GDPR V PRAKSI
ZA DPO-ja LAHKO IMENUJMO VSAKOGAR … ALI PAČ?
Težave, na katere smo naleteli pri imenovanju pooblaščene osebe za varstvo podatkov (Data Protection Officer)
GDPR V PRAKSI
ZA DPO-ja LAHKO IMENUJMO VSAKOGAR … ALI PAČ?
Težave, na katere smo naleteli pri imenovanju pooblaščene osebe za varstvo podatkov (Data Protection Officer)
.
1. MISEL: Potrebujemo DPO-ja!
Vedeli smo, da bi morali nekateri upravljavci in obdelovalci podatkov imenovati pooblaščeno osebo za varstvo podatkov (DPO – Data Protection Officer), ki bo odgovoren za poslovanje podjetja skladno z Uredbo.
2. MISEL: Ups, imamo problem!
Za DPO-ja smo želeli imenovati vodjo razvoja, vendar ga ne moremo, ker pri svojem delu obdeluje osebne podatke. Namesto njega smo predlagali analitika, vodjo marketinga in uredništva, vendar nihče od njih ni prišel v poštev. Gotovo imate tudi vi ta problem!
3. MISEL: Rešitev se glasi …
Nihče iz podjetja ne more postati DPO, ker vodje oddelkov določajo namen in sredstva za obdelavo podatkov, medtem ko drugi zaposleni niso dovolj usposobljeni za to delovno mesto. Edina možnost je, da imenujemo zunanjega DPO!
Razlogi zakaj vodje oddelkov ne morejo prevzeti te funkcije
DPO mora biti neodvisen in ne sme prejemati navodil upravljavca podatkov. Učinkovito mora komunicirati s posamezniki, katerih osebni podatki se obdelujejo in sodelovati z nadzorniki. Ne sme biti zaposlen na delovnem mestu, v sklopu katerega se določa namen in sredstva za obdelavo podatkov (ne samo na vodilnih delovnih mestih).
Razlogi, zakaj drugi zaposleni ne pridejo v poštev
Oseba odgovorna za varstvo podatkov bo zastopala družbo v primeru nadzora in bo dodatno usposabljala zaposlene na področju varstva podatkov. Najpomembnejše je bilo najti osebo, ki pozna zahteve Uredbe GDPR in tudi slovensko zakonodajo.
Naloge DPO-ja:
Idealen delavec mora imeti širok nabor znanj in izkušenj, saj bo s svojim delovanjem ščitil podjetje pred visokimi kaznimi.
DPO-ja morate imenovati, če redno in sistematično sledite posameznikom (npr. Sledenje uporabnikom spletnih strani, ustvarjanje spletnih profilov, oglaševanje na podlagi dejavnosti uporabnika) ali imate spletno trgovino.
Pri opredelitvi izraza REDNO spremljanje je treba upoštevati naslednje dejavnike:
Pri opredelitvi izraza SISTEMATIČNO redno spremljanje je treba upoštevati naslednje dejavnike:
POZOR! Enako velja, če obdelujete podatke v sklopu ciljnega oglaševana preko iskalnikov na podlagi obnašanja ljudi na spletu.
DPO-ja morate imenovati, če je vaša osnovna dejavnost obdelava in obsežna obdelava osebnih podatkov.
Pri opredelitvi izraza OBSEŽNA obdelava je treba upoštevati naslednje dejavnike:
Na našem primeru smo se veliko naučili in ugotovili, kako težko je najti pravo osebo za to delovno mesto.
Če dvomite, ali ste za DPO-ja imenovali pravo osebo za zaščito podatkov ali potrebujete splošno pomoč v zvezi z GDPR uredbo, vam pomagamo z brezplačnim nasvetvom.