Varstvo osebnih podatkov - GDPR
GDPR - Kdo mora imenovati pooblaščeno osebo za varstvo podatkov (DPO)?

S 25.5.2018 je pričela veljati Splošna uredba o varstvu podatkov oz. GDPR.

Ena od novosti, ki jih je prinesla je tudi imenovanje pooblaščene osebe za varstvo podatkov - DPO (Data protection officer).

DPO imenujejo upravljavci osebnih podatkov (ne glede na velikost podjetja oz. organizacije) v kolikor to od njih zahteva Splošna uredba.

V naslednjem članku bomo preverili kdo mora imenovati pooblaščeno osebo za varstvo podatkov, kdo je lahko pooblaščena oseba za varstvo podatkov in kakšne so naše obveznosti, ko imenovanje pooblaščene osebe za varstvo podatkov ni obvezno.

Kdo mora imenovati pooblaščeno osebo za varstvo podatkov?

Imenovanje pooblaščene osebe za varstvo podatkov je obvezno kadar:

• obdelavo opravlja javni organ ali telo, razen sodišč, kadar delujejo kot sodni organ;
• temeljne dejavnosti upravljavca ali obdelovalca zajemajo dejanja obdelave, pri katerih je treba zaradi njihove narave, obsega in/ali namenov posameznike, na katere se nanašajo osebni podatki, redno in sistematično obsežno spremljati, ali
• temeljne dejavnosti upravljavca ali obdelovalca zajemajo obsežno obdelavo posebnih vrst podatkov (podatki, ki razkrivajo rasno ali etnično poreklo, politično mnenje, versko ali filozofsko prepričanje ali članstvo v sindikatu, in obdelava genetskih podatkov, biometričnih podatkov za namene edinstvene identifikacije posameznika, podatkov v zvezi z zdravjem ali podatkov v zvezi s posameznikovim spolnim življenjem ali spolno usmerjenostjo) in osebnih podatkov v zvezi s kazenskimi obsodbami in prekrški.

Kaj so naloge pooblaščene osebe za varstvo podatkov?

Pooblaščena oseba za varstvo podatkov ima vsaj naslednje naloge:

• obveščanje upravljavca ali obdelovalca in zaposlenih, ki izvajajo obdelavo, ter svetovanje navedenim o njihovih obveznostih v skladu s Splošno uredbo in drugimi zakonskimi določbami;
• spremljanje skladnosti s Splošno uredbo, drugimi določbami prava Unije ali prava države članice o varstvu podatkov in politikami upravljavca ali obdelovalca v zvezi z varstvom osebnih podatkov, vključno z dodeljevanjem nalog, ozaveščanjem in usposabljanjem osebja, vključenega v dejanja obdelave, ter s tem povezanimi revizijami;
• svetovanje, kadar je to zahtevano, glede ocene učinka v zvezi z varstvom podatkov in spremljanje njenega izvajanja v skladu s členom 35 Splošne uredbe;
• sodelovanje z nadzornim organom;
• delovanje kot kontaktna točka za nadzorni organ pri vprašanjih v zvezi z obdelavo, vključno s predhodnim posvetovanjem iz člena 36, in, kjer je ustrezno, posvetovanje glede katere koli druge zadeve.

Pooblaščena oseba za varstvo podatkov pri opravljanju svojih nalog upošteva tveganje, povezano z dejanji obdelave, ter naravo, obseg, okoliščine in namene obdelave.

Kdo je lahko imenovan kot pooblaščena oseba za varstvo osebnih podatkov?

Pooblaščena oseba za varstvo podatkov se imenuje na podlagi poklicnih odlik in zlasti strokovnega znanja o zakonodaji in praksi na področju varstva podatkov ter zmožnosti za izpolnjevanje svojih nalog, ki izhajajo iz njene vloge.

Pooblaščena oseba za varstvo podatkov je lahko zaposleni ali pa naloge opravlja na podlagi pogodbe o storitvah.

V primeru povezanih družb lahko povezana družba imenuje eno pooblaščeno osebo za varstvo podatkov, če je ta pooblaščena oseba za varstvo podatkov lahko dostopna iz vsake enote.

Kadar je upravljavec ali obdelovalec javni organ ali telo, se lahko za več takšnih organov ali teles ob upoštevanju njihove organizacijske strukture in velikosti imenuje ena sama pooblaščena oseba za varstvo podatkov.

V kolikor je pooblaščena oseba za varstvo podatkov zaposlena v organizaciji, je potrebno paziti, da ne prihaja do nasprotja interesov, torej da naloge DPO-ja niso v konfliktu s položajem in nalogami, ki naj bi jih opravljal kot zaposleni.

To predvsem velja za zaposlene, ki imajo pooblastilo opredelitve namenov ali storitev obdelave osebnih podatkov (denimo direktor, vodje finančnih, kadrovskih, trženjskih in IT oddelkov, ipd.).

V kolikor je kot DPO imenovana zunanja pooblaščena oseba (denimo odvetnik) je potrebno paziti, da upravljavca ali obdelovalca ne zastopa pred sodišči v zadevah, povezanih z varstvom podatkov, saj bi se lahko tudi to štelo kot nasprotje interesov. e-obrazec: Sklep o imenovanju pooblaščene osebe za varstvo podatkov (DPO) Po imenovanju pooblaščene osebe za varstvo podatkov je potrebno objaviti kontaktne podatke pooblaščene osebe za varstvo podatkov in jih sporoči nadzornemu organu.

