Pravni nasvet - Do 25. maja javno objavite podatke o pooblašceni osebi

28. 02. 2018

Poleg celotnega javnega sektorja (na primer državni organi, občine, nosilci javnih pooblastil, izvajalci tehničnih pregledov, javne agencije, javni zavodi ipd.), morajo pooblaščeno osebo zagotoviti tudi zasebni poslovni subjekti, ki redno in sistematično in v večjem obsegu obdelujejo osebne podatke posameznikov (kupcev, strank, pacientov ipd.) in zaposlenih (na primer trgovski centri, spletne trgovine, banke, zavarovalnice, kadrovske agencije, agencije za posredovanje študentskega dela, javni avtobusni prevozniki s koncesijami, komunalna podjetja ipd.) ali obdelujejo občutljive osebne podatke.

Objavljeno: Glas gospodarstva, December 2017, www.gzs.si, Avtor: Renata Zatler, CIPP/E, svetovalka za varstvo osebnih podatkov in zunanja pooblaščena oseba, Dataofficer

Ali ste že imenovali pooblaščeno osebo za varstvo osebnih podatkov?

Obveznost imenovanja pooblaščene osebe za varstvo osebnih podatkov subjektom javnega in zasebnega sektorja nalaga Uredba EU 2016/679 o varstvu osebnih podatkov (GDPR). Pooblaščena oseba se imenuje na podlagi poklicnih odlik in zlasti strokovnega znanja o zakonodaji in praksi na področju varstva osebnih podatkov ter zmožnosti izpolnjevanja nalog, ki so z GDPR zanjo predvidene.

Kateri poslovni subjekti morajo obvezno zagotoviti pooblaščeno osebo?

Poleg celotnega javnega sektorja (na primer državni organi, občine, nosilci javnih pooblastil, izvajalci tehničnih pregledov, javne agencije, javni zavodi ipd.), morajo pooblaščeno osebo zagotoviti tudi zasebni poslovni subjekti, ki redno in sistematično in v večjem obsegu obdelujejo osebne podatke posameznikov (kupcev, strank, pacientov ipd.) in zaposlenih (na primer trgovski centri, spletne trgovine, banke, zavarovalnice, kadrovske agencije, agencije za posredovanje študentskega dela, javni avtobusni prevozniki s koncesijami, komunalna podjetja ipd.) ali obdelujejo občutljive osebne podatke.

Poseben položaj in naloge

Pooblaščeni osebi je treba zagotoviti neodvisen položaj, ki zagotavlja izogibanje konfliktu interesa in s tem neovirano izvajanje vseh potrebnih aktivnosti za doseganje skladnosti poslovanja z GDPR. Za to osebo veljajo tudi strožja pravila glede možnosti odpuščanja, podobno kot to velja za revizorje ali sindikalne zaupnike. Med pomembnejšimi nalogami je tudi sodelovanje z nacionalnim nadzornikom za varstvo osebnih podatkov (Informacijskim pooblaščencem).

Notranja ali zunanja pooblaščena oseba?

Naloge pooblaščene osebe za varstvo osebnih podatkov lahko opravljajo notranji zaposleni ali zunanji pogodbeni subjekti (fizične ali pravne osebe). Pooblaščena oseba za varstvo osebnih podatkov lahko opravlja tudi druge naloge in dolžnosti, vendar pri tem ne sme prihajati do nasprotja interesov pri zagotavljanju skladnosti z GDPR. Tako imenovana dvojnost vloge pooblaščene osebe bi lahko bila primerna, če bi jo opravljala oseba, ki vodi področje skladnosti in kakovosti poslovanja, ali druga oseba s podobnimi nalogami in pooblastili. Neprimerno je, da se vloga pooblaščene osebe za varstvo osebnih podatkov zaupa vodji marketinga, trženja, informatike, pravne ali kadrovske službe.

V praksi bodo veliki in tudi v večji meri srednje veliki poslovni subjekti zagotovo lahko zadostili zahtevam zakonodaje z imenovanjem notranje pooblaščene osebe za varstvo osebnih podatkov. V drugačnem položaju so manjši poslovni subjekti. Ustrezna raven neodvisnosti in objektivnosti za preverjanje skladnosti z GDPR se v manjših organizacijah v praksi lahko zagotovi le z imenovanjem zunanje pooblaščene osebe. Niti ni smiselno niti ni stroškovno upravičeno, da se za tovrstne naloge zaposlujejo novi kadri, ki praviloma v praksi niti ne bi imeli dovolj dela za polni delovni čas. Glede zahteve po posebnem položaju in strokovnem znanju s področja varstva osebnih podatkov bi bili tudi stroški zaposlene osebe bistveno višji,  kot pa najem zunanjega strokovnjaka.