A ipak je moguća i takva GDPR kazna, jer se nepoštivanje odredbi iz članka 38. GDPR-a o radnom mjestu Službenika za zaštitu podataka smatra ozbiljnim kršenjem GDPR-a s maksimalnim zapriječenim kaznama i do 10.000.000 EUR ili do 2% godišnjem bruto prihoda na globalnoj razini.
Gdje nadzorna tijela vide tu najveći problem?
Od Službenika za zaštitu podataka traže se u prvom redu potrebne vještine i stručnost:
- stručnost u pogledu nacionalnih i europskih zakona i praksi u području zaštite podataka, uključujući dubinsko razumijevanje Opće odredbe o zaštiti podataka,
- razumijevanje provedenih postupaka obrade,
- razumijevanje informacijskih tehnologija i sigurnosti podataka,
- poznavanje poslovnog sektora i organizacije,
- sposobnost promicanja kulture zaštite podataka unutar organizacije
Tako je zapisano u uputama AZOP-a na:
https://azop.hr/cesto-postavljena-pitanja-sluzbenici-za-zastitu-podataka/
Međutim, možda najvažniji kriterij odabira osobe za kompleksnu ulogu Službenika za zaštitu podataka jest obveza nepostojanja sukoba interesa.
Koja radna mjesta mogu biti u sukobu interesa?
Nepisano je pravilo da radna mjesta koja mogu biti u sukobu interesa u okviru organizacije mogu biti:
- POLOŽAJI U VIŠEM RUKOVODSTVU (kao što su predsjednik uprave, direktor poslovanja, direktor financija, glavni medicinski službenik, voditelj odjela za marketing, voditelj ljudskih resursa ili voditelj odjela za informacijsku tehnologiju), ali i
- NIŽE ULOGE U HIJERARHIJSKOJ STRUKTURI ORGANIZACIJE ako takvi položaji ili uloge podrazumijevaju utvrđivanje svrhe i načina obrade osobnih podataka.
Da ignoriranje ovog okvira može biti bezobrazno skupo, pokazuje nam slučaj iz Belgije gdje je nadzorno tijelo kaznilo jednu banku, jer su za Službenika za zaštitu podataka odabrali zaposlenika koji ujedno vrši ulogu rukovoditelja tri odjela: Odjela upravljanja operativnim rizicima, Odjela upravljanja informacijskim rizicima i Odjela posebnih istraga.
Kako je nadzorno tijelo utvrdilo da taj zaposlenik u ulogama rukovoditelja odjela određuje svrhe i načine postupanja s osobnim podacima, što je bilo lako utvrditi i u Evidenciji aktivnosti obrada iz članka 30. GDPR-a, izrečena je zaista visoka kazna od 75.000 EUR.
Više o kazni:
https://gdprhub.eu/index.php?title=APD/GBA_(Belgium)_-_141-2021&mtc=today
Photo from Pexel