O Splošni uredbi o varstvu podatkov (GDPR), ki se bo na ravni Evropske unije začela (neposredno) uporabljati 25. maja 2018, in ki prinaša precej novosti na področju varstva osebnih podatkov za upravljavce in obdelovalce osebnih podatkov, je bilo že precej povedanega. Nedotaknjeno pa ostaja še vprašanje zaostritve pogojev v prvem osnutku novega Zakona o varstvu osebnih podatkov (ZVOP-2) v primerjavi s pogoji iz GDPR, ki veljajo za imenovanje DPO v organizacijah javnega sektorja.
DPO je izraz za nov, zanimiv institut pooblaščene osebe za varstvo osebnih podatkov, ki ga uvaja GDPR. DPO bo imel pomembno vlogo za upravljavce/obdelovalce, saj bo pristojen za pomoč le-tem pri zagotavljanju skladnosti poslovanja z določili GDPR. K imenovanju DPO bodo zavezani vsi javni organi in telesa (ne glede na to, katere in koliko osebnih podatkov obdelujejo) ter upravljavci/obdelovalci, ki v okviru temeljne dejavnosti redno, sistematično in v velikem obsegu spremljajo posameznike (oblikujejo profile posameznikov) ali njihova temeljna dejavnost zajema obsežno obdelavo posebnih vrst podatkov osebnih podatkov.
Večina upravljavcev/obdelovalcev (če izključimo javne organe in telesa) bo torej DPO dolžna imenovati zaradi narave njihove temeljne dejavnosti, na podlagi katere redno, sistematično in v velikem obsegu obdelujejo osebne podatke, manjši del pa bo tistih, ki bodo DPO dolžni imenovati zaradi obdelave posebnih vrst osebnih podatkov (kot takšna se šteje obdelava osebnih podatkov, ki razkrivajo rasno ali etnično poreklo, politično mnenje, versko ali filozofsko prepričanje ali članstvo v sindikatu, in obdelava genetskih podatkov, biometričnih podatkov za namene edinstvene identifikacije posameznika, podatkov v zvezi z zdravjem ali podatkov v zvezi s posameznikovim spolnim življenjem ali spolno usmerjenostjo). Glede slednjih je precej očitno, kateri upravljavci/obdelovalci bodo zavezani k imenovanju DPO – sindikati, zdravniki, zobozdravniki itd. Pri prvi skupini upravljavcev/obdelovalcev pa na vprašanje, katere dejavnosti bodo tiste, za katere bo veljala ta nova obveznost imenovanja DPO, (še) ni mogoče dati zanesljivega odgovora. Zagotovo se tej dodatni obveznosti ne bodo mogle izogniti banke, podjetja, ki se ukvarjajo z marketingom in trgovino (predvsem spletno trgovino), zavarovalnice, IT servisi, kadrovske agencije in zaposlitveni portali, računovodski servisi, itd.
Kljub temu, da je torej v tem trenutku težko sestaviti končen seznam vseh, ki bodo zavezani k imenovanju DPO, je treba poudariti, da se imenovanje DPO priporoča tudi v primerih, kot to po določilih GPDR ni izrecno zahtevano. Delovna skupina za varstvo podatkov iz člena 29 GDPR (WP29), ki je med drugim pristojna za razlago določil GDPR, spodbuja prostovoljno imenovanje DPO, kar se bo v primerih, ko to po GDPR ni obvezno, upoštevalo kot nadstandard in konkurenčno prednost za takšne organizacije. WP29 priporoča, da se v vseh primerih (razen, če je očitno, da glede na dejavnost, upravljavec/obdelovalec ni dolžan imenovati DPO) izvede notranja analiza, z namenom ugotovitve, ali organizacija izpolnjuje pogoje, ki jo zavezujejo k imenovanju DPO. Upravljavec/obdelovalec bo moral biti sposoben tudi dokazati, da so bile v analizi upoštevane vse okoliščine varstva osebnih podatkov, to analizo pa bo v primeru nadzora lahko zahteval tudi nadzorni organ – v Sloveniji to ostaja Informacijski pooblaščenec.
Iz GDPR izhaja, da bo DPO lahko imenovan na podlagi poklicnih odlik in strokovnega znanja o zakonodaji in praksi na področju varstva podatkov ter zmožnosti za izpolnjevanje nalog, ki so določene v GDPR. DPO bo lahko zaposlen znotraj upravljavca/obdelovalca (potrebno bo paziti na morebiten konflikt interesov), dopustno pa bo tudi najeti zunanjega DPO (kot posameznika ali pravno osebo). GDPR dopušča tudi možnost, da več organizacij najame skupnega DPO.Celoten članek si preberite na www.amcham.si