Obveza imenovati pooblaščeno uradno osebo za varstvo osebnih podatkov (DPO – Data Protection Officer) je ena od pomembnejših novosti, ki jih prinaša evropska Splošna uredba o varstvu podatkov (GDPR).
Kdo mora do maja 2018 imenovati pooblaščeno osebo za varstvo podatkov?
• javni sektor: ministrstva, upravne enote, občine, inšpekcije, tožilstva, državni odvetnik, policija, šole, vrtci, muzeji, knjižnice, javne agencije, zdravstveni domovi, bolnišnice, nosilci javnih pooblastil …);
• vsi tisti v zasebnem sektorju, ki obdelujejo osebne podatke kot del temeljne dejavnosti in ki kot upravljavec ali obdelovalec redno in sistematično obsežno spremljajo posameznike, na katere se nanašajo osebni podatki. Zagotovo v to skupino sodijo vsi upravljavci/obdelovalci, ki oblikujejo profile posameznikov, in nedvomno v to kategorijo sodijo vsi upravljavci/obdelovalci, ki se ukvarjajo s trženjem, predvsem vedenjskim, nadalje vsi, ki storitve oblikujejo na podlagi preferenc in zmožnosti posameznika – vse banke, zavarovalnice, klubi zvestobe trgovcev, spletne trgovine, ki tržijo svoje izdelke na podlagi preferenc svojih kupcev, kadrovske agencije itn. Tu se bodo našli tudi vsi, ki sodijo med t. i. upravljavce ali obdelovalce Big Data;
• vsi tisti, katerih del temeljne dejavnosti je obsežna obdelava posebnih oziroma občutljivih osebnih podatkov in osebnih podatkov v zvezi s kazenskimi obsodbami in prekrški. Z GDPR se v pravo varstva osebnih podatkov uvaja nekaj novih občutljivih osebnih podatkov oziroma posebnih vrst osebnih podatkov, kamor so vključeni vsi do sedaj občutljivi osebni podatki, kot jih določa slovenski ZVOP-1 (to so podatki o rasnem, narodnem ali narodnostnem poreklu, političnem, verskem ali filozofskem prepričanju, članstvu v sindikatu, zdravstvenem stanju, spolnem življenju, vpisu v kazenske evidence ali evidence, ki se vodijo na podlagi Zakona o prekrških, ali izbrisu iz njih; občutljivi osebni podatki pa so tudi biometrične značilnosti, če je z njihovo uporabo mogoče določiti posameznika v zvezi s kakšno od prej navedenih okoliščin). GDPR pa nabor občutljivih oziroma posebnih vrst osebnih podatkov razširja še na obdelavo genetskih podatkov in vseh biometričnih podatkov za namene edinstvene identifikacije posameznika.
Brez dvoma bodo pri nas tako morali imeti pooblaščeno osebo za varstvo podatkov zdravstveni domovi in bolnišnice, ki sicer sodijo že v prvo kategorijo (med javne organe), poleg njih pa tudi vse zasebne zdravstvene institucije ter zdravniki in zobozdravniki koncesionarji, fizioterapevti (po vsej verjetnosti DPO-ja ne bo treba imenovati pri zdravnikih, odvetnikih in drugih zdravstvenih delavcih posameznikih, saj pri njih ne bo šlo za obsežno obdelavo posebnih podatkov), vsi prekrškovni organi (denimo tudi DARS) itn. GDPR v uvodnih določbah zelo jasno razloži, da v to skupino zavezancev za imenovanje pooblaščene osebe za varstvo podatkov sodijo vse institucije, ki delujejo na podro- čju upravljanja storitev in sistemov zdravstvenega ali socialnega varstva.
Pod istimi pogoji bodo morala pooblaščeno osebo za varstvo podatkov imenovati tudi podjetja, ki jih druga podjetja zgolj najemajo za opravljanje storitev obdelave osebnih podatkov (t. i. obdelovalci).
Pooblaščena oseba za varstvo podatkov potrebuje posebno znanje s področja prava, informatike, odnosov z javnostmi in andragogike. Če boste v podjetju ali v javnem sektorju opravljali to funkcijo ali želeli kandidirati na to delovno mesto, boste potrebovali širok spekter znanja.
Naše izobraževanje, s katerim boste pridobili certifikat za dodatno kvalifikacijo, vam vse to omogoča. Več informacij o dodatni kvalifikaciji in vpisu najdete na spletni strani https://www.uradni-list.si/ izobrazevanja/dodatna-kvalifikacija/strokovnjakstrokovnjakinjaza-varstvo-osebnih-podatkov-v -republiki-sloveniji
dr. Nataša Pirc Musar, odvetnica v odvetniški družbi Pirc Musar in partnerji
Če se želite naročiti na našo revijo, hitri klik TUKAJ!
