Kdo je pooblaščena oseba za varstvo podatkov in ali jo vaša organizacija potrebuje?
Kdo je pooblaščena oseba za varstvo podatkov in kaj počne?
Pooblaščena oseba za varstvo podatkov (imenovana tudi DPO) je strokovnjak za varstvo podatkov, ki svetuje o skladnosti z varstvom podatkov v organizaciji.
Pooblaščena oseba mora biti ustrezno in pravočasno vključena v vsa vprašanja, povezana z varstvom osebnih podatkov.
V skladu s Splošno uredbo o varstvu podatkov so naloge pooblaščene osebe vsaj naslednje:
- obveščanje in svetovanje organizaciji in njenim zaposlenim glede skladnosti z varstvom podatkov;
- spremljanje skladnosti z varstvom podatkov;
- svetovanje o zahtevah v zvezi z oceno učinka v zvezi z varstvom podatkov (t.i. DPIA);
- delovanje kot kontaktna točka za organ za varstvo podatkov in sodelovanje z organom za varstvo podatkov;
- delovanje kot kontaktna točka za posameznike.
Prisotnost pooblaščene osebe za varstvo podatkov se na splošno priporoča, kadar se sprejemajo odločitve, povezane z varstvom podatkov. S pooblaščeno osebo se je treba nemudoma posvetovati tudi po kršitvi varstva podatkov ali drugem incidentu.
V praksi upravljavec ali obdelovalec pogosto pooblastita pooblaščeno osebo, da vodi evidenco postopkov obdelave.
Ali moja organizacija potrebuje pooblaščeno osebo za varstvo podatkov?
Imenovanje pooblaščene osebe za varstvo podatkov je obvezno v naslednjih treh primerih:
- organizacija je javni organ, ki izvaja obdelavo osebnih podatkov;
- temeljne dejavnosti organizacije vključujejo redno in sistematično obsežno spremljanje, na primer geolokacijo prek mobilne aplikacije, ali nadzor nad nakupovalnimi centri in javnimi prostori preko videonadzornega sistema;
- temeljne dejavnosti organizacije vključujejo obsežno obdelavo občutljivih podatkov.
Pojmi „temeljne dejavnosti“, „rednega in sistematičnega spremljanja“ ter „obsežno“ so ključni pri določanju, ali naj organizacija imenuje pooblaščeno osebo.
„Temeljne dejavnosti“ pomenijo, da so dejanja obdelave ključna za doseganje ciljev upravljavca ali obdelovalca. Te vključujejo tudi vse dejavnosti, pri katerih obdelava podatkov predstavlja neločljiv del dejavnosti upravljavca ali obdelovalca.
„Obsežno“ je odvisno od različnih dejavnikov, kot so obseg obdelanih podatkov, število zadevnih posameznikov – bodisi kot določeno število bodisi kot delež zadevne populacije, trajanje in geografski obseg obdelave.
„Redno in sistematično spremljanje“ vključuje vse oblike sledenja in profiliranja na internetu, tudi za namene vedenjskega oglaševanja. Vendar pojem spremljanja ni omejen na spletno okolje.
V praksi
- Temeljne dejavnosti
Na primer, glavni namen klinike je zagotavljanje zdravstvenih storitev za posameznike. V tem primeru bi bilo treba obdelavo zdravstvenih podatkov, kot so zdravstvene evidence pacientov, obravnavati kot eno od glavnih dejavnosti organizacije.
Vendar pa vse organizacije izvajajo določene podporne dejavnosti, na primer plačilo zaposlenim ali izvajanje standardnih dejavnosti informacijske podpore. To so primeri potrebnih podpornih funkcij za osnovno dejavnost ali glavno dejavnost organizacije. Čeprav so te dejavnosti potrebne ali bistvene, se običajno štejejo za pomožne funkcije in ne za osnovno dejavnost.
