Pooblaščena oseba za varstvo osebnih podatkov (DPO)
O pooblaščeni osebi za varstvo osebnih podatkov, o DPO smo na našem portalu že nekaj malega napisali, prispevek si lahko preberete tukaj.
Kdo je lahko DPO – pooblaščena oseba za varstvo osebnih podatkov?
DPO je bil v naš pravni red prenesen z Uredbo (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov – GDPR), ki položaj DPO ureja v 37., 38. in 39. členu GDPR. GDPR v 97. uvodni določbi, DPO opredeli kot strokovnjaka s področja prava in varstva podatkov ter ga opredeli kot neodvisen in samostojni organ v sklopu organizacije, v kateri je bil imenovan. Zakon o varstvu osebnih podatkov (v nadaljevanju ZVOP-2), pa položaj DPO ureja v členih od 44. do 50.
GDPR v 37. členu določa, da je DPO lahko oseba, ki ima znanja in svoje delo opravlja strokovno na področju zakonodaje in prakse varstva podatkov ter je zmožen, in sposoben opravljati naloge in zadolžitve DPO, ki jih GDPR DPO nalaga v 39. členu.
GDPR nadalje določa, da je za DPO lahko imenovan delavec, ki pri upravljavcu ali obdelovalcu svoje delo opravlja na podlagi pogodbe o zaposlitvi, ali pa je na položaj DPO imenovan zunanji sodelavec, ki za upravljavca in obdelovalca opravlja naloge DPO.
GDPR nadalje določa, da lahko DPO opravlja tudi druge naloge in dolžnosti pri upravljavcu ali obdelovalcu, vendar pa morata paziti, da zaradi opravljanja drugih nalog, DPO ne pride v nasprotje interesov pri opravljanju svojih nalog.
GDPR drugih zahtev za imenovanje DPO ne določa.
ZVOP-2 v 44. členu DPO definira kot osebo, ki upravljavcu ali obdelovalcu v skladu z 39. členom GDPR na neodvisen način svetuje pri zagotavljanju skladnosti obdelave v skladu z GDPR in ZVOP-2.
ZVOP-2 nadalje v 46. členu določa pogoje za imenovanje DPO.
Za DPO in njegovega namestnika je lahko imenovana oseba, ki izpolnjuje naslednje pogoje:
- Je poslovno sposoben,
- ima znanja oziroma praktične izkušnje s področja varstva osebnih podatkov in
- ni bil pravnomočno obsojen na kazen zapora najmanj šestih mesecev oziroma ni bil pravnomočno obsojen za kaznivo dejanje glede zlorabe osebnih podatkov.
ZVOP-2 nadalje določa, da mora DPO državnega organa, poleg zgoraj naštetih pogojev, izpolnjevati tudi pogoj, da je zaposlena v javnem sektorju.
ZVOP-2 v javni sektor uvršča:
- državne organe,
- samoupravne lokalne skupnosti,
- nosilce javnih pooblastil v delu, kjer izvršujejo javna pooblastila,
- javne agencije,
- javne sklade,
- javne zavode,
- univerze,
- samostojne visokošolske zavode,
- zasebne vrtce in zasebne osnovne ter srednje šole, ki izvajajo javno veljavne vzgojno-izobraževalne programe,
- samoupravne narodne skupnosti,
- Svet romske skupnosti Republike Slovenije in
- druge osebe javnega prava, ustanovljene z zakonom.
Upravljavci ali obdelovalci iz javnega sektorja, razen državnih organov, lahko za DPO imenujejo tudi drugo osebo, znotraj osebe javnega sektorja, ni mogoče najti primerne osebe, ki bi opravljala delo DPO.
Več upravljavec ali obdelovalcev lahko javnega sektorja lahko imenuje tudi skupnega DPO, lahko pa s pogodbo v pisni obliki določijo tudi posameznika ali posameznico iz zasebnega sektorja ali pravno osebo iz zasebnega sektorja.
V primeru, da se DPO imenuje osebo, ki ni zaposlena pri upravljavcu ali obdelovalcu ali pa pravno osebo, ki kot zunanji sodelavec opravlja nalogo DPO, se s takšnim posameznikom ali pravno osebo sklene pogodba o izvajanju storitev.
