Koje su potrebne vještine i stručnost koju Službenik za zaštitu podataka treba posjedovati?
- stručnost u pogledu nacionalnih i europskih zakona i praksi u području zaštite podataka, uključujući dubinsko razumijevanje Opće odredbe o zaštiti podataka,
- razumijevanje provedenih postupaka obrade,
- razumijevanje informacijskih tehnologija i sigurnosti podataka,
- poznavanje poslovnog sektora i organizacije,
- sposobnost promicanja kulture zaštite podataka unutar organizacije
Tako je zapisano u uputama AZOP-a na:
https://azop.hr/cesto-postavljena-pitanja-sluzbenici-za-zastitu-podataka/
AZOP je objavio niz detaljnih uputa o Službeniku za zaštitu podataka (DPO, Data Protection Officer) i dobar dio organizacija bi trebao pročitati te upute i provjeriti koliko njihov DPO i sama organizacija ispunjavaju tražene kriterije:
https://azop.hr/savjetodavna-zadaca-opcenito/
https://azop.hr/kontinuirano-ponavljanje-zadaca-1-3-i-4/
Na što se sve odnose savjetodavne zadaće?
Službenici moraju osigurati da se Uredba poštuje i savjetovati voditelje obrade o ispunjavanju njihovih obveza.
Službenik može stoga informirati, pružati savjete ili davati preporuke za praktično poboljšanje zaštite podataka od strane organizacije i/ili o pitanjima koja se tiču primjene odredbi o zaštiti podataka i za izmjene i ažuriranja politika (pravila) i praksi organizacije vezano za zaštitu podataka u svjetlu novih pravnih instrumenata, odluka, mjera ili smjernica.
Koji angažman se očekuje od službenika u tom pogledu?
Službenik bi trebao moći pažljivo pratiti zakonodavstvo i regulatorna događanja u područjima zaštite podataka, sigurnosti podataka itd., kako bi mogao alarmirati više rangiranu upravu i relevantnu niže rangiranu upravu o:
– nadolazećim novim EU instrumentima (kao što je Uredba o e-privatnosti,) ili
– nove izvršne ili sudske odluke na EU-razini (kao bilo koja relevantna odluka o “adekvatnosti” Europske komisije, koja se odnosi na treće zemlje u koje organizacija prenosi podatke, ili relevantne presude CJEU-a);
– nove smjernice na EU razini (bilo koja mišljenja ili preporuke, itd., koje izda Europski odbor za zaštitu podataka);
– i slični instrumenti, odluke, mjere ili smjernice koje su izdane u vlastitoj državi poslovnog nastana DPO-a (ili državama)
Što se očekuje od voditelja obrade?
Organizacija bi trebala osigurati, primjerice, da:
- službenik bude pozvan sudjelovati redovito na sastancima višeg i srednjeg menadžmenta.
- njegova/njena nazočnost se preporučuju kad se donose odluke s implikacijama za zaštitu podataka
- sve relevantne informacije se moraju prenijeti službeniku pravovremeno kako bi mu/joj se omogućilo da pruži adekvatan savjet.
- mišljenju službenika se uvijek mora dati težina. U slučaju neslaganja, preporučuje se, kao dobru praksu, dokumentirati razloge zbog propusta postupanja po savjetu službenika
- službenik se mora hitno tražiti savjet kada se pojavi povreda podataka ili drugi incident
Kojim se zaštitnim mjerama službeniku za zaštitu podataka omogućuje neovisno obavljanje zadataka?
Nekoliko je zaštitnih mjera kako bi se službeniku za zaštitu podataka omogućilo obavljanje zadaća na neovisan način:
- ne smiju im se davati upute o načinu rješavanja predmeta, na primjer, o ishodu koji bi trebalo ostvariti i načinu vođenja istrage o pritužbi ili o tomu treba li tražiti savjet nadzornog tijela
- ne smije ih se upućivati da zauzmu određeno stajalište o predmetu koji se odnosi na zakon o zaštiti podataka, (npr. na određeno tumačenje zakona)
- ne smije se službenika za zaštitu podataka razriješiti dužnosti ili kazniti zbog izvršavanja zadaća,
- ne smije postojati sukob interesa u odnosu na ostale moguće zadatke i dužnosti
Koja radna mjesta mogu biti u sukobu interesa?
Nepisano je pravilo da radna mjesta koja mogu biti u sukobu interesa u okviru organizacije mogu biti:
POLOŽAJI U VIŠEM RUKOVODSTVU (kao što su predsjednik uprave, direktor poslovanja, direktor financija, glavni medicinski službenik, voditelj odjela za marketing, voditelj ljudskih resursa ili voditelj odjela za informacijsku tehnologiju), ali i
NIŽE ULOGE U HIJERARHIJSKOJ STRUKTURI ORGANIZACIJE ako takvi položaji ili uloge podrazumijevaju utvrđivanje svrhe i načina obrade osobnih podataka.
