V primerjavi z veljavno Direktivo 95/46/ES, preneseno v slovenski Zakon o varstvu osebnih podatkov (ZVOP-1), ta prinaša precej novosti.
Uredba na primer določa primere, ko bo potrebno o vdorih v zbirke osebnih podatkov in drugih kršitvah varstva osebnih podatkov obvestiti Informacijskega pooblaščenca in vse posameznike, na katere se nanašajo osebni podatki, ukinja pa se register zbirk pri Informacijskem pooblaščencu. Uredba v določenih primerih določa obvezno izvedbo presoje vplivov na zasebnost (t. i. PIA – Privacy Impact Assesment), ko bi vrsta obdelave lahko povzročila veliko tveganje za pravice in svoboščine fizičnih oseb. Za PIA bo potrebno pridobiti mnenje pooblaščene osebe za varstvo osebnih podatkov (DPO – Data Protection Officer), kar je ena bolj pomembnih novosti, ki jih prinaša Uredba.
Katera podjetja oz. upravljavci zbirk osebnih podatkov bodo morala imeti DPO-ja?
Uredba določa, da morajo DPO-ja imeti vsi upravljavci in obdelovalci zbirk osebnih podatkov, kadar:
- obdelavo opravlja javni organ ali telo, razen sodišč, kadar delujejo kot sodni organ (torej zlasti šole, vrtci, muzeji, knjižnice, javne agencije, zdravstveni domovi, bolnišnice…);
- temeljne dejavnosti zajemajo tudi oblikovanje profilov posameznikov na podlagi več zbirk osebnih podatkov in več konkretnih osebnih podatkov, ki se nahajajo v teh zbirkah (vsi, ki se ukvarjajo s trženjem, ki storitve oblikujejo na podlagi preferenc in zmožnosti posameznika – banke, zavarovalnice, klubi zvestobe, spletne trgovine, ki tržijo svoje produkte na podlagi preferenc njihovih kupcev, kadrovske agencije itn. ter tudi vsi, ki sodijo med t.i. Big Data upravljavce/obdelovalce);
- temeljne dejavnosti zajemajo obsežno obdelavo posebnih vrst podatkov, ki so vsi občutljivi osebni podatki, kot jih določa ZVOP-1 ter obdelava genetskih in vseh biometričnih podatkov za namene edinstvene identifikacije posameznika (med drugim so to vse politične stranke in sindikati, zasebne zdravstvene institucije ter zdravniki in zobozdravniki koncesionarji, fizioterapevti itn., ostale zdravstvene institucije so zajete že v prvo alinejo) in osebnih podatkov v zvezi s kazenskimi obsodbami in prekrški.
Kaj bo glavna naloga DPO?
DPO bo neodvisno zagotavljal skladnost s predpisi s področja varstva osebnih podatkov. DPO-jev položaj bo moral omogočati poročanje le vodstvu upravljavca/obdelovalca (podjetja, organa ali organizacije). Njegov položaj bo recimo primerljiv položaju notranjega revizorja. Da bo DPO delo lahko opravljal kakovostno in učinkovito, bo moral biti pravočasno in predvsem ustrezno vključen v vse postopke, načrte in aktivnosti v zvezi z varstvom osebnih podatkov.
Uredba izrecno zahteva, da ima DPO za svoje delo dovolj finančnih sredstev, da bo lahko opravljal naloge, kot tudi za izpopolnjevanje strokovnega znanja, ki ga bo širil tudi med delavce, ki neposredno obdelujejo osebne podatke. DPO bo moral imeti tudi neomejen dostop do vseh zbirk osebnih podatkov in vpogled v vse postopke obdelave. Hkrati lahko DPO pomaga pripraviti učinkovito politiko zasebnosti, politiko, ki je finančno vzdržna, s čimer upravljavec/obdelovalec pridobiva na konkurenčnosti.
Obenem bo DPO dolžan komunicirati tudi s posamezniki, katerih osebni podatki se obdelujejo pri upravljalcu/obdelovalcu. Ko bo upravljavec/obdelovalec deležen inšpekcijskega nadzora s strani Informacijskega pooblaščenca, bo moral DPO v tem postopku aktivno sodelovati in odgovarjati na vprašanja nadzornika.
Kakšna znanja mora imeti DPO?
Uredba določa le, da se DPO-ja imenuje na podlagi poklicnih odlik in zlasti strokovnega znanja o zakonodaji in praksi na področju varstva podatkov ter zmožnosti za izpolnjevanje vseh nalog, ki jih DPO-ju nalaga uredba. Samo poznavanje Uredbe torej ne bo zadostovalo. Priporočljivo je, da pozna dosedanjo prakso Sodišča Evropske unije glede Direktive 95/46/ES, sodbe, ki so vezane na 8. člen Evropske konvencije o človekovih pravicah, prakso Informacijskega pooblaščenca, Konvencijo 108 Sveta Evrope, mnenja Delovne skupine 29 (WP29), da ve, kaj počne Evropski nadzornik za varstvo osebnih podatkov… DPO mora imeti tudi pedagoške in komunikacijske veščine, saj bo izobraževal zaposlene in posredoval strokovna stališča vodstvu.
Kdo je lahko vaš DPO?
DPO je lahko eden od zaposlenih, ki bo v podjetju lahko opravljal tudi druge naloge, če ne more biti polno zaposlen le z nalogami s področja varstva osebnih podatkov, vendar zaradi prepletanja nalog ne sme priti do nasprotja interesov, lahko pa se najame zunanjega DPO-ja. DPO je lahko tudi pravna oseba, kar je zagotovo lahko dodana vrednost, saj bo posameznik težko imel vsa potrebna znanja, ki se od njega zahtevajo – pravna znanja, znanja s področja informacijske varnosti in modernih informacijskih tehnologij. Uredba tudi dopušča, da več pravnih oseb (ali samostojnih podjetnikov ter fizičnih oseb) skupaj imenuje enega DPO.
Kaj so torej pred začetkom veljavnosti GDPR ključne naloge podjetij?
Potrebno je sprejeti odločitve na temo zasebnosti in varstva podatkov na nivoju uprave oz. telesa, ki ima pristojnost sprejemati odločitve. Preverite, če je vaše podjetje med tistimi, ki mora imeti DPO-ja. Morda bi bilo koristno, da ga imenujete, čeprav Uredba tega od vas ne zahteva.
Dr. Nataša Pirc Musar, Info hiša, organizator DPO kluba