Informacijski pooblaščenec Republika Slovenija
SLO | ENG

Pooblaščena oseba za varstvo podatkov

+ -

Na kratko

Splošna uredba o varstvu osebnih podatkov uvaja institut pooblaščene osebe za varstvo podatkov (ang. Data Protection Officer ali DPO), ki naj bi izvajala svetovalne in nadzorne naloge na področju varstva osebnih podatkov. Imenovanje pooblaščene osebe lahko olajša skladnost z določbami Uredbe, podjetjem pa zagotovi konkurenčno prednost.

  • Obveznost imenovanja pooblaščene osebe ni vezana na število zaposlenih v podjetju, temveč Uredba določa kriterije, po katerih morate sami oceniti, ali ste takšno podjetje ali institucija, ki mora imeti pooblaščeno osebo.
  • Pooblaščena oseba naj deluje kot notranji revizor za varstvo osebnih podatkov, njene glavne naloge pa so spremljanje skladnosti z Uredbo, svetovanje upravljavcem in obdelovalcem o njihovih obveznostih, izobraževanje in ozaveščanje zaposlenih ter svetovanje glede izvedbe ocene učinka v zvezi z varstvom podatkov.
  • Pooblaščena oseba je kontaktna točka za nadzorni organ in tudi mora biti dostopna posameznikom, katerih osebne podatke obdelujete.
  • Pooblaščena oseba mora biti neodvisna, pravočasno vključena v vse zadeve v zvezi z varstvom osebnih podatkov in imeti aktivno podporo s strani višjega vodstva.
  • Imeti mora strokovno znanje o nacionalni in evropski zakonodaji in praksi na področju varstva podatkov ter poznati poslovne procese v podjetju oz. organizaciji.
  • OBRAZEC: Obvestilo o imenovanju pooblaščene osebe za varstvo osebnih podatkov
  • RELEVANTNI ČLENI UREDBE
    Uvodne določbe: 97
    Členi: 37, 38, 39
  • OBVEZNO BRANJE Smernice o pooblaščenih osebah za varstvo osebnih podatkov 

Kdo mora imenovati pooblaščeno osebo?

Uredba v 37. členu določa, da bodo pooblaščeno osebo morali imenovati:

  1. Javni organi in telesa. Kaj vse sodi med javni sektor oz. v definicijo javnega organa bo določil ZVOP-2.
  2. Podjetja, katerih temeljne dejavnosti zajemajo dejanja obdelave, pri katerih je treba zaradi njihove narave, obsega in/ali namenov posameznike redno in sistematično obsežno spremljati. Sem sodijo, npr. banke, zavarovalnice, operaterji elektronskih komunikacij, trgovci s klubi zvestobe. Prav tako bi sem sodile kadrovske agencije, številne spletne trgovine in IT podjetja, ki vzdržujejo rešitve za obdelavo osebnih podatkov posameznikov, npr. sistemi za upravljanje podatkov kupcev in njihovo profiliranje (upravljanje odnosov s strankami, angl. CRM), zdravstveni IT sistemi. Proizvodna podjetja in druga podjetja, katerih temeljne storitve niso namenjene posameznikom, temveč drugim podjetjem in ki ne vključujejo obsežne obdelave osebnih podatkov, ne bodo dolžna imenovati pooblaščene osebe.
  3. Tista podjetja in institucije, ki izvajajo obsežno obdelavo zdravstvenih in drugih občutljivih podatkov, ki sodijo med t.i. posebne vrste podatkov, npr. bolnišnice in klinike, zdravstveni in socialno-varstveni zavodi, ponudniki zdravstvenih informacijskih sistemov in storitev. Posamezen zasebni zdravnik, zobozdravnik ali odvetnik ne bo dolžan imenovati pooblaščene osebe.

Podrobnejše razlage in konkretne primere, kaj obsegajo pojmi »temeljne dejavnosti«, »velik obseg« in »redno in sistematično spremljanje«, najdete v Smernicah o pooblaščenih osebah za varstvo osebnih podatkov Delovne skupine za varstvo podatkov iz člena 29.

Katere so naloge pooblaščene osebe?

Kot določa 39. člen Uredbe, so naloge predvsem svetovalno-nadzorne narave:

 (a) obveščanje upravljavca ali obdelovalca in zaposlenih, ki izvajajo obdelavo, ter svetovanje navedenim o njihovih obveznostih v skladu s to Uredbo in drugimi določbami prava Unije ali prava države članice o varstvu podatkov;

(b) spremljanje skladnosti s to uredbo, drugimi določbami prava Unije ali prava države članice o varstvu podatkov in politikami upravljavca ali obdelovalca v zvezi z varstvom osebnih podatkov, vključno z dodeljevanjem nalog, ozaveščanjem in usposabljanjem osebja, vključenega v dejanja obdelave, ter s tem povezanimi revizijami;

(c) svetovanje, kadar je to zahtevano, glede ocene učinka v zvezi z varstvom podatkov in spremljanje njenega izvajanja v skladu s členom 35;

(d) sodelovanje z nadzornim organom;

(e) delovanje kot kontaktna točka za nadzorni organ pri vprašanjih v zvezi z obdelavo, vključno s predhodnim posvetovanjem iz člena 36, in, kjer je ustrezno, posvetovanje glede katere koli druge zadeve.

