Pooblaščena oseba za varstvo osebnih podatkov (DPO)

Splošna uredba o varstvu osebnih podatkov je uvedla institut pooblaščene osebe za varstvo podatkov (ang. Data Protection Officer ali DPO), ki naj bi izvajala svetovalne in nadzorne naloge na področju varstva osebnih podatkov. Imenovanje pooblaščene osebe lahko olajša skladnost z določbami Splošne uredbe, podjetjem pa zagotovi konkurenčno prednost.

Kdo mora imenovati DPO v skladu z 37.členom GDPR

Javni organi

Definicijo javnega sektorja natančneje določa ZVOP-2 v 3. točki 2. odstavka 5. člena po kateri so »javni sektor« državni organi, samoupravne lokalne skupnosti, nosilci javnih pooblastil v delu, kjer izvršujejo javna pooblastila, javne agencije, javni skladi, javni zavodi, univerze, samostojni visokošolski zavodi, zasebni vrtci in zasebne osnovne ter srednje šole, ki izvajajo javno veljavne vzgojno-izobraževalne programe, samoupravne narodne skupnosti, Svet romske skupnosti Republike Slovenije in druge osebe javnega prava, ustanovljene z zakonom.

Podjetja

Temeljne dejavnosti upravljavca ali obdelovalca zajemajo dejanja obdelave, pri katerih je treba zaradi njihove narave, obsega in/ali namenov posameznike, na katere se nanašajo osebni podatki, redno in sistematično obsežno spremljati.

Sem sodijo npr.: banke, zavarovalnice, operaterji elektronskih komunikacij, trgovci s klubi zvestobe, kadrovske agencije, številne spletne trgovine in IT podjetja, ki vzdržujejo rešitve za obdelavo osebnih podatkov posameznikov.

Podjetja, katerih temeljne storitve niso namenjene posameznikom, temveč drugim podjetjem in ki ne vključujejo obsežne obdelave osebnih podatkov, niso dolžna imenovati pooblaščene osebe.

Posebne vrste podatkov

Podjetja in institucije, ki izvajajo obsežno obdelavo zdravstvenih in drugih občutljivih podatkov, ki sodijo med t.i. posebne vrste podatkov. Posamezen zasebni zdravnik, zobozdravnik ali odvetnik ni dolžan imenovati pooblaščene osebe.

Želim ponudbo

Dodatna zahteva po DPO v ZVOP-2

Po določbi 1. odstavka 45. člena ZVOP-2 morajo poleg zgoraj navedenih imenovati DPO tudi upravljavci in obdelovalci, ki obdelujejo osebne podatke iz 1. do 4. točke prvega odstavka 23. člena ZVOP-2. Gre za informacijske sisteme, v katerih:

se izvajajo obdelave osebnih podatkov, določenih v zakonih, ki urejajo področja upravnih notranjih zadev, finančne uprave, državljanstva, Slovenske obveščevalno varnostne agencije, obrambe, zdravstvenega varstva, obveznega zdravstvenega zavarovanja, uveljavljanja pravic iz javnih sredstev ter kazenskih in prekrškovnih evidenc, ali
se obdelujejo osebni podatki več kot 100.000 posameznikov na podlagi zakona, razen obdelav osebnih podatkov iz 3. poglavja 2. dela tega zakona (videonadzor), ali
upravljavec ali obdelovalec kot svojo temeljno dejavnost izvaja obsežne obdelave posebnih vrst osebnih podatkov, ali
se obdeluje posebne vrste osebnih podatkov več kot 10.000 posameznikov.

Katere naloge ima pooblaščena oseba?

obveščanje upravljavca ali obdelovalca in zaposlenih, ki izvajajo obdelavo, ter svetovanje navedenim o njihovih obveznostih v skladu s to uredbo in drugimi določbami prava Unije ali prava države članice o varstvu podatkov;
spremljanje skladnosti s to uredbo, drugimi določbami prava Unije ali prava države članice o varstvu podatkov in politikami upravljavca ali obdelovalca v zvezi z varstvom osebnih podatkov, vključno z dodeljevanjem nalog, ozaveščanjem in usposabljanjem osebja, vključenega v dejanja obdelave, ter s tem povezanimi revizijami;
svetovanje, kadar je to zahtevano, glede ocene učinka v zvezi z varstvom podatkov in spremljanje njenega izvajanja v skladu s členom 35;
sodelovanje z nadzornim organom;
delovanje kot kontaktna točka za nadzorni organ pri vprašanjih v zvezi z obdelavo, vključno s predhodnim posvetovanjem iz člena 36, in, kjer je ustrezno, posvetovanje glede katere koli druge zadeve.