Kaj dela DPO?

15 maj 2018

Splošna uredba o varstvu podatkov (GDPR), ki začne veljati 25. maja, med drugim predpisuje, da morajo nekatere organizacije v EU imenovati pooblaščeno osebo za varstvo osebnih podatkov. Za katere organizacije to velja in kaj pooblaščena oseba za varstvo osebnih podatkov dejansko počne? Lisbeth Svensson, pooblaščena oseba za varstvo osebnih podatkov v skupini Bisnode, je odgovorila na ta in druga vprašanja.

Katere so glavne naloge pooblaščene osebe za varstvo osebnih podatkov?

Pooblaščena oseba za varstvo osebnih podatkov mora zagotoviti, da osebne podatke obdelujemo spoštljivo in skladno z zakoni s področja zasebnosti. To vključuje seznanjanje, svetovanje in nadzor nad tem, da organizacija razume in posluje skladno z zakoni. Pooblaščena oseba za varstvo osebnih podatkov mora zagotoviti, da ima organizacija vso potrebno dokumentacijo in da je ta vedno posodobljena. Ta oseba je prav tako glavna oseba za stik z nadzornimi ustanovami za varstvo podatkov.

Kakšne kvalifikacije in strokovno znanje mora imeti pooblaščena oseba za varstvo osebnih podatkov, da bi svoje delo opravljala dobro?

Predvsem mora zelo dobro razumeti področje zasebnosti, ki vključuje tudi GDPR, saj lahko s tem prepreči marsikatero težavo. Pooblaščena oseba za varstvo osebnih podatkov je običajno v stiku z večino delov organizacije, zato je nujno, da dobro pozna poslovanje, zna razumeti sodelavce na zelo drugačnih delovnih mestih in zna poskrbeti, da tudi oni razumejo njo. Povedano drugače: dobre komunikacijske veščine so prav tako pomembne. Poznam veliko področij – od IT-ja, prodaje in vodenja projektov do upravljanja kadrov in podatkov. To je zelo dobra osnova in mi je v veliko pomoč.

Katere so vaše glavne odgovornosti v skupini Bisnode?

Moja glavna odgovornost je zagotoviti, da ščitimo osebne podatke in z njimi ravnamo skladno z zakoni. Trenutno se zelo veliko ukvarjam z našim GDPR-programom in odgovarjam na veliko vprašanj iz različnih delov naše organizacije. Prav tako skrbim za to, da imamo potrebne pravilnike in izvajamo ustrezne postopke, ter zagotavljam, da zasebnost upoštevamo v svojih projektih in sistemih. V prihodnje bo zelo pomembno tudi nadaljnje zagotavljanje zasebnosti, saj se naše delo s 25. majem ne bo končalo.

Katera podjetja bodo morala imenovati pooblaščeno osebo za varstvo osebnih podatkov?

Uradno gledano bodo morali pooblaščeno osebo za varstvo podatkov imenovati vsi javni organi in podjetja, katerih osnovne dejavnosti vključujejo obsežno, redno in sistematično spremljanje oseb, s podatki katerih razpolagajo, ali obsežno obdelavo podatkov posebnih kategorij in osebnih podatkov, povezanih s kazenskimi obsodbami ali prekrški.

Kljub temu vsem podjetjem, ki obdelujejo osebne podatke, priporočam, da imenujejo pooblaščeno osebo za varstvo osebnih podatkov ali vsaj določijo nekoga, ki bo odgovoren za zadeve, povezane z zasebnostjo, glede na velikost podjetja in količino podatkov, s katerimi ravnajo.

 

 Kako bo videti vaše vsakodnevno delo po 25. maju?

Še naprej bom počela to, kar počnem zdaj, hkrati pa bom še začela pregledovati naše poslovanje, da bi zagotovila, da še naprej poslujemo skladno z zakonom. Prav tako dnevno prejemam vprašanja o naši organizaciji in projektih. Prepričana sem, da bomo še nekaj časa usklajevali naše nove postopke. Skrbela bom tudi za dvig ozaveščenosti in usposabljanje drugih po potrebi.

Je skupina Bisnode imenovala pooblaščeno osebo za varstvo osebnih podatkov v vsaki državi?

Skupina Bisnode je imenovala lokalne pooblaščene osebe za varstvo osebnih podatkov, vendar so nekatere zadolžene za več kot en trg. Za takšen korak smo se odločili, ker mora biti pooblaščena oseba za varstvo podatkov zlahka dosegljiva in mora razumeti lokalno zakonodajo. Prednost je tudi znanje lokalnega jezika. Ni pa nujno, da mednarodna organizacija imenuje več pooblaščenih oseb za varstvo osebnih podatkov.

Kaj je vaš največji izziv na vašem delovnem mestu?

Zagotoviti želim, da bo pooblaščena oseba za varstvo osebnih podatkov tista oseba, s katero se drugi vedno posvetujejo na začetku vsakega razvojnega postopka. Vedno je lažje dati dober nasvet, preden se kaj razvije, kupi in uporabi.

Katere priložnosti bo uvedba GDPR-ja prinesla podjetjem, kot je Bisnode?

Naše podjetje in njegove priložnosti bodo ostale po uvedbi GDPR-ja podobne, vendar je izjemno pomembno, da pomagamo zagotoviti, da bodo imele naše stranke prave informacije o tem, kar počnejo, in da bodo njihovi podatki točni in posodobljeni.

GDPR-program bo prav tako pospešil naše postopke na drugih področjih.

Katere so najzmotnejše predstave o GDPR-ju?

Pogosto slišim in odgovarjam na naslednja tri vprašanja:

Prvič – prenos podatkov. Da, v nekaterih primerih lahko zaprosite za prenos svojih podatkov drugemu upravljavcu. Vendar za vse vrste podatkov to ne bo vedno mogoče.

Drugič – nekateri menijo, da bodo podjetja zdaj vedno potrebovala soglasje za obdelavo osebnih podatkov. To preprosto ne drži. Obstaja šest zakonskih podlag in soglasje je samo eno od teh.

Tretjič – nekateri menijo, da podjetja ne smejo več hraniti osebnih podatkov, ki jih potrebujejo. Če ima podjetje zakonite razloge, lahko dejansko hrani podatke, ko je to potrebno. Podjetje po zakonu ne sme hraniti več podatkov, kot jih potrebuje, ne sme jih hraniti dlje, kot je potrebno, prav tako pa mora upoštevati posameznikove pravice.

BREZPLAČNA BISNODE
e-KNJIGA

Kratek vodič po GDPR.

Zagotovite si svoj GDPR vodič