Uočili smo slučajeve u kojima pravne osobe kao voditelji ili izvršitelji obrada, za zahtjevnu ulogu vanjskog službenika za zaštitu podataka ne imenuju pojedinca, fizičku osobu, već imenuju tvrtku, u pravilu konzultantsku tvrtku ili odvjetnički ured.

Je li to dozvoljeno?

Valja provjeriti s WP29 Smjernicama o službenicima za zaštitu podataka:

https://azop.hr/wp-content/uploads/2020/12/wp243rev01_hr-1.pdf

 

U njima piše, izdvajamo:

֍ U samom uvodu u točki 1. navodi se: „Službenici za zaštitu podataka nisu osobno odgovorni u slučaju neusklađenosti s Općom uredbom o zaštiti podataka.“ - naglasak je na osobnoj odgovornosti.

֍ U točki 2.1. navodi se slijedeće, citiramo: „Organizaciju koja nema zakonsku obvezu imenovati službenika za zaštitu podataka i koja ga ne želi imenovati dobrovoljno ništa ne sprečava da unatoč tomu zaposli osoblje ili vanjske konzultante čije su zadaće povezane sa zaštitom osobnih podataka.“

֍ U točki 2.5. pod nazivom „Stručno znanje i vještine službenika za zaštitu podataka“ navodi se slijedeća odredba, citiramo: „Sposobnost izvršavanja zadaća povjerenih