V pogodbi s pravno osebo se določi posameznik, ki odgovarja za delo pravne osebe kot DPO in čigar kontaktni podatki se objavijo, ta posameznik mora izpolnjevati pogoje iz prvega odstavka 46. člena ZVOP-2.
ZVOP-2 enko, kot GDPR določa, da za DPO ali njenega namestnika ne sme biti imenovana oseba, ki je v nasprotju interesov z upravljavcem ali obdelovalcem ali je njeno delo DPO v nasprotju z njenimi drugimi nalogami ali s položajem pri upravljavcu ali obdelovalcu.
Na portalu nudimo storitev DPO za vaš zavod, ali pravno osebo zasebnega prava
ZVOP-2 v šestem odstavku 46. člena natančneje določa nasprotje interesov, na katere morajo boti upravljavci in obdelovalci pozorni, ko imenujejo osebno na mesto DPO.
V javnem sektorju se šteje, da je določena oseba v nasprotju interesov, če:
- je določena kot upravljavec informacijskega sistema,
- je skrbnik informacijskega sistema ali vodja informacijske varnosti,
- ima položaj predstojnika v osebi javnega sektorja,
- je član organov upravljanja ali nadzora pri upravljavcu ali obdelovalcu,
- njene druge naloge vključujejo sistemsko odločanje o obdelavi osebnih podatkov pri upravljavcu ali obdelovalcu,
- zastopa upravljavca oziroma obdelovalca v sodnih ali arbitražnih postopkih v zvezi z vprašanji varstva osebnih podatkov.
Če pooblaščena oseba izve za okoliščine, ki predstavljajo, ali bi lahko predstavljale nasprotje interesov, o tem takoj pisno obvesti upravljavca oziroma obdelovalca, le-ta pa nasprotje interesov nemudoma odpravi.
ZVOP-2 določa tudi, da se te določbe smiselno uporabljajo tudi za upravljavce in obdelovalce v zasebnem sektorju.
Upravljavec ali obdelovalec v osmih dneh od imenovanja DPO vpiše njene kontaktne podatke v svojo evidenco dejavnosti obdelav in njen kontakt, javno objavi na primeren način, zlasti na spletnih straneh.
V istem roku kontaktne podatke DPO in njenega morebitnega namestnika:
- osebno ime,
- delovno mesto DPO,
- naziv upravljavca ali obdelovalca,
- telefonska številka,
- naslov elektronske pošte DPO,
sporoči Informacijskemu pooblaščencu, ki jih za namen sodelovanja nadzornega organa s pooblaščenimi osebami vključi na seznam pooblaščenih oseb.
Kdo mora imenovati DPO – pooblaščena oseba za varstvo osebnih podatkov?
GDPR v 37. členu določa, da DPO imenuje upravljavec in obdelovalec vedno, ko:
- obdelavo opravlja javni organ ali telo, razen sodišč, kadar delujejo kot sodni organ,
- temeljne dejavnosti upravljavca ali obdelovalca zajemajo dejanja obdelave, pri katerih je treba zaradi njihove narave, obsega in/ali namenov posameznike, na katere se nanašajo osebni podatki, redno in sistematično obsežno spremljati,
- temeljne dejavnosti upravljavca ali obdelovalca zajemajo obsežno obdelavo posebnih vrst podatkov v skladu z 9 členom GDPR in osebnih podatkov v zvezi s kazenskimi obsodbami in prekrški iz 10. člena GDPR.
ZVOP-2 v 45. členu poleg zgoraj navedenih zahtev, ki jih določa GDPR, določa, da mora DPO imenovati tudi upravljavec ali obdelovalec, ki obdeluje osebne podatke, v katerih:
- se izvajajo obdelave osebnih podatkov, določenih v zakonih, ki urejajo področja upravnih notranjih zadev, finančne uprave, državljanstva, Slovenske obveščevalno-varnostne agencije, obrambe, zdravstvenega varstva, obveznega zdravstvenega zavarovanja, uveljavljanja pravic iz javnih sredstev ter kazenskih in prekrškovnih evidenc, ali
- se obdelujejo osebni podatki več kot 100.000 posameznikov na podlagi zakona, razen obdelav osebnih podatkov pri izvajanju videonadzora, ali
- upravljavec ali obdelovalec kot svojo temeljno dejavnost izvaja obsežne obdelave posebnih vrst osebnih podatkov, ali
- se obdelujejo posebne vrste osebnih podatkov več kot 10.000 posameznikov.
