Čest je slučaj da podružnice multinacionalnih kompanija, koje ispunjavaju kriterije za obvezno imenovanje Službenika za zaštitu podataka (DPO, Data Protection Officer), ne imenuju svog lokalnog DPO-a već se na razini cijele multinacionalne kompanije imenuje jedan tzv. Grupni DPO.
 
Na primjer, multinacionalna kompanija sa sjedištem u Nizozemskoj imenuje Grupnog DPO-a koji je ujedno i DPO za podružnicu u Hrvatskoj.
 
GDPR u svom članku 37. to i omogućuje, ali pod jednim uvjetom: da je DPO lako dostupan iz svakog poslovnog nastana.
 
I tu objektivno nastaje problem u učinkovitosti rada DPO-a u Hrvatskoj. Pojam lake dostupnosti odnosi se na zadaće DPO-a kao točke za kontakt:
 
a. za ispitanike, s obzirom na članak 38. stavak 4. GDPR-a koji određuje da se ispitanici mogu obratiti DPO-u u pogledu svih pitanja povezanih s obradom svojih osobnih podataka i ostvarivanja svojih prava iz ove Uredbe,
 
b. za nadzorno tijelo, s obzirom na članak 39. stavak 1. točku (e) GDPR-a, koja određuje da je DPO kontaktna točka za nadzorno tijelo o pitanjima u pogledu obrade, što uključuje i prethodno savjetovanje iz članka 36. te savjetovanje, prema potrebi, o svim drugim pitanjima,
 
c. unutar organizacije, s obzirom na članak 39. stavak 1. točku (a) GDPR-a i s obzirom na to da je jedna od zadaća DPO-a informiranje i savjetovanje voditelja obrade ili izvršitelja obrade te zaposlenika koji obavljaju obradu o njihovim GDPR obvezama.
 
Sukladno Smjernicama o službenicima za zaštitu podataka WP 243 rev.01 Radne skupine za zaštitu podataka iz članka 29.
 
https://azop.hr/wp-content/uploads/2020/12/wp243rev01_hr-1.pdf
 
DPO mora biti u mogućnosti učinkovito komunicirati s ispitanicima, npr. klijentima ili zaposlenicima, i surađivati s nadzornim tijelima.
 
Štoviše, citiramo: "da se ta komunikacija mora odvijati na jeziku ili jezicima koje upotrebljavaju predmetna nadzorna tijela i ispitanici".
 
Priručnik za DPO javno objavljen na web stranicama AZOP-a
 
https://azop.hr/wp-content/uploads/2020/12/prirucnik-_za_dpo-t4data-hrv.pdf
 
navodi, da bi DPO bio učinkovit, treba biti dostupan “na terenu”, a ne samo dostupan različitim dionicima unutar organizacije, već proaktivno tražiti mogućnosti interakcije s različitim odjelima.
 
S obzirom na uputu AZOP-a na web stranici
 
https://azop.hr/cesto-postavljena-pitanja-sluzbenici-za-zastitu-podataka/
 
citiramo:
 
"SKUPINA PODUZETNIKA može imenovati jednog službenika za zaštitu podataka.
 
Uvjeti su slijedeći:
• da je službenik za zaštitu podataka „lako dostupan iz svakog poslovnog nastana” odnosno da je kontakt za ispitanike i nadzorno tijelo, ali i sve zaposlene unutar organizacije
 
UVJETI:
• osigurati da su njegovi podaci za kontakt lako dostupni (objava na web stranici)
• komunikacija se mora odvijati na jeziku koji upotrebljavaju predmetna nadzorna tijela i ispitanici
• dostupnost službenika za zaštitu podataka (putem telefonskog poziva, elektroničke pošte, osobno u poslovnim prostorijama ili s pomoću drugog sigurnog sredstva komunikacije)."
 
 
Da postojanje Grupnog DPO-a na razini multinacionalne korporacije može biti problem i rezultirati i ozbiljnom kaznom pokazuje nam slučaj iz Luksemburga u kojoj je smještena podružnica multinacionalne kompanije.
 
Luksemburško nadzorno tijelo je prije izricanja kazne od 18.000 EUR utvrdilo da Grupni DPO nije bio u mogućnosti niti je bio izravno i trajno uključen u sva pitanja u području zaštite osobnih podataka, već je bio informiran samo o izdvojenim informacijama.
 
Grupni DPO nije u dovoljnoj mjeri odgovarao niti davao obvezujuću podršku lokalnoj kompaniji niti je učinkovito mogao obavljati svoje zadaće prema lokalnoj kompaniji iz središnjice multinacionalne kompanije.
 
Lokalna podružnica u Luksemburgu je kažnjena i naknadno je imenovala zasebnog DPO-a.
 
Više o slučaju na:
 
https://gdprhub.eu/index.php?title=CNPD_(Luxembourg)_-_D%C3%A9lib%C3%A9ration_n%C2%B018FR/2021&mtc=today