O Splošni uredbi o varstvu podatkov (GDPR), ki se bo na ravni Evropske unije začela (neposredno) uporabljati 25. maja 2018, in ki prinaša precej novosti na področju varstva osebnih podatkov za upravljavce in obdelovalce osebnih podatkov, je bilo že precej povedanega. Nedotaknjeno pa ostaja še vprašanje zaostritve pogojev v prvem osnutku novega Zakona o varstvu osebnih podatkov (ZVOP-2) v primerjavi s pogoji iz GDPR, ki veljajo za imenovanje DPO v organizacijah javnega sektorja.
DPO je izraz za nov, zanimiv institut pooblaščene osebe za varstvo osebnih podatkov, ki ga uvaja GDPR. DPO bo imel pomembno vlogo za upravljavce/obdelovalce, saj bo pristojen za pomoč le-tem pri zagotavljanju skladnosti poslovanja z določili GDPR. K imenovanju DPO bodo zavezani vsi javni organi in telesa (ne glede na to, katere in koliko osebnih podatkov obdelujejo) ter upravljavci/obdelovalci, ki v okviru temeljne dejavnosti redno, sistematično in v velikem obsegu spremljajo posameznike (oblikujejo profile posameznikov) ali njihova temeljna dejavnost zajema obsežno obdelavo posebnih vrst podatkov osebnih podatkov.
Večina upravljavcev/obdelovalcev (če izključimo javne organe in telesa) bo torej DPO dolžna imenovati zaradi narave njihove temeljne dejavnosti, na podlagi katere redno, sistematično in v velikem obsegu obdelujejo osebne podatke, manjši del pa bo tistih, ki bodo DPO dolžni imenovati zaradi obdelave posebnih vrst osebnih podatkov (kot takšna se šteje obdelava osebnih podatkov, ki razkrivajo rasno ali etnično poreklo, politično mnenje, versko ali filozofsko prepričanje ali članstvo v sindikatu, in obdelava genetskih podatkov, biometričnih podatkov za namene edinstvene identifikacije posameznika, podatkov v zvezi z zdravjem ali podatkov v zvezi s posameznikovim spolnim življenjem ali spolno usmerjenostjo). Glede slednjih je precej očitno, kateri upravljavci/obdelovalci bodo zavezani k imenovanju DPO – sindikati, zdravniki, zobozdravniki itd. Pri prvi skupini upravljavcev/obdelovalcev pa na vprašanje, katere dejavnosti bodo tiste, za katere bo veljala ta nova obveznost imenovanja DPO, (še) ni mogoče dati zanesljivega odgovora. Zagotovo se tej dodatni obveznosti ne bodo mogle izogniti banke, podjetja, ki se ukvarjajo z marketingom in trgovino (predvsem spletno trgovino), zavarovalnice, IT servisi, kadrovske agencije in zaposlitveni portali, računovodski servisi, itd.
Kljub temu, da je torej v tem trenutku težko sestaviti končen seznam vseh, ki bodo zavezani k imenovanju DPO, je treba poudariti, da se imenovanje DPO priporoča tudi v primerih, kot to po določilih GPDR ni izrecno zahtevano. Delovna skupina za varstvo podatkov iz člena 29 GDPR (WP29), ki je med drugim pristojna za razlago določil GDPR, spodbuja prostovoljno imenovanje DPO, kar se bo v primerih, ko to po GDPR ni obvezno, upoštevalo kot nadstandard in konkurenčno prednost za takšne organizacije. WP29 priporoča, da se v vseh primerih (razen, če je očitno, da glede na dejavnost, upravljavec/obdelovalec ni dolžan imenovati DPO) izvede notranja analiza, z namenom ugotovitve, ali organizacija izpolnjuje pogoje, ki jo zavezujejo k imenovanju DPO. Upravljavec/obdelovalec bo moral biti sposoben tudi dokazati, da so bile v analizi upoštevane vse okoliščine varstva osebnih podatkov, to analizo pa bo v primeru nadzora lahko zahteval tudi nadzorni organ – v Sloveniji to ostaja Informacijski pooblaščenec.
Iz GDPR izhaja, da bo DPO lahko imenovan na podlagi poklicnih odlik in strokovnega znanja o zakonodaji in praksi na področju varstva podatkov ter zmožnosti za izpolnjevanje nalog, ki so določene v GDPR. DPO bo lahko zaposlen znotraj upravljavca/obdelovalca (potrebno bo paziti na morebiten konflikt interesov), dopustno pa bo tudi najeti zunanjega DPO (kot posameznika ali pravno osebo). GDPR dopušča tudi možnost, da več organizacij najame skupnega DPO.
