanja vodstva, ustrezne podpore s strani vodstva in dojemanja varnosti kot procesa. Kot je poudaril predsednik sveta inštituta ICS, dr. Denis Čaleta, je varovanje osebnih podatkov treba izpeljati v povezavi z informacijsko varnostjo.

 

Informacijski pooblaščenec je ob tem podelil tudi priznanja podjetjem, ki so v letu 2017 pridobila ISO certifikat 27001 in na ta način pokazala, da razumejo in posebno pozornost posvečajo varstvu zasebnosti.


                                                                                                                                                                                                        
Več o obveznosti imenovanja pooblaščenih oseb v smernicah Delovne skupine 29 evropskih nadzornih organov za varstvo osebnih podatkov: www.ip-rs.si/fileadmin/user_upload/Pdf/Mednarodno_delovanje/wp243rev01_sl.pdf