Proteklih tjedana nas je izravno kontaktirao nemali broj velikih poslovnih subjekata nakon što su po prvi put dobili pismo AZOP-a.
Iako nismo očekivali pozive, pogotovo ne toliko, brzo smo prepoznali o čemu se radi.
Brojne organizacije, od tijela javne vlasti i javnih tijela, privatnih tvrtki i korporacija dobile su pisma AZOP-a kojima ih se obavještava o otvaranju upravnih postupaka nakon što su na proljeće dostavile svoje odgovore na pitanja iz upitnika AZOP-a u okviru koordinirane akcije EDPB-a vezane na imenovanje i položaj službenika za zaštitu podataka i imaju li oni valjanu poziciju u organizacijama propisanu člancima 37-39. GDPR-a.
Svojim odgovorima su brojne organizacije otkrile da su za službenika za zaštitu podataka imenovale, kolokvijalno rečeno, šefa kadrovske ili pravne službe i općih poslova, ili pak člana uprave ili osobu za zaštitu na radu, direktora prodaje ili IT-a, pročelnika i sl. Time je prekršen članak 38. stavak 6. GDPR-a, jer se službenik za zaštitu podataka nalazi u sukobu interesa.
A što to znači? Što je sukob interesa?
AZOP ga je pojasnio na svojim stranicama https://azop.hr/imenovanje-sluzbenika-za-zastitu-podataka-2/ iz kojeg izdvajamo:
„Nepisano je pravilo da radna mjesta koja mogu biti u sukobu interesa u okviru organizacije mogu biti položaji u višem rukovodstvu (kao što su predsjednik uprave, direktor poslovanja, direktor financija, glavni medicinski službenik, voditelj odjela za marketing, voditelj ljudskih resursa ili voditelj odjela za informacijsku tehnologiju), ali i niže uloge u hijerarhijskoj strukturi organizacije ako takvi položaji ili uloge podrazumijevaju utvrđivanje svrhe i načina obrade osobnih podataka.“
Isto je potvrdio je Europski sud (CJEU) svojom presudom na ovom linku:
CJEU je naveo da Službenik za zaštitu podataka treba "biti u poziciji obavljati svoje dužnosti i zadatke na neovisan način", ali "ne mogu im se povjeravati zadaci ili dužnosti koje će imati za posljedicu njegovo ili njezino određivanje svrhe i načina obrade osobnih podataka od strane voditelja obrade ili njegovog izvršitelja.”
Naši savjeti s obzirom na dugogodišnje iskustvo:
- Nemojmo ignorirati upućene zahtjeve u upravnom postupku
- Ispunimo zahtjeve i dostavimo traženu dokumentaciju
- Budimo iskreni s odgovorima prema AZOP-u, nemojmo se zavaravati da ćemo sakriti istinu
- Surađujmo s AZOP-om ne samo jer je to obveza već i što sami sebi pomažemo, pročitajmo članak 31. i članak 83. GDPR-a
- Poduzmimo odmah mjere ako kršimo GDPR i opišimo ih u odgovoru
- Nemojmo sad na brzinu imenovati nasumce drugog zaposlenika nižeg u hijerarhiji samo da izbjegnemo sukob interesa, ako on nema stručne kvalifikacije, posebice stručno znanje o pravu i praksama u području zaštite podataka, ako ne poznaje informacijske tehnologije i informacijsku sigurnost te procese obrade osobnih podataka u organizaciji
Image by master1305 on Freepik
#gdprcroatia