Pooblaščena oseba ni odgovorna za zagotavljanje skladnosti z določbami o varstvu osebnih podatkov, pač pa sta  upravljavec in obdelovalec tista, ki morata dokazati, da obdelava poteka v skladu z Uredbo.

Katere poklicne odlike in strokovna znanja naj ima?

Funkcija pooblaščene osebe terja interdisciplinarna znanja in se imenuje na podlagi poklicnih odlik in strokovnega poznavanja zakonodaje in prakse na področju varstva osebnih podatkov.

  • Potrebna raven strokovnega znanja v Uredbi ni izrecno opredeljena, vendar mora biti sorazmerna z občutljivostjo, zapletenostjo in količino podatkov, ki jih organizacija obdeluje,
  • pooblaščena oseba mora imeti strokovno znanje o nacionalni in evropski zakonodaji in praksi na področju varstva podatkov ter poglobljeno razumevanje Uredbe,
  • pooblaščena oseba bi morala dobro razumeti tudi dejanja obdelave, ki se izvajajo, in informacijske sisteme, pa tudi potrebe upravljavca v zvezi z varnostjo in varstvom podatkov. V primeru javnega organa ali telesa bi morala dobro poznati tudi upravna pravila in postopke organizacije,
  • ZVOP-2 bo predpisal posebne zahteve glede stopnje strokovne usposobljenosti in zahtevanih delovnih izkušenj.

Kdo ne more biti pooblaščena oseba?

Ključno vodilo pri izvajanju nalog pooblaščene osebe naj bo neodvisnost. Institut pooblaščene osebe zahteva celovitejši pristop in neodvisnega posameznika ali neodvisni kolegijski organ z vodjo (več posameznikov), ki mora(jo) izvrševati naloge in imeti ustrezno pozicijo, da pri tem ne pride do konflikta interesov. Kot poudarjajo Smernice, to predvsem pomeni, da pooblaščena oseba v organizaciji ne sme imeti položaja, ki bi omogočala opredelitev namenov ali storitev obdelave osebnih podatkov. 

Splošno gledano lahko nasprotujoči si položaji v organizaciji vključujejo položaje višjega vodstva (kot so izvršni direktor, operativni direktor, finančni direktor, vodja zdravstvene službe, vodja oddelka za trženje, vodja službe za človeške vire ali vodja oddelkov za informacijsko tehnologijo) in tudi druge vloge na nižji ravni organizacijske strukture, če taki položaji ali vloge vodijo v določitev namenov in sredstev obdelave.

Dobre prakse:

  • opredelitev nezdružljivih položajev;
  • oblikovanje notranjih pravil, da bi preprečili nasprotja interesov;
  • vključitev razlage nasprotij interesov; 
  • izjava, da pooblaščena oseba ni v nasprotju interesov;
  • vključitev ustreznih klavzul v razpise za pooblaščeno osebo.

Kako sporočiti kontaktne podatke pooblaščene osebe?

Uredba od upravljavca ali obdelovalca zahteva, da:

  1. objavite kontaktne podatke pooblaščene osebe

Kontaktni podatki morajo vključevati poštni naslov, namensko telefonsko številko in/ali namenski e-poštni naslov, da bi posamezniki, na katere se nanašajo osebni podatki, lahko preprosto vzpostavili stik. Po potrebi lahko za komunikacijo z javnostjo zagotovite tudi druga sredstva, npr. namenska telefonska linija ali namenski kontaktni obrazec na spletni strani organizacije, naslovljen na pooblaščeno osebo. Zaradi dobre prakse svojim zaposlenim sporočite ime in kontaktne podatke pooblaščene osebe za varstvo podatkov. Te lahko objavite na intranetu, v notranjem telefonskem imeniku in organizacijskih shemah.

  1. sporočite kontaktne podatke pooblaščene osebe nadzornim organom

Nadzornemu organu je poleg poštnega naslova, namenske telefonske številke in/ali namenskega e-poštnega naslova, nujno sporočiti tudi ime pooblaščene osebe.  

Zavezanci za imenovanje pooblaščene osebe lahko uporabite že pripravljen obrazec za obveščanje Informacijskega pooblaščenca o imenovani pooblaščeni osebi, prenesete ga tukaj. Obrazec ni obvezen. 

Ali je pooblaščena oseba lahko zaposleni pri organizaciji ali zunanji izvajalec?

Dokler ne gre za nasprotje interesov, lahko za pooblaščeno osebo imenujete svojega zaposlenega, pri tem pa ni treba ustvarjati novega delovnega mesta.

Za pooblaščeno osebo lahko imenujete tudi zunanjega pogodbenega izvajalca, razen izjem, ki jih bodo določali nacionalni zakoni držav članic. Pri tem pa je pomembno, da ima zunanji izvajalec enak položaj, naloge in obveznosti kot notranji zaposleni.