5. Ali potrebujem pooblaščeno osebo za varstvo podatkov (DPO)?

Uredba v členu 37 določa, kdaj je potrebno imenovanje pooblaščenih oseb za varstvo podatkov (ang. Data Protection Officer). Obveznost imenovanja pooblaščenih oseb ni vezana na število zaposlenih v podjetju, temveč Uredba določa kriterije, po katerih morate sami oceniti, ali ste takšno podjetje, ki mora imeti pooblaščeno osebo. Imenovati jih morajo:

  1. Javni organi in telesa.
  2. Podjetja, katerih temeljne dejavnosti zajemajo dejanja obdelave, pri katerih je treba zaradi njihove narave, obsega in/ali namenov posameznike redno in sistematično obsežno spremljati – podjetja, katerih poslovanje temelji na osebnih podatkov. Sem sodijo banke, zavarovalnice, operaterji elektronskih komunikacij, trgovci s klubi zvestobe. Prav tako bi sem sodile kadrovske agencije, številne spletne trgovine in IT podjetja, ki vzdržujejo rešitve za obdelavo osebnih podatkov posameznikov (npr. sistemi za upravljanje podatkov kupcev in njihovo profiliranje (upravljanje odnosov s strankami), zdravstveni IT sistemi itd.). Proizvodna podjetja in druga podjetja, katerih temeljne storitve niso namenjene posameznikom, temveč drugim podjetjem in ki ne vključujejo obsežne obdelave osebnih podatkov, niso dolžna imenovati pooblaščene osebe.
  3. Tista podjetja in institucije, ki izvajajo obsežno obdelavo obdelujejo zdravstvenih in drugih občutljivih podatkov, ki sodijo med t.i. posebne vrste podatkov – klinični centri, bolnišnice in klinike, zdravstveni in socialno-varstveni zavodi, ponudniki zdravstvenih informacijskih sistemov in storitev, zapori in prevzgojni zavodi. Posamezen zasebni zdravnik, zobozdravnik ali odvetnik ni dolžan imenovati pooblaščene osebe.

Uredba dopušča, da naloge pooblaščene osebe opravlja zunanja oseba, v določenih primerih lahko ena pooblaščena oseba opravlja naloge za več družb oziroma organov.

Preberite tudi podrobnejšo razlago o pooblaščeni osebi za varstvo podatkov.