Pomen pooblaščene osebe za varstvo osebnih podatkov

Danes se z osebnimi podatki srečujemo tako rekoč v vseh procesih poslovanja. Najdemo jih v papirnih in elektronskih dokumentih, informacijskih sistemih, podatkovnih bazah, skupnih mapah, oblačnih shrambah in na drugih medijih, da ne omenjamo raznih fasciklov, omar in predalov. Obenem pa s pospeševanjem digitalizacije eksponentno narašča tudi količina podatkov, ki jih obdelujemo.

V svetu hitrih sprememb posledično tudi varstvo osebnih podatkov ni stanje, ki ga enkrat dosežemo, ampak stalen in živ proces, ki ga moramo ves čas spremljati, optimizirati in nadzorovati. Pri tem ima ključno vlogo pooblaščena oseba za varstvo osebnih podatkov (Data Protection Officer ali DPO).

Kdaj potrebujemo varuha osebnih podatkov?

To, ali potrebujemo pooblaščeno osebo za varstvo osebnih podatkov ali ne, je pogojeno predvsem z našo dejavnostjo. Če ta obsega obsežno, sistematično in redno zbiranje in obdelavo različnih vrst osebnih podatkov, pooblaščeno osebo za varstvo osebnih podatkov nujno potrebujemo.

Poleg javnih organov morajo DPO-ja imenovati tudi organizacije, katerih dejavnost zajema obdelavo podatkov posameznikov z obsežnim rednim in sistematičnim spremljanjem teh podatkov, na primer banke, zavarovalnice, operaterji elektronskih komunikacij, trgovci s klubi zvestobe, kadrovske agencije, številne spletne trgovine in drugi. Enako velja tudi za organizacije, ki obdelujejo zdravstvene in druge občutljive podatke (posebna vrsta osebnih podatkov), na primer bolnišnice in klinike, zdravstveni in socialno-varstveni zavodi, ponudniki zdravstvenih informacijskih sistemov in storitev ter drugi.

Kdo lahko opravlja vlogo DPO-ja?

Pri imenovanju pooblaščene osebe za varstvo osebnih podatkov se lahko hitro soočimo s pomanjkanjem ustreznega znanja, nepoznavanjem zakonodaje in najnovejših smernic s področja varstva osebnih podatkov, pogost problem pa je tudi pomanjkanje časa zaposlenih zaradi drugih obveznosti.

Uredba GDPR določa, da DPO v podjetju ne sme biti zaposlen na delovnem mestu, v okviru katerega lahko določi namen in sredstva obdelave osebnih podatkov. Te vloge zato ne morejo opravljati izvršni direktorji, operativni direktorji, vodje IT oddelkov, kadrovske službe, trženja in podobno, saj bi se hitro znašli v nasprotju interesov.

Pomembno je, da DPO dobro pozna slovensko in evropsko zakonodajo, ima poglobljeno razumevanje uredbe GDPR in pozna prakso na področju varstva osebnih podatkov. Poleg tega mora razumeti naše delovanje in organizacijo kot upravljavca osebnih podatkov, procese obdelav osebnih podatkov, informacijske sisteme in zahteve v zvezi z varstvom osebnih podatkov. Gre za kombinacijo poglobljenih znanj in izkušenj z različnih področij, pri čemer vsakodnevna praksa še ni postala rutinsko opravilo. Težava seveda nastopi, če v organizaciji nimamo take osebe, vprašanje pa je, ali je smiselno za opravljanje vloge DPO zaposliti novega sodelavca.

Alternativa dodatnemu usposabljanju izbranega sodelavca ali novi zaposlitvi je lahko zunanji DPO. Uredba GDPR dopušča, da funkcijo pooblaščene osebe za varstvo osebnih podatkov zaupamo zunanjemu pogodbenemu strokovnjaku. In včasih nam zunanji DPO prav zato lažje od naših sodelavcev zagotovi neodvisno svetovanje pri obdelovanju in varovanju osebnih podatkov ter pomaga ohranjati celovito usklajenost varstva osebnih podatkov, predvsem pa ne prihaja do nasprotja interesov med njegovo vlogo v organizaciji in opravljanjem nalog DPO-ja.

Na kaj praviloma nismo dovolj pozorni?

