Pooblaščena oseba za varstvo podatkov po GDPR

Koristne informacije

Pooblaščena oseba za varstvo podatkov po GDPR

Splošna uredba Evropske unije o varstvu osebnih podatkov, znana tudi kot GDPR¹ (ang. General data Protection Regulation), se uporablja od 25. maja 2018. Med številnimi novostmi je GDPR uvedla tudi funkcijo Pooblaščene osebe za varstvo podatkov (ang. Data Protection Officer ali DPO). V praksi se je prijela kratica DPO, redno jo uporablja tudi Informacijski pooblaščenec.

Informacijski pooblaščenec je pričel aktivno preverjati ali so zavezanci, ki so DPOja dolžni imenovati to tudi izvedli. Podatke imenovanega DPO mora zavezanec javno objaviti na svoji spletni strani in o tem obvezno obvestiti Informacijskega pooblaščenca. Tako lahko vsakdo (tudi Informacijski pooblaščenec) enostavno preveri, ali je zavezanec izpolnil svoje obveznosti. Namen funkcije DPO je ravno v tem, da je enostavno dosegljiv splošni javnosti oziroma posameznikom.

V skladu s 37. členom GDPR morajo DPO imenovati:

javni organi ali telesa (ves javni sektor),
organizacije, katerih temeljne dejavnosti zajemajo dejanja obdelave, pri katerih je treba zaradi njihove narave, obsega in/ali namenov posameznike, na katere se nanašajo osebni podatki, redno in sistematično obsežno spremljati (npr. banke, zavarovalnice, operaterji elektronskih komunikacij, trgovci s klubi zvestobe, spletni trgovci …),
organizacije, ki obsežno obdelujejo posebne vrste osebnih podatkov. To so občutljivi osebni podatki, kot so zdravstveni podatki, podatki o spolni usmerjenosti, politični dejavnosti, verski pripadnosti, sindikalnih dejavnostih ipd. Običajno v to kategorijo spadajo bolnišnice, klinike, zdravstveni zavodi, ponudniki informacijskih sistemov in storitev, večji sindikati …).

DPO lahko prostovoljno imenujejo tudi organizacije, ki k temu niso obvezane, pa ga zaradi želje po zagotavljanju varstva podatkov želijo imenovati.

Vsem organizacijam svetujemo, da najprej preverijo ali je imenovanje DPO za njih obvezno ali samo priporočljivo. Iz letnega poročila Informacijskega pooblaščenca za leto 2021 izhaja, da je imenovanje DPO izvedlo že preko 2.500 podjetij v Sloveniji².

Pooblaščena oseba za varstvo podatkov je lahko notranja (zaposlena znotraj organizacije) ali zunanja (pogodbena pooblaščena oseba). Ne glede na svojo obliko, pa se mora DPO odlikovati z bogatimi poklicnimi odlikami in s strokovnim znanjem o zakonodaji in praksi na področju varstva podatkov.

Naloge DPO so podrobeno opisane v 39. členu GDPR, njegovo delo je zelo podobno vlogi revizorja. Najprej mora dobro poznati organizacijo, ki ga je imenovala in posebnosti njene dejavnosti. Dobro mora poznati zakonodajo in njihovo uporabo v praksi. Delo DPO se pogosto vsaj delno prekriva s področjem informacij javnega značaja, kjer je potrebno tehtati, katera pravica ima prednost (varstvo zasebnosti ali javnost informacije). Zadnje področje, ki ga mora DPO poznati pa je področje informacijske varnosti. Tako za zunanjo ali notranjo DPO je pomembno, da se redno izobražuje in da ima za opravljanje svoje naloge na razpolago dovolj časa in zagotovljena sredstva. Zelo priporočljivo je, da pripravi letni načrt dela, ki ga organizacija sprejme oz. potrdi. Skratka, znanje in sposobnosti DPO morajo biti prilagojene konkretni organizaciji in obveznost vodstva je, da imenuje »dovolj dobrega« DPO.

Pooblaščena oseba za varstvo podatkov pri opravljanju svojih nalog ne sme prejemati nobenih navodil in mora biti neodvisna. Prav tako ne sme biti razrešena ali kaznovana zaradi opravljanja svojih nalog. Pooblaščena oseba ne sme imeti položaja, ki bi omogočal opredelitev namenov ali storitev obdelave osebnih podatkov, se pravi ne sme biti direktor, ravnatelj, pomočnik vodstva, prokurist, vodja kadrovsko računovodske službe ipd. Bistvo je preprečevanje konflikta interesov. Zaradi navedenih zahtev je imenovanje zaposlenega za notranje pooblaščene osebe za varstvo podatkov v organizacijah pogosto oteženo.

Naloge pooblaščene osebe za varstvo podatkov vključujejo tudi svetovanje (upravljavcu ali obdelovalcu podatkov) glede zahtev, ki jih nalaga zakonodaja, obveščanje in izobraževanje zaposlenih, spremljanje skladnosti z GDPR in celotno zakonodajo iz tega področja, svetovanje glede ocene učinka v zvezi z varstvom podatkov, sodelovanje z Informacijskim pooblaščencem (prevsem v primeru inšpekcijskem nadzoru), delovanje kot kontaktna točka posameznikom. Pomembno je, da DPO opravlja naloge redno in sistematično ter svoje aktivnosti dokumentira.

Miroslav Ekart, direktor

¹Uredba (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov) (Besedilo velja za EGP) OJ L 119, 4.5.2016

²Letna poročila Informacijskega pooblaščenca: https://www.ip-rs.si/publikacije/letna-poro%C4%8Dila/.

KONTAKTNI OBRAZEC

Želite ponudbo? Imate vprašanje? Pišite nam!