- Obsežno
Primeri obsežnega spremljanja vključujejo na primer:
- obdelavo podatkov pacienta v okviru vsakodnevnih dejavnosti bolnišnice;
- obdelavo podatkov o strankah v okviru vsakodnevnih dejavnosti zavarovalnice ali banke;
- obdelavo statističnih podatkov o lokaciji strank mednarodne verige hitre prehrane za statistične namene s strani podizvajalca, specializiranega za take storitve;
- obdelava osebnih podatkov za vedenjsko oglaševanje s strani iskalnika;
- obdelava podatkov (vsebina, pretok, lokacija) s strani ponudnikov telefonskih in internetnih storitev.
Primeri obdelav, ki se ne bi štele za obsežne:
- obdelava podatkov o pacientu s strani enega samega splošnega zdravnika;
- obdelava osebnih podatkov v zvezi z obsodbami in prekrški s strani posameznega odvetnika.
- Redno in sistematično spremljanje
Redno in sistematično spremljanje na primer zajema ponovno ciljanje po elektronski pošti; dejavnosti trženja, ki temeljijo na podatkih; profiliranje in točkovanje za namene ocene tveganja (npr. za namene kreditnega točkovanja, določanja zavarovalnih premij, preprečevanja goljufij, odkrivanja pranja denarja); sledenje lokaciji (na primer z mobilnimi aplikacijami); programi zvestobe; vedenjsko oglaševanje; spremljanje podatkov o dobrem počutju, fitnesu in zdravju z nosljivimi napravami; videonadzorni sistemi; povezane naprave (npr. pametni števci), pametni avtomobili, avtomatizacija doma itd.
Obdelovalec, katerega glavna dejavnost je zagotavljanje storitev analitike spletnih strani in pomoč pri ciljno usmerjenem oglaševanju in trženju, bo tako moral imenovati pooblaščeno osebo za varstvo podatkov.
Pooblaščeno osebo za varstvo podatkov lahko vedno imenujete prostovoljno, tudi če to ni zakonsko predpisano. Upoštevajte, da morate v tem primeru upoštevati vse določbe Splošne uredbe o varstvu podatkov v zvezi z nalogami in položajem pooblaščene osebe za varstvo podatkov. Zato se priporoča, da se naziv pooblaščene osebe za varstvo podatkov uporablja samo za osebo, katere funkcija in položaj ustrezata opisu po Splošni uredbi o varstvu podatkov.
Preberite več
Delovna skupina iz člena 29: Smernice o pooblaščenih osebah za varstvo podatkov
Tiskovni center Evropske komisije
Kdo je lahko pooblaščena oseba za varstvo podatkov v moji organizaciji?
Pooblaščena oseba mora imeti možnost, da svoje dolžnosti in naloge opravlja neodvisno. To pomeni, da vaša organizacija:
- pooblaščeni osebi ne sme dajati navodil v zvezi z opravljanjem njenih nalog pooblaščene osebe za varstvo podatkov;
- ne sme kaznovati ali razrešiti pooblaščene osebe zaradi opravljanja njenih nalog.
Avtonomija pooblaščene osebe pa ne pomeni, da imajo pristojnosti odločanja, ki presegajo njihove naloge. Organizacije so še naprej odgovorne za skladnost z zakonodajo o varstvu podatkov in morajo biti sposobne dokazati skladnost.
Pooblaščeno osebo bi bilo treba obravnavati kot sogovornika v organizaciji in bi morala biti del razprav o dejavnostih obdelave podatkov v organizaciji.
Pooblaščene osebe neposredno poročajo najvišji vodstveni ravni upravljavca ali obdelovalca.
Pooblaščene osebe lahko opravljajo druge naloge v organizaciji, ki pa ne smejo povzročiti navzkrižja interesov. To pomeni, da pooblaščena oseba ne more imeti položaja, v katerem bi določila namene in sredstva obdelave osebnih podatkov. Nasprotujoče si funkcije vključujejo predvsem vodstvene položaje (izvršni direktor, operativni direktor, finančni direktor, vodja kadrovske službe, vodja informacijske službe, generalni direktor), lahko pa vključujejo tudi druge funkcije, če vodijo do določitve namenov in sredstev obdelave.
V skladu s Splošno uredbo o varstvu podatkov je mogoče imenovati zunanjo pooblaščeno osebo na podlagi pogodbe o opravljanju storitev. Ta pogodba se lahko sklene s posameznikom ali organizacijo. V slednjem primeru je bistveno, da vsak član organizacije ni v navzkrižju interesov in je zaščiten pred kakršnim koli nepoštenim prenehanjem pogodbe o opravljanju storitev, kakor tudi pred neupravičeno razrešitvijo katerega koli posameznega člana organizacije zaradi dejavnosti pooblaščene osebe za varstvo podatkov.
Vaša organizacija bi morala pomagati pooblaščeni osebi z zagotavljanjem dostopa do vseh postopkov obdelave in do vseh osebnih podatkov, ki se obdelujejo v okviru teh postopkov obdelave. Bistveno je, da je pooblaščena oseba že v najzgodnejši možni fazi vključena v vsa vprašanja v zvezi z varstvom podatkov. Pooblaščena oseba bi morala imeti na voljo tudi potrebna sredstva za opravljanje svojih nalog (čas, usposabljanje, oprema in finančna sredstva).
V praksi
Pooblaščene osebe za varstvo podatkov pri opravljanju svojih nalog ne smejo prejeti navodil o tem, kako obravnavati zadevo. Pooblaščena oseba na primer ne bi smela prejeti navodil o tem, kakšen bi naj bil njen nasvet, kako mora obravnavati pritožbo posameznika ter ali je posvetovanje z organom za varstvo podatkov primerno ali obvezno. Poleg tega se pooblaščeni osebi ne sme naročiti, naj zavzame določeno stališče glede vprašanja, povezanega s zakonodajo o varstvu podatkov, na primer glede posebne razlage prava.
Kontrolni seznam za imenovanje pooblaščene osebe za varstvo podatkov
- Preverite, ali je pooblaščena oseba za varstvo podatkov potrebna: preverite, ali morate imenovati pooblaščeno osebo in če ste v dvomih, dokumentirate razloge o imenovanju oz. neimenovanju pooblaščene osebe.
- Če se zahteva pooblaščena oseba:
- Odločite se med notranjo ali zunanjo pooblaščeno osebo: če se zahteva pooblaščena oseba, se je treba odločiti, ali bo član vaše organizacije ali pa pooblaščena oseba na podlagi pogodbe o storitvah;
- Preverite, ali ima pooblaščena oseba strokovne lastnosti in strokovno znanje o zakonodaji in praksi na področju varstva podatkov ter ali je sposobna opravljati naloge;
- Preverite zahtevo glede neodvisnosti: preverite, ali ima vaša pooblaščena oseba druge naloge, ki bi lahko ogrozile njeno neodvisnost pri opravljanju njenih nalog (navzkrižje interesov);
- Razvijte standardne postopke v okviru upravljanja vaše organizacije za vključitev pooblaščene osebe.
- Odločite se med notranjo ali zunanjo pooblaščeno osebo: če se zahteva pooblaščena oseba, se je treba odločiti, ali bo član vaše organizacije ali pa pooblaščena oseba na podlagi pogodbe o storitvah;
- Če pooblaščena oseba ni potrebna:
- Razmislite: tudi če ne imenujete pooblaščene osebe za varstvo podatkov v smislu Splošne uredbe o varstvu podatkov, boste morali še vedno izpolnjevati številne zahteve glede varstva podatkov. Svetujemo vam, da prostovoljno imenujete pooblaščeno osebo za varstvo podatkov ali osebo, ki nima naziva pooblaščene osebe za varstvo podatkov (tudi če ne izvaja v celoti nalog pooblaščene osebe za varstvo podatkov), ki spremlja skladnost in deluje kot kontaktna oseba za posameznike, na katere se nanašajo osebni podatki.
- Razmislite: tudi če ne imenujete pooblaščene osebe za varstvo podatkov v smislu Splošne uredbe o varstvu podatkov, boste morali še vedno izpolnjevati številne zahteve glede varstva podatkov. Svetujemo vam, da prostovoljno imenujete pooblaščeno osebo za varstvo podatkov ali osebo, ki nima naziva pooblaščene osebe za varstvo podatkov (tudi če ne izvaja v celoti nalog pooblaščene osebe za varstvo podatkov), ki spremlja skladnost in deluje kot kontaktna oseba za posameznike, na katere se nanašajo osebni podatki.