37. člen GDPR
Pooblaščena oseba za varstvo osebnih podatkov (Data Protection Officer)

Kdo je dolžan imeti pooblaščeno osebo

Pooblaščeno osebo morajo po 37. členu Uredbe (in 45. členu ZVOP-2) določiti:

  • upravljavci in obdelovalci v javnem sektorju (razen nekaterih izjem),
  • upravljavci ali obdelovalci v zasebnem ali javnem sektorju, katerih temeljne dejavnosti ali naloge zajemajo redno in sistematično obsežno spremljanje posameznikov (glede na naravo, obseg oziroma namene obdelave),
  • upravljavci ali obdelovalci v zasebnem ali v javnem sektorju, katerih temeljne dejavnosti ali naloge zajemajo obsežne obdelave občutljivih osebnih podatkov (rasno ali etnično poreklo, politično mnenje, versko ali filozofsko prepričanje ali članstvo v sindikatu, genski podatki, biometrični podatki, podatki v zvezi z zdravjem,podatki o vpisu ali izbrisu v ali iz kazenske in prekrškovne evidence).

Kaj vsebuje

Pooblaščena oseba za varstvo podatkov opravlja naslednje naloge:

  • obveščanje upravljavca ali obdelovalca in zaposlenih, ki izvajajo obdelavo, ter svetovanje navedenim o njihovih obveznostih v skladu s to uredbo in drugimi določbami prava Unije ali prava države članice o varstvu podatkov;
  • spremljanje skladnosti s to uredbo, drugimi določbami prava Unije ali prava države članice o varstvu podatkov in politikami upravljavca ali obdelovalca v zvezi z varstvom osebnih podatkov, vključno z dodeljevanjem nalog, ozaveščanjem in usposabljanjem osebja, vključenega v dejanja obdelave, ter s tem povezanimi revizijami;
  • svetovanje, kadar je to zahtevano, glede ocene učinka v zvezi z varstvom podatkov in spremljanje njenega izvajanja v skladu s členom 35;
  • sodelovanje z nadzornim organom;
  • delovanje kot kontaktna točka za nadzorni organ pri vprašanjih v zvezi z obdelavo, vključno s predhodnim posvetovanjem iz člena 36, in, kjer je ustrezno, posvetovanje glede katere koli druge zadeve.