Ovo pitanje posebno želimo usmjeriti na tijela javne vlasti i javna tijela, koja su sama po sebi obvezna imenovati službenika za zaštitu podataka s obzirom na obvezu iz članka 37. GDPR-a.
Radi bolje vizualizacije, ispričat ćemo jednu bajku 😉
Iza sedam mora i iza sedam gora bila jednom jedna osnovna škola, u kojoj je član Školskog odbora, izabran iz kvote županije kao osnivača, zatražio od škole da mu da popis učenika koji koriste školski prijevoz. Bez navođenja svrhe, uporišta u nekom zakonu, ništa…
Službenik za zaštitu podataka dao je odmah uputu ravnatelju škole da ne smije otkriti osobne podatke djece članu Školskog odbora, zbog nepostojanja pravnog temelja iz članka 6. GDPR-a kao i zbog nepostojanja takve ovlasti ijednog člana Školskog odbora s obzirom na Statut škole i Zakon o odgoju i obrazovanju u osnovnoj i srednjoj školi.
Tvrdoglavi službenik za zaštitu podataka, čiju je uputu ravnatelj u cijelosti poštivao, naišao je na ljutnju člana Školskog odbora i prijetnje prijavama na nekoj višoj razini.
Tvrdoglav, kakav je, nije se dao smesti. „Ne može“, ponovi on…
Kako je taj službenik za zaštitu podataka mogao i smio biti tako tvrdoglav i samouvjeren?
Jel možda zato jer članak 37. GDPR-a kaže da se službenik za zaštitu podataka imenuje na temelju stručnih kvalifikacija, a osobito stručnog znanja o pravu i praksama u području zaštite podataka te sposobnosti izvršavanja zadaća?
Ili možda zato jer članak 38. GDPR-a nalaže da voditelj i izvršitelj obrade osiguravaju da službenik za zaštitu podataka ne prima nikakve upute u pogledu izvršenja svojih zadaća?
Ili je ipak službenik za zaštitu podataka proučio WP29 Smjernice o službenicima za zaštitu podataka:
https://azop.hr/wp-content/uploads/2020/12/wp243rev01_hr-1.pdf
koje u točki 3.1. kažu:
„..da se mišljenje službenika za zaštitu podataka uvijek uzme u obzir. U slučaju neslaganja, Radna skupina iz članka 29. smatra dobrom praksom i preporučuje da se zabilježe razlozi zbog kojih se nije slijedio savjet službenika za zaštitu podataka“
ili koje u točki 3.3. kažu:
„To znači da se službenicima za zaštitu podataka koji ispunjavaju svoje zadaće u skladu s člankom 39. ne smiju davati upute o načinu rješavanja predmeta, na primjer, o ishodu koji bi trebalo ostvariti, načinu vođenja istrage o pritužbi ili o tomu treba li tražiti savjet nadzornog tijela. Nadalje, ne smije ih se uputiti da zauzmu određeno stajalište o predmetu koji se odnosi na zakon o zaštiti podataka, na primjer, na određeno tumačenje zakona.“
„Ako voditelj obrade ili izvršitelj obrade donese odluke nespojive s Općom uredbom o zaštiti podataka i savjetom službenika za zaštitu podataka, službeniku za zaštitu podataka trebalo bi omogućiti da svoje suprotno mišljenje jasno da do znanja najvišoj rukovodećoj razini te onima koji donose odluke.“
Imamo li stručnog, samostalnog i tvrdoglavog Službenika za zaštitu podataka?
#gdprcroatia