Rok za uporabo uredbe GDPR (Splošne uredbe EU o varstvu podatkov), ki določa nova in enotna pravila glede varstva osebnih podatkov, se bliža. Vsa podjetja, ki na kakršenkoli način razpolagajo z osebnimi podatki svojih strank, morajo do 25. maja izvesti ukrepe, s katerimi bo posameznikom omogočeno uveljavljanje pravic iz uredbe, kot so npr. pravica dostopa do osebnih podatkov in do popravka, izbrisa, omejitve obdelave, ugovora in prenosljivosti podatkov. GDPR prinaša obveznosti za podjetja, med novostmi sta obveza poročanja ter samoprijave v primeru kršitev.

Splošna uredba o varstvu podatkov prinaša tudi obveznost imenovanja pooblaščene osebe za varstvo podatkov (interni informacijski pooblaščenec, DPO – data protection officer).

Kdo mora imeti DPO?

V 37. členu uredbe je določeno, kdaj je potrebno imenovanje pooblaščenih oseb za varstvo osebnih podatkov. Obveznost imenovanja pooblaščenih oseb ni vezana na število zaposlenih v podjetju, temveč GDPR določa kriterije, po katerih morate sami oceniti, ali ste takšno podjetje ali institucija, ki mora imeti pooblaščeno osebo.  

Pooblaščeno osebo morajo imeti:

1. 1. javni organi in telesa
   2. podjetja, katerih temeljne dejavnosti zajemajo dejanja obdelave, pri katerih je treba zaradi njihove narave, obsega in/ali namenov posameznike redno in sistematično obsežno spremljati; proizvodna podjetja in druga podjetja, katerih temeljne storitve niso namenjene posameznikom, temveč drugim podjetjem in ki ne vključujejo obsežne obdelave osebnih podatkov, ne bodo dolžna imenovati pooblaščene osebe
   3. podjetja in institucije, ki izvajajo obsežno obdelavo zdravstvenih in drugih občutljivih podatkov, ki sodijo med t.i. posebne vrste podatkov, posamezen zasebni zdravnik, zobozdravnik ali odvetnik ne bo dolžan imenovati pooblaščene osebe

V vseh drugih primerih je odločitev za imenovanje uradne osebe za varstvo osebnih podatkov prepuščena upravljavcu oziroma pogodbenemu obdelovalcu. Če imate obsežne zbirke osebnih podatkov, je imenovanje DPO-ja vsekakor priporočljivo.

Naloge DPO-ja

Pooblaščena oseba za varstvo podatkov mora imeti strokovno znanje in praktične izkušnje glede varstva osebnih podatkov in mora temeljito poznati uredbo GDPR. Lahko je zaposleni ali zunanji izvajalec, povezane družbe ali javni organi pa lahko imenujejo tudi samo eno pooblaščeno osebo.

Naloge:

• • obveščati in svetovati upravljavcu ali obdelovalcu in zaposlenim o obveznostih v skladu z novo uredbo, drugimi določbami prava EU in slovensko pravno ureditvijo varstva osebnih podatkov;
  • spremljati skladnost obdelave osebnih podatkov s predpisi in politiko podjetja;
  • dodeljevati naloge, ozaveščati in usposabljati osebje;
  • svetovati, kadar je to zahtevano, glede ocene učinka na varstvo osebnih podatkov;
  • sodelovati z nadzornim organom (z Informacijskim pooblaščencem);
  • delovati kot kontaktna točka za nadzorni organ pri vprašanjih v zvezi z obdelavo osebnih podatkov.

V primeru, da morate v vašem podjetju imeti DPO, pazite na to, da bo položaj pooblaščene osebe za varstvo podatkov neodvisen in zaščiten.

Vsem podjetjem, ki obdelujejo in zbirajo osebne podatke, ni treba imeti DPO- ja, vendar pa morajo tudi ta, ki te obveznosti nimajo, izvesti ukrepe, s katerimi bo posameznikom omogočeno uveljavljanje pravic iz uredbe, zato je pomembno, da se kot podjetnik, ki vas direktiva zadeva, seznanite z novostmi, ki jih prinaša in jih začnete spoštovati.

Vir: IP