Se sprašujete, kdaj oziroma ali sploh morate v svoji organizaciji imenovati pooblaščeno osebo za varstvo osebnih podatkov (DPO)? Splošna uredba o varstvu podatkov v 37. členu določa kriterije, kdaj mora organizacija imenovati pooblaščeno osebo.

Za koga je obvezno imenovanje DPO?

Imenovanje uradne osebe za varstvo osebnih podatkov je obvezno za:

  • javne organe (ZVOP-2 je celo razširil na celoten javni sektor) pri čemer so izjeme sodišča v delu, ki se nanaša na dejavnost sojenja;
  • podjetja in institucije, katerih osnovna dejavnost vključuje obsežno obdelavo osebnih podatkov z rednim in sistematičnim spremljanjem posameznikov (profiliranje, segmentiranje ipd.)
  • podjetja in institucije, katerih osnovna dejavnost vključuje obsežno obdelavo posebnih vrst osebnih podatkov kot so npr. bolnišnice in klinike, zdravstveni in socialno-varstveni zavodi, ponudniki zdravstvenih informacijskih sistemov in storitev.

V skladu z ZVOP-2 morajo imenovati DPO tudi upravljavci in obdelovalci, ki obdelujejo osebne podatke iz 1. do 4. točke prvega odstavka 23. člena.

Gre za informacijske sisteme, v katerih:

  • se izvajajo obdelave osebnih podatkov, določenih v zakonih, ki urejajo področja upravnih notranjih zadev, finančne uprave, državljanstva, Slovenske obveščevalno varnostne agencije, obrambe, zdravstvenega varstva, obveznega zdravstvenega zavarovanja, uveljavljanja pravic iz javnih sredstev ter kazenskih in prekrškovnih evidenc, ali
  • se obdelujejo osebni podatki več kot 100.000 posameznikov na podlagi zakona, razen obdelav osebnih podatkov iz 3. poglavja 2. dela tega zakona (videonadzor), ali
  • upravljavec ali obdelovalec kot svojo temeljno dejavnost izvaja obsežne obdelave posebnih vrst osebnih podatkov, ali
  • se obdeluje posebne vrste osebnih podatkov več kot 10.000 posameznikov.

 

V vseh drugih primerih je odločitev za imenovanje uradne osebe za varstvo osebnih podatkov prepuščena upravljavcu oziroma pogodbenemu obdelovalcu. Če imate obsežne zbirke osebnih podatkov, je to vsekakor priporočljivo.

DPO je lahko tudi zunanja oseba

Uredba dopušča, da obveznosti pooblaščene osebe za varstvo osebnih podatkov opravlja zunanja oseba – to pomeni, da lahko najamete ustrezno fizično ali pravno osebo, ki bo postala vaš DPO.