Ne glede na zgoraj navedeno, pa lahko tudi drugi upravljavci ali obdelovalci prostovoljno imenujejo DPO in njegovega namestnika.
Kot je navedeno, GDPR in ZVOP-2 določata, da morajo DPO imenovati vsi organi javnega sektorja, organe javnega sektorja, za potrebe varstva osebnih podatkov določa 3. točka drugega odstavka 5. člena ZVOP-2, podjetja, katerih temeljna dejavnost je obdelava osebnih podatkov, ki posameznike redno in sistematično obvezno spremlja, in podjetja, ki upravljajo sistem vzdrževanja ali upravljanja takšnih osebnih podatkov (zavarovalnice, banke, kadrovske agencije, telekomunikacijska podjetja, klubi zvestobe, spletne trgovine …) in podjetja, ki izvajajo obsežno obdelavo zdravstvenih in drugih osebnih podatkov posebne vrste.
Posamezen zasebni zdravnik, zobozdravnik ali odvetnik ni dolžan imenovati pooblaščene osebe.
Na portalu nudimo storitev DPO za vaš zavod, ali pravno osebo zasebnega prava
ZVOP-2 v 49. členu določa imenovanje DPO in njihove naloge v nekaterih državnih organih.
ZVOP-2 posebej ureja imenovanje DPO:
- na Vrhovnem sodišču Republike Slovenije,
- na Vrhovnem državnem tožilstvu Republike Slovenije,
- na ministrstvih,
- na organih s področja varnosti države,
- na upravnih enotah.
Kaj dela DPO – pooblaščena oseba za varstvo osebnih podatkov?
Naloge DPO določa GDPR v 39. členu. GDPR določa, da mora DPO izvajati naslednje naloge.
- obveščanje upravljavca ali obdelovalca in zaposlenih, ki izvajajo obdelavo, ter svetovanje navedenim o njihovih obveznostih v skladu z GDPR, drugimi določili prava unije, ZVOP-2 in drugimi zakoni s področja varstvu podatkov,
- spremljanje skladnosti poslovanja z GPDR in ZVOP-2 in politikami upravljavca ali obdelovalca v zvezi z varstvom osebnih podatkov, vključno z dodeljevanjem nalog,
- ozaveščanjem in usposabljanjem osebja, vključenega v dejanja obdelave,
- izvajanje revizij s področja varstva podatkov,
- svetovanje, kadar je to zahtevano, glede ocene učinka v zvezi z varstvom podatkov in spremljanje njenega izvajanja v skladu z GDPR in ZVOP-2,
- sodelovanje z nadzornim organom,
- delovanje kot kontaktna točka za nadzorni organ pri vprašanjih v zvezi z obdelavo, vključno s predhodnim posvetovanjem.
ZVOP-2 v 48. členu določa, da DPO na neodvisen način opravlja naloge iz 39. člena GDPR in zlasti svetuje pri ocenjevanju tveganj glede varnosti osebnih podatkov v zvezi z vsemi obdelavami osebnih podatkov v zbirkah, ki jih izvaja upravljavec oziroma obdelovalec, pri katerem je imenovan.
ZVOP-2 nadalje določa, da DPO sodišča ali Ustavnega sodišča Republike Slovenije ne sme opravljati zgoraj naštetih nalog v zvezi z obdelavami osebnih podatkov v konkretnih zadevah sodišč ali zadev Ustavnega sodišča, kadar Ustavno sodišče obravnava zadeve sodišč.
DPO in namestnik sta pri opravljanju dela in po njegovem zaključku zavezana k varstvu tajnosti obdelovanih osebnih podatkov. Pridobljene informacije smeta uporabljati izključno za opravljanje nalog DPO.
Pooblaščena oseba ni odgovorna za zagotavljanje skladnosti z določbami o varstvu osebnih podatkov, temveč sta upravljavec in obdelovalec tista, ki morata dokazati, da obdelava poteka v skladu z zakonodajo.