Sklep o imenovanju pooblaščene osebe za varstvo podatkov (DPO)

Položaj pooblaščene osebe za varstvo podatkov

Organizacija, ki imenuje pooblaščeno osebo za varstvo podatkov, mora zagotoviti:

• da je le-ta ustrezno in pravočasno vključena v vse zadeve v zvezi z varstvom osebnih podatkov.
• da ji pomaga pri opravljanju nalog, ki jih ima kot DPO, tako da zagotovi sredstva, potrebna za opravljanje teh nalog, in dostop do osebnih podatkov in dejanj obdelave, ter ohranjanje njenega strokovnega znanja.
• da pooblaščena oseba za varstvo podatkov pri opravljanju teh nalog ne prejema nobenih navodil. Pooblaščena oseba za varstvo podatkov ne sme biti razrešena ali kaznovana zaradi opravljanja svojih nalog. Pooblaščena oseba za varstvo podatkov neposredno poroča najvišji upravni ravni upravljavca ali obdelovalca.

Posamezniki, na katere se nanašajo osebni podatki, lahko s pooblaščeno osebo za varstvo podatkov stopijo v stik glede vseh vprašanj, povezanih z obdelavo njihovih osebnih podatkov, in uresničevanjem njihovih pravic na podlagi te uredbe.

Pooblaščena oseba za varstvo podatkov je pri opravljanju svojih nalog zavezana varovati skrivnost ali zaupnost v skladu z zakonom.

Pooblaščena oseba za varstvo podatkov lahko opravlja druge naloge in dolžnosti, pri čemer pa zaradi vsakršnih takih nalog in dolžnosti ne sme priti do nasprotja interesov.

Analiza o potrebi za imenovanje DPO-ja

Vsaka organizacija, ki obdeluje osebne podatke bi morala opraviti analizo ali mora imenovati pooblaščeno osebo za varstvo podatkov ali ne. Delovna skupina iz člena 29 namreč priporoča, naj upravljavci in obdelovalci dokumentirajo notranjo analizo, ki so jo izvedli za določitev, ali je treba pooblaščeno osebo za varstvo podatkov imenovati ali ne, da bi lahko dokazali, da so se ustrezno upoštevali ustrezni dejavniki, razen če je očitno, da organizaciji ni treba imenovati pooblaščene osebe za varstvo podatkov. Ta analiza je del dokumentacije v skladu z načelom odgovornosti in jo lahko zahteva nadzorni organ. e-obrazec: Sklep, da upravljavec ne potrebuje pooblaščene osebe za varstvo podatkov (DPO)

Sklep, da upravljavec ne potrebuje pooblaščene osebe za varstvo podatkov (DPO)

Potrebujete kvalitetnega in strokovnega DPO-ja za vaše podjetje? Pošljite svoje podatke preko spodnjega obrazca in se naročite za brezplačen posvet pri JK Group d.o.o.

Naziv podjetja:
Ime in priimek kontaktne osebe:
Telefon:		e-pošta:
Dodatno sporočilo:

Povežite se z nami...

Koristne povezave v zvezi s člankom:

Pravni dokumenti:

Sklepi glede DPO:

• Sklep o imenovanju pooblaščene osebe za varstvo podatkov (DPO)
• Sklep, da upravljavec ne potrebuje pooblaščene osebe za varstvo podatkov (DPO)

Soglasja:

• Soglasje za prejemanje e-sporočil po GDPR (za elektronsko objavo)
• Soglasje za prejemanje sporočil in obvestil po GDPR (fizična oblika)
• Splošno soglasje po GDPR (fizična oblika)
• Soglasje za obdelavo posebnih občutljivih vrst osebnih podatkov po GDPR (fizična oblika)

Pravilniki in interni akti:

• Pravilnik o zavarovanju osebnih podatkov po GDPR
• Pravilnik o zavarovanju osebnih podatkov na področju uporabe elektronske pošte po GDPR
• Pravilnik o zavarovanju osebnih podatkov na področju uporabe interneta po GDPR
• Pravilnik o zavarovanju osebnih podatkov pri izvajanju videonadzora po GDPR
• Pravilnik o zavarovanju osebnih podatkov pri vodenju evidence obiskovalcev (evidence vstopov in izstopov) po GDPR

• Politika ravnanja z osebnimi podatki po GDPR

• Evidenca dejavnosti obdelave osebnih podatkov po GDPR (za upravljavca osebnih podatkov)
• Evidenca dejavnosti obdelave osebnih podatkov po GDPR (za obdelovalca osebnih podatkov)

Pogodbe in sklepi:

• Pogodba o obdelavi in varstvu osebnih podatkov po GDPR

• Izjava zaposlenega o varovanju osebnih podatkov po GDPR
• Izjava o seznanjenosti odgovorne osebe z določbami GDPR in internih aktov delodajalca glede varovanja osebnih podatkov
• Sklep o imenovanju osebe odgovorne za izvajanje postopkov in ukrepov za zavarovanje osebnih podatkov, določenih v internem aktu
• Sklep o imenovanju osebe, ki lahko poda dovoljenje za iznos nosilcev osebnih podatkov izven prostora upravljavca
• Sklep o imenovanju osebe, ki skrbi za ažurnost seznama odgovornih oseb evidenc osebnih podatkov

Brezplačni pravni članki in priročniki:

• GDPR - Kaj moramo urediti v svojem podjetju
• Pošiljanje mailingov po GDPR