Pooblaščena oseba za varstvo podatkov ali krajše DPO – (ang. »DPO – Data Protection Officer«):

Splošna uredba za varstvo podatkov (GDPR), ki je začela veljati 25.05.2018 od vseh subjektov javnega sektorja in tudi večjega števila zasebnih poslovnih subjektov zahteva imenovanje pooblaščene osebe za varstvo podatkov. Imenovanje pooblaščene osebe olajša skladnost z določbami GDPR, hkrati pa podjetjem zagotavlja konkurenčno prednost. Položaj DPO-ja mora biti v imenovani organizaciji/podjetju neodvisen, s čimer se zagotavlja, da ne prihaja do konflikta interesov (predvsem položaji, ki bi omogočali opredelitev namenov ali storitev obdelave osebnih podatkov). Posledično se tako zagotavlja najvišja stopnja kakovosti delovanja.

Poslovni subjekti lahko imenujejo notranjega ali zunanjega DPO. Po 37. členu GDPR so pooblaščeno za varstvo podatkov dolžni imenovati vsi javni organi in podjetja, katerih osnovne dejavnosti vključujejo obsežno, redno in sistematično spremljanje oseb, s podatki katerih razpolagajo, ali obsežno obdelavo podatkov posebnih kategorij in osebnih podatkov, povezanih s kazenskimi obsodbami ali prekrški.

Bistvene naloge DPO po 39. člen GDPR:

  • spremljanje skladnosti obdelave osebnih podatkov s slovenskimi in evropskimi predpisi,
  • priprava ustrezne dokumentacije potrebne za dosego skladnosti z GDPR,
  • izobraževanje in ozaveščanje odgovornih in zaposlenih glede varstva podatkov,
  • poročanje in svetovanje odgovornim osebam glede izvedbe vseh potrebnih ukrepov za učinkovito varovanje osebnih podatkov,
  • svetovanje pri pripravi analize učinka na varstvo osebnih podatkov,
  • je kontaktna točka z nadzornimi organi (Informacijskim pooblaščencem) in posamezniki, katerih organizacija ali podjetje obdeluje.

Kdo je lahko DPO:

Pooblaščena oseba za varstvo podatkov se imenuje na podlagi poklicnih odlik in zlasti strokovnega znanja o zakonodaji in praksi na področju varstva podatkov ter zmožnosti za izpolnjevanje svojih nalog.

Zadevne spretnosti in strokovno znanje vključujejo:

  • strokovno znanje o nacionalnih in evropskih zakonih in praksah na področju varstva podatkov ter poglobljeno razumevanje Splošne uredbe o varstvu podatkov;
  • razumevanje dejanj obdelave, ki se izvajajo;
  • razumevanje informacijskih tehnologij in varstva podatkov;
  • poznavanje poslovnega sektorja in organizacije ter
  • sposobnost spodbujanja kulture varstva podatkov v organizaciji.