Službenici za zaštitu podataka pružaju voditelju i izvršitelju obrade preporuke i smjernice za postupanje u skladu s Općom uredbom o zaštiti podataka (GDPR). Savjetuju i predlažu tehničke i organizacijske mjere zaštite te osim što olakšavaju usklađivanje provodeći instrumente za osiguranje pouzdanosti (kao što su i olakšanje procjene učinka na zaštitu podataka i provedba ili olakšanje revizije), djeluju i kao posrednici između relevantnih sudionika (npr. nadzorna tijela, ispitanici i poslovne jedinice unutar organizacija i druga).

Iako mnoge organizacije zaziru od njegovog imenovanja često se ispusti iz vida da je upravo službenik za zaštitu podataka (DPO) taj koji će savjetovati i poduzimati potrebne akcije i mjere koje će organizaciji omogućiti postupanje u skladu s regulativom i preporukama te će na taj način organizacija izbjeći moguće kazne i naknade štete ispitanicima.

Pri tome je bitno imati na umu da neovisno o mogućim upravnim kaznama, GDPR svakom ispitaniku kojem se povrijede njegova prava iz Uredbe jamči pravo na naknadu štete. Ne zaboravimo niti činjenicu da su voditelj/izvršitelj obrade ti koji su u obvezi dokazati da do povrede nije došlo kao i da su poduzeli sve u skladu s svojim stvarnim mogućnostima da do povrede ne dođe te da su poduzete sve potrebne mjere kada se povreda dogodi.

Stoga je za organizaciju bitno imenovati službenika za zaštitu podataka koji će moći udovoljiti takvim i drugim zahtjevima, neovisno što njegova stručnost nije određena kao i onda kada za određene organizacije ne postoji obveza njegovog imenovanja.

Kada je potrebno imenovati službenika za zaštitu podataka?

Onda kada postoji obveza. Međutim, preporuka je za imenovanje i onda kada je to je Preporuka od strane Radne skupine za zaštitu podataka iz članka 29.

Zašto ga imenovati onda kad je to samo preporuka?

Zato jer prije svega voditelj/izvršitelj obrade moraju moći dokazati svoju pouzdanost i usklađenost s Općom uredbom o zaštiti podataka (GDPR) a što će biti znatno olakšano onda kada organizacija ima imenovanog službenika neovisno što nije u obvezi imenovati ga.

Kada organizacija nije u obvezi imenovati službenika Radna skupina ističe potrebu da organizacija dokumentira procese interne analize provedene radi utvrđivanja je li potrebno imenovanje službenika za zaštitu podataka ili ne, kako bi mogli dokazati da su svi relevantni čimbenici primjereno uzeti u obzir.

Kada postoji obveza imenovanja?

Voditelj obrade i izvršitelj obrade imenuju službenika za zaštitu podataka u svakom slučaju u kojem obradu provodi tijelo javne vlasti ili javno tijelo, osim za sudove koji djeluju u okviru svoje sudske nadležnosti, kada se osnovne djelatnosti voditelja obrade ili izvršitelja obrade sastoje se od postupaka obrade koji zbog svoje prirode, opsega i/ili svrha iziskuju redovito i sustavno praćenje ispitanika u velikoj mjeri, ili osnovne djelatnosti voditelja obrade ili izvršitelja obrade sastoje se od opsežne obrade posebnih kategorija podataka i osobnih podataka u vezi s kaznenim osudama i kažnjivim djelima.

Kada je preporuka za imenovanje?

Radna skupina za zaštitu podataka iz članka 29 donijela je Smjernice o službenicima unutar kojih daje preporuke kao i smjernice i upute o vršenju same funkcije službenika.

Kao dobru praksu imenovanja daje se preporuka:

• privatnim organizacijama koje obavljaju javne zadaće ili izvršavaju javne ovlasti, druge fizičke ili pravne osobe koje posluju u skladu s javnim pravom ili privatnim pravom u sektorima kao što su usluge javnog prijevoza, opskrba vodom i energijom, cestovna infrastruktura, javne radiodifuzijske usluge, socijalni stanovi ili stegovna tijela za regulirane profesije i drugo. Djelovanje takvog službenika za zaštitu podataka obuhvaća sve postupke obrade koji se provode, uključujući i one koji nisu povezani s obavljanjem javne zadaće ili izvršavanjem službene dužnosti (npr. upravljanje bazom podataka o zaposlenicima);
• navodi da tumačenja pojma "osnovne djelatnosti" ne bi smjelo isključiti djelatnosti u kojima obrada podataka čini neodvojiv dio djelatnosti voditelja obrade ili izvršitelja obrade. Na primjer plaćaju svoje zaposlenike ili osiguravaju standardnu informatičku potporu. To su primjeri pomoćnih funkcija nužnih za osnovne djelatnosti ili osnovno poslovanje organizacije. Premda su te djelatnosti potrebne ili ključne, obično se smatraju pomoćnim funkcijama, a ne osnovnom djelatnošću;
• navodi da pojam praćenja nije ograničen na internetsko okruženje. Primjeri djelatnosti koje se navode da se mogu smatrati redovitim i sustavnim praćenjem ispitanika: upravljanje telekomunikacijskom mrežom, pružanje telekomunikacijskih usluga, preusmjeravanje elektroničke pošte, marketinške aktivnosti temeljene na podacima, izrada profila i ocjena radi procjene rizika (npr. radi ocjene kreditnog boniteta, određivanja premije osiguranja, sprečavanja prijevara, otkrivanja pranja novca), praćenje lokacije, na primjer s pomoću mobilnih aplikacija, programi vjernosti, bihevioralno oglašavanje, praćenje podataka o općem stanju organizma, tjelesnoj kondiciji i zdravlju s pomoću uređaja koji se nose na tijelu, televizija zatvorenog kruga, povezani uređaji, npr. pametna brojila, pametni automobili, automatizacija doma itd.

Razina stručnosti

GDPR ne određuje stručne kvalifikacije te je moguće imenovati osobu neovisno o vrsti i stupnju edukacije. Međutim, Radna skupna za zaštitu podataka upućuje da bi trebalo razmotriti prilikom imenovanja da službenik poznaje područje nacionalnog i europskog prava i prakse te dubinski razumjeti Opću uredbu o zaštiti podataka i mora dobro razumjeti postupke koji se provode, informacijske sustave te potrebe voditelja/izvršitelja u pogledu sigurnosti podataka i zaštite podataka.

Radna skupina iz članka 29. ističe preporuku osposobljavanja službenika za zaštitu podataka koju provode nacionalna nadzorna tijela, odnosno u Hrvatskoj to je Agencija za zaštitu podataka (AZOP).

Hrvatski centar za zaštitu podataka Feralis ustrojio je klub službenika za zaštitu podataka HR DPO KLUB u koji se mogu učlaniti svi imenovani službenici. Članovi mogu razmjenjivati svoja iskustva, zatražiti savjet, prisustvovati seminarima, edukacijama i radionicama te ostvariti drugu potporu ili pomoć u radu te zajedno sudjelovati u unaprjeđenju položaja i zaštiti temeljnih interesa funkcije.

Ines Bolkovac, službenik za zaštitu podataka

Više informacija i članaka na temu GDPR-a možete naći na stranicama Feralisa.

Link za HR DPO KLUB

Povezane vijesti

• Mini vodič za samostalno uređenje web stranice U SKLADU S GDPR-om
• OBRADA OSOBNIH PODATAKA NA RADNOM MJESTU: Mali vodič za poslodavce i zaposlenike
• PRIVSEC LONDON: Vodeći svjetski stručnjaci praktično o privatnosti i sigurnosti i KAKO SE ZAŠTITITI