Jedno od najstrožijih EU nadzornih tijela za zaštitu podataka, francuski CNIL, objavilo je praktične upute u vezi odabira Službenika za zaštitu podataka i njegove uloge i zadaća
 
https://www.dataguidance.com/opinion/france-cnil-provides-practical-advice-dpo-role-tasks
 
Izdvajamo:
 
-------------------------------------
 
1. Interni ili eksterni?
 
Uputa predlaže tri glavna scenarija za imenovanje Službenika za zaštitu podataka (DPO, Data Protection Officer), svaki je dopušten pod određenim uvjetima i donosi vlastite prednosti i izazove:
 
- interni;
- vanjski;
- dijeli se s drugim organizacijama.
 
Izazovi imenovanja vlastitog DPO-a mogu uključivati rizik od sukoba interesa ako DPO obavlja dodatne dužnosti, nedostatak vremena za obavljanje svojih dužnosti DPO-a i nedostatak potrebnog položaja u smislu ovlasti unutar organizacije.
 
Vanjski DPO-ovi mogu se angažirati temeljem ugovora o pružanju takvih usluga. CNIL upozorava kako bi se organizacije, između ostalog, mogle suočiti s poteškoćama u izboru svojeg pružatelja DPO usluga i osiguravanju njegove stručnosti.
 
Uputa predlaže treću opciju: DPO mogu dijeliti različite organizacije, pod određenim uvjetima ovisno o strukturi organizacije. Skupina organizacija može imenovati istog DPO-a ako je lako dostupan svakom pojedinom subjektu.
 
-------------------------------------
 
2. Koraci za imenovanje DPO-a
 
Organizacije, bez obzira na to jesu li voditelji ili izvršitelji, pri imenovanju DPO-a slijede ove korake:
 
Odaberite pravog DPO: uzimajući u obzir interes kandidata za izvršavanje zadaća DPO-a i općenito za zaštitu osobnih podataka, njihove kvalifikacije, izostanak sukoba interesa i uvjete za ispunjavanje njihovih dužnosti kao što su dostatni resursi.
 
Upoznajte svog DPO-a: Obavijestite javnost i sve zaposlenke o kontaktima imenovanog Službenika za zaštitu podataka radi osiguranja dostupnosti svim stranama, od zaposlenika i ispitanika do povezanih funkcija s kojima DPO mora imati izravne i dosljedne komunikacijske kanale.
 
Obavijestiti nadležno nadzorno tijelo: organizacije koje djeluju u različitim jurisdikcijama moraju osigurati da to učine prema nadležnom nadležnom tijelu.
 
-------------------------------------
 
3. Alokacija resursa za funkciju DPO
 
Sredstva dodijeljena DPO-u moraju se prilagoditi veličini, strukturi i djelatnosti organizacije, stoga bi se sredstva trebala prilagođavati razmjerno prema složenosti i osjetljivosti aktivnosti prerade.
Uputa preporučuje da se jasno utvrdi vrsta sredstava koja će biti dodijeljena DPO-u.
 
Uputa pruža praktične primjere resursa koje organizacije trebaju osigurati za DPO, uključujući:
 
- dovoljno vremena da DPO izvrši svoje zadaće;
- financijska sredstva;
- infrastrukturu, uključujući uredski prostor i opremu;
- automatski pristup pravnim dokumentima;
- službena komunikacija o imenovanju DPO-a svim zaposlenicima;
- pristup kanalima za unutarnju komunikaciju;
- pristup drugim funkcijama kao što su ljudski resursi, pravna i informacijska sigurnost, među ostalim;
- trajno osposobljavanje;
- tim za potporu DPO-u; i
- strogo povjerljivi komunikacijski kanali, prema potrebi, na primjer za komunikaciju s ispitanicima.
 
-------------------------------------
 
4. Odgovornost DPO-a
 
Posebno je važno da DPO nije pravno odgovoran za cjelokupnu usklađenost organizacije s pravom o zaštiti podataka, osim u slučaju namjernih povreda tog prava, te ih voditelj ili izvršitelj obrade podataka ne može kazniti za obavljanje svojih zadaća.
 
-------------------------------------
 
5. Neovisnost DPO-a
 
DPO ne smije primati nikakve upute u obavljanju svojih zadaća i mora moći izravno izvješćivati najvišu razinu managementa organizacije. S druge strane, uputa naglašava da organizacije ne smiju utjecati na dokumente koje izrađuje DPO. Međutim, u uputama se navodi da DPO može odlučiti podnijeti nacrte dokumenata svojim nadređenima ili relevantnim poslovnim funkcijama kako bi dobio povratne informacije i savjete koje može ili ne mora uzeti u obzir.
-------------------------------------
Dobro promislimo koga odabiremo za Službenika za zaštitu podataka, jer ćemo se vrlo često oslanjati na njegove savjete i tražiti ga pomoć kad "zagusti".
 
I ne zaboravimo, Službenik za zaštitu podataka mora djelovati kao član tima.