Izbira pooblaščene osebe za varstvo osebnih podatkov
Uredba GDPR nas je postavila pred dejstvo: imenovati moramo pooblaščeno osebo za varstvo podatkov. Do sedaj neznan pojem je postal središče vprašanj, dilem in izzivov, kako zadostiti vsem zahtevam, ki jih GDPR predpisuje.
Pred nami je vprašanje, koga imenovati na funkcijo pooblaščene osebe za varstvo osebnih podatkov (ang. Data Protection Officer ali DPO)? Nismo prepričani, ali je bolje izbrati sodelavca v podjetju ali zunanjega svetovalca? Poglejmo dejstva, ki nam bodo olajšala odločitev.
Določena delovna mesta v podjetju so v nasprotju interesov
Morda je najprimernejši za vlogo DPO izvršni direktor, ki podrobno pozna naše poslovanje in poslovne procese? Ali pa je morda primernejši vodja kadrovske službe, vodja oddelka za informacijsko tehnologijo ali direktor marketinga?
Žal zadeva ni tako preprosta. Pooblaščena oseba za varstvo osebnih podatkov v podjetju ne sme biti zaposlena na delovnem mestu, v okviru katerega lahko določi namen in sredstva obdelave osebnih podatkov. Kot primer lahko navedemo vodjo kadrovske službe, ki hrani in obdeluje osebne podatke zaposlenih v kadrovskih mapah in osebne podatke kandidatov za zaposlitev, ki jih hrani v kadrovski evidenci. Ker neposredno določa, zakaj se osebni podatki uporabljajo, ne more prevzeti vloge DPO. Poleg tega praviloma nima potrebnega znanja in izkušenj.
Zaposleni na omenjenih funkcijah posledično ne morejo opravljati nalog DPO, saj bi se znašli v nasprotju interesov. Alternativa je sodelovanje z zunanjim DPO, ki neodvisno od našega poslovanja omogoča celovito zagotavljanje skladnosti varstva osebnih podatkov z zakonodajo in predpisi o varstvu osebnih podatkov.
Ključno je strokovno znanje
Pomembno je, da naš DPO dobro pozna slovensko in evropsko zakonodajo, ima poglobljeno razumevanje uredbe GDPR in prakso na področju varstva osebnih podatkov. Poleg tega mora razumeti naše delovanje in organizacijo kot upravljavca osebnih podatkov, procese obdelav osebnih podatkov, informacijske sisteme in zahteve v zvezi z varstvom osebnih podatkov.
Gre za kombinacijo poglobljenih znanj in izkušenj z različnih področij, pri čemer vsakodnevna praksa še ni postala rutinsko opravilo. Težava nastopi, ker pogosto v podjetju nimamo take osebe, vprašanje pa je, ali je smiselno za opravljanje vloge DPO zaposliti novega sodelavca. Zato je tudi tu alternativa dodatnemu usposabljanju izbranega sodelavca ali novi zaposlitvi lahko sodelovanje z zunanjim DPO.
- Vprašanje je, ali je smiselno, da za opravljanje vloge DPO zaposlimo novega sodelavca, ki za polni delovni čas ne bo imel dovolj dela.
S svetovalno ekipo podjetja Mikrocop na področju varstva osebnih podatkov uspešno sodelujemo že od leta 2014. Prepričali so nas s svojo strokovnostjo in izkušnjami. Zagotavljanje skladnosti varstva osebnih podatkov z uredbo GDPR je zagotovo zahtevno, vendar s sistematičnim pristopom, ki ga izvajamo skupaj z zanesljivim partnerjem, izvedljivo.
– Vanja Lombar, direktorica OMV Slovenija
Spremljanje novosti in izobraževanje zahteva čas in denar
DPO mora redno spremljati novosti pravne zakonodaje in prakse varstva osebnih podatkov. Ker smo praviloma zasedeni s svojimi dnevnimi obveznostmi, pogosto ne najdemo dovolj časa za dodatna izobraževanja in usposabljanja. Pridobivanje posebnih kvalifikacij ali certifikatov, ki potrjujejo ustrezno poznavanje področja varstva osebnih podatkov, pa zahteva tudi finančne vložke.
Katere naloge opravlja zunanji DPO?
- Obveščanje in svetovanje
- Spremljanje skladnosti
- Obveščanje in usposabljanje zaposlenih
- Svetovanje in pomoč
- Sodelovanje z Informacijskim pooblaščencem
- Izvajanje letne revizije
Vas zanima več? Stopite v stik z nami!