Prvi tak izziv je gotovo (ne)obvladljivost osebnih podatkov v papirnih dokumentih. Danes še vedno poslujemo z velikimi količinami papirnih dokumentov, ki vsebujejo občutljive informacije in osebne podatke, kot so kadrovske mape, pogodbe in podobno. Pogosto jih hranimo kar v predalih delovnih miz, nezaklenjenih omarah v pisarnah ali v nezaščitenih arhivskih prostorih. Takšna oblika hrambe papirnih dokumentov predstavlja največje tveganje z vidika zagotavljanja varnosti osebnih podatkov, saj omogoča nepooblaščene vpoglede v podatke, kar lahko vodi do njihove zlorabe, ne zagotavlja vodenja revizijske sledi ravnanja uporabnikov in predstavlja tveganje, ki nam lahko povzroči resno poslovno škodo.

Drugi velik izziv je povezan s tveganji izmenjave dokumentov, ki vsebujejo osebne podatke. Zaposleni si dnevno pošiljajo dokumente po elektronski pošti ali pa jih s prejemnikom izmenjajo prek spletnih storitev. Osebni podatki v takšnih primerih med prenosom niso varovani in lahko hitro postanejo predmet zlorabe ali odtujitve.

Tretji izziv pa se nanaša na neprimerno hrambo dokumentov z osebnimi podatki. Dokumente pogosto hranimo v različnih sistemih, kar otežuje enoten pregled nad dostopom do osebnih podatkov. Vsi sistemi tudi ne beležijo dostopa uporabnikov, marsikdo od zaposlenih pa osebne podatke hrani kar v nezaščitenih Excelovih preglednicah na skupnih mapah. Zahteve GDPR v povezavi z beleženjem revizijske sledi, roki hrambe in izbrisom osebnih podatkov, ki se lahko hranijo le toliko časa, kot določa zakonodaja ali kot je potrebno za dosego namena za katerega so bili obdelovani, nas tako postavljajo pred dodatne izzive.

Kako nam pri obvladovanju izzivov skladnosti pomaga DPO?

Pooblaščena oseba za varstvo osebnih podatkov redno spremlja skladnost obdelave in varstva osebnih podatkov z zakonodajo in našimi politikami ter nas obvešča o zakonskih obveznostih s področja varstva osebnih podatkov. Izrednega pomena je kontinuirano usposabljanje sodelavcev, ki sodelujejo pri obdelavi osebnih podatkov, izobraževanje in ozaveščanje o pomenu varstva osebnih podatkov.

Naloga DPO-ja je tudi, da nam svetuje pri ocenjevanju tveganj pred začetkom obdelave osebnih podatkov in med samim potekom obdelave, ko nudi tudi pomoč in usmeritve našim zaposlenim. Skrbi za to, da odgovornim osebam in nadzornim organom (na primer informacijskemu pooblaščencu) zagotavlja ustrezna poročila in analize glede varovanja osebnih podatkov, izvaja letne revizije obdelovanja osebnih podatkov in svetuje pri uvajanju izboljšav.

DPO sodeluje v primerih, ko posamezniki uveljavljanje svoje pravice, ki jim pritičejo v skladu z GDPR, in svetuje pri pripravi analize zakonitih interesov (LIA – Legitimate Interest Assessment) za utemeljitev obdelave podatkov.

Strah pred kaznijo ni pravi motiv za zagotavljanje skladnosti

Pri odločitvi o sistematični ureditvi in ohranjanju skladnosti področja varstva osebnih podatkov nas ne sme voditi strah pred visokimi kaznimi, ampak predvsem zavedanje, da nam transparentno poslovanje in odgovorno ravnanje z osebnimi podatki danes prinaša konkurenčno prednost.

V digitalnem svetu, kjer velika pričakovanja in spremembe pogosto prehitevajo zakonodajo, je odgovorno zagotavljanje skladnosti velik izziv. Z odločitvijo za celovit pristop k varovanju osebnih podatkov, z dolgoročno strategijo zagotavljanja varstva osebnih podatkov in s pravo osebo v vlogi DPO-ja lahko zato bistveno zmanjšamo tveganja, povečamo naš ugled in ohranimo zaupanje strank.

Vas zanima več? Stopite v stik z nami!

Grega Vozel ima izkušnje z izvajanjem funkcije pooblaščene osebe za varstvo osebnih podatkov v največjih slovenskih družbah in hčerinskih družbah tujih multinacionalk. Pri svojem delu stremi k zagotavljanju najvišjih etičnih in pravnih standardov. Ne sprejema kompromisov, ko gre za varstvo osebnih podatkov strank in zaposlenih.