Nudimo celovite rešitve za varstvo vaših osebnih podatkov. Strokovno vam bomo priskočili na pomoč.

DATAINFO ikona - celovite rešitve za varstvo osebnih podatkov.

NASLOV PODJETJA

Tržaška cesta 85, 2000 SI - Maribor

ELEKTRONSKA POŠTA

info@datainfo.si

TELEFONSKA ŠTEVILKA

(02) 620 43 00

Piškotek	Trajanje	Opis
_wpfuuid	11 let	Registrira edinstven ID za obiskovalca, da lahko spletno mesto obiskovalca prepozna ob ponovnem vstopu.
cookielawinfo-checkbox-advertisement	1 leto	Uporablja se za ugotavljanje, ali je obiskovalec sprejel tržno kategorijo v pasici s piškotki. Ta piškotek je potreben za skladnost spletne strani z GDPR.
cookielawinfo-checkbox-analytics	11 mesecev	Ta piškotek nastavi vtičnik GDPR Cookie Consent. Piškotek se uporablja za shranjevanje soglasja uporabnika za piškotke v kategoriji "Analitika".
cookielawinfo-checkbox-functional	11 mesecev	Piškotek je nastavljen s soglasjem piškotka GDPR, da zabeleži soglasje uporabnika za piškotke v kategoriji "Funkcionalno".
cookielawinfo-checkbox-necessary	11 mesecev	Ta piškotek nastavi vtičnik GDPR Cookie Consent. Piškotki se uporabljajo za shranjevanje soglasja uporabnika za piškotke v kategoriji "Obvezno".
cookielawinfo-checkbox-others	11 mesecev	Ta piškotek nastavi vtičnik GDPR Cookie Consent. Piškotek se uporablja za shranjevanje soglasja uporabnika za piškotke v kategoriji "Drugo".
cookielawinfo-checkbox-performance	11 mesecev	Ta piškotek nastavi vtičnik GDPR Cookie Consent. Piškotek se uporablja za shranjevanje soglasja uporabnika za piškotke v kategoriji "Uspešnost".
elementor	Vedno	Uporablja se v besedilu s temo WordPress na spletnem mestu. Piškotek omogoča spletnemu mestu, da v realnem času izvaja ali spreminja vsebino spletnega mesta.
test_cookie	1 dan	Uporablja se za preverjanje, ali brskalnik uporabnika podpira piškotke.
viewed_cookie_policy	11 mesecev	Piškotek nastavi vtičnik GDPR Cookie Consent in se uporablja za shranjevanje, ali je uporabnik privolil v uporabo piškotkov ali ne. Ne hrani nobenih osebnih podatkov.

Piškotek	Trajanje	Opis
_ga	2 leti	Uporablja se za razlikovanje uporabnikov.
_ga_	2 leti	Uporablja se za vztrajanje stanja seje.
_gac_gb_	90 dni	Vsebuje informacije, povezane z oglaševalsko akcijo. Če ste povezali račune Google Analytics in Google Ads, bodo oznake za pretvorbo na spletnem mestu Google Ads prebrale ta piškotek, razen če se ne odjavite.
_gid	24 ur	Uporablja se za razlikovanje uporabnikov.
AnalyticsSyncHistory	30 dni	Uporablja se v povezavi s sinhronizacijo podatkov s storitvijo za analizo tretjih oseb.

Piškotek	Trajanje	Opis
_fbp	3 mesece	Uporablja ga Facebook za dostavo številnih oglaševalskih izdelkov, kot so ponudbe v realnem času od oglaševalcev tretjih oseb.
_gcl_au	3 mesece	Uporablja jih Google AdSense za eksperimentiranje z učinkovitostjo oglaševanja na spletnih mestih, ki uporabljajo njihove storitve.
bcookie	2 leti	Uporablja ga družabno omrežje LinkedIn za sledenje uporabi vgrajenih storitev.
bscookie	2 leti	Uporablja ga družabno omrežje LinkedIn za sledenje uporabi vgrajenih storitev.
IDE	1 leto	Uporablja ga Google DoubleClick za registracijo in poročanje o dejanjih uporabnika spletnega mesta po ogledu ali kliku enega od oglaševalčevih oglasov z namenom merjenja učinkovitosti oglasa in predstavitve ciljnih oglasov uporabniku.
lang	Med obiskom strani	Nastavi LinkedIn, ko spletna stran vsebuje vgrajeno ploščo »Sledi nam«.
li_gc	2 leti	Shranjuje stanje privolitve piškotkov vašega servisa za trenutno domeno (LinkedIn re-direct).
lidc	1 dan	Uporablja ga družabno omrežje LinkedIn za sledenje uporabi vgrajenih storitev.
pagead/1p-conversion/#	Med obiskom strani	Uporablja se za sledenje konverzij iz strani oglaševanja prek GA in FB pixla.
pagead/1p-user-list/#	Med obiskom strani	Spremlja, ali je uporabnik pokazal zanimanje za določene izdelke ali dogodke na več spletnih mestih, in zazna, kako se uporabnik premika med spletnimi mesti. Uporablja se za merjenje oglaševalskih prizadevanj in olajša plačevanje pristojbin za napotitev med spletnimi mesti.
pagead/viewthroughconversion/773406361	Med obiskom strani	Uporablja se za sledenje konverzij iz strani oglaševanja prek FB pixla.
tr	Med obiskom strani	Uporablja ga Facebook za dostavo številnih oglaševalskih izdelkov, kot so ponudbe v realnem času od tretjih oglaševalcev.
UserMatchHistory	30 dni	Uporablja se za sledenje obiskovalcem na več spletnih mestih za predstavitev ustreznih oglasov na podlagi želja obiskovalca.