Natančnejših pogojev in znanj, s katerimi bo moral razpolagati DPO, GDPR ne navaja, lahko pa konkretnejše pogoje določijo nacionalni predpisi držav članic. Medtem ko osnutek predloga ZVOP-2 za zasebni sektor posebnih pogojev ne določa, pa za imenovanje DPO v javnem sektorju predpisuje posebne, dodatne pogoje. DPO, ki bo opravljal svojo funkcijo v javnem sektorju (v kolikor bo sprejet ZVOP-2 z določilom, kot ga ima prvi osnutek), bo moral izpolnjevati naslednje pogoje:
- je državljan Republike Slovenije ali države članice Evropske unije ali države članice Evropskega gospodarskega prostora in aktivno obvladati slovenski jezik,
- je poslovno sposoben,
- ima univerzitetno izobrazbo ali končan magistrski študijski program,
- je zaposlen v javnem sektorju,
- ni bil pravnomočno obsojen na kazen najmanj šestih mesecev zapora, oziroma ni bil obsojen za kaznivo dejanje glede zlorabe osebnih podatkov ali kraje identitete.
Ločnica med javnim in zasebnim sektorjem se zdi jasna. Odprto pa ostaja še vprašanje, kam se uvrščajo koncesionarji oz. nosilci javnih pooblastil. Če razmejitev v končni verziji ZVOP-2 ne bo nedvoumno definirana, bi znalo v praksi to predstavljati velike težave.
Na trgu so se že pojavila podjetja, ki ponujajo storitve najema DPO. Upoštevaje dejstva, da gre za novo obveznost za upravljavce/obdelovalce in da bo oseba, ki bo imenovana za DPO, imela veliko pooblastil ter odgovornosti (predvsem, če bo ena oseba imenovana kot DPO za večje število naročnikov), hkrati pa bo morala razpolagati s poglobljenim znanjem s področja varstva osebnih podatkov (tako v smislu poznavanja predpisov, sodne prakse, tehnološkega znanja itd.), za upravljavce/obdelovalce, ki ne obdelujejo osebnih podatkov v takšnem obsegu, da bi potrebovali osebo za polni delovni čas, ni smiselno, da DPO zaposlijo. V takšnih primerih je bolje, da se podjetja oz. organizacije poslužijo najema zunanjega DPO.
Zasledili smo primer, ko je bil v prejšnjem tednu nekaterim subjektom javnega sektorja (konkretno šolam in vrtcem) poslan dopis oziroma ponudba za najem zunanjega DPO, ki pa je subjekt zasebnega sektorja. Glede na sedaj predvideno vsebino novega ZVOP-2 to ni dopustno, saj lahko funkcijo DPO v javnem sektorju opravlja le nekdo, ki je zaposlen v javnem sektorju, ne pa podjetje oziroma oseba iz zasebnega sektorja. Takšni ponudniki storitev najema DPO morda zgolj izkoriščajo splošno nepoznavanje področja varstva osebnih podatkov ali pa s pogoji, ki so predvideni v osnutku ZVOP-2, niti sami niso seznanjeni. Vprašanje je tudi, ali svoje (potencialne) naročnike seznanijo z možnostjo, da po uveljavitvi nove zakonodaje, morda zanje teh storitev več ne bodo mogli izvajati.
Bistveno pri tem je, da se podjetja oziroma organizacije pri odločitvi o imenovanju DPO ne prenaglijo in si izberejo osebo oz. zunanjega izvajalca, ki je resnično podkovan v znanju in vreden zaupanja. Pomembni sta obe okoliščini, saj bo DPO hkrati zagotavljal skladnost z GDPR in organizacijo v primeru pomanjkljivega znanja izpostavil velikim tveganjem (tako neposredno finančnim tveganjem kot tudi tveganjem, ki so posledica izgube ugleda na trgu), po drugi strani pa bo ta oseba imela tudi dostop do pomembnih in zaupnih podatkov naročnika. Do sprejema ZVOP-2 se bodo tako najbrž še pojavljala kakšna neskladja in zavajajoče ponudbe, vse upravljavce ali obdelovalce osebnih podatkov pa pozivamo k premišljenim izbiram izvajalcev oz. postopkov uskladitve z določili GDPR.
Maja Brajnik, delovnopravna strokovnjakinja, in Zlatka Markovič, korporativna pravnica, skrbnici osebnih podatkov, Kadrovska asistenca – Kadrovske storitve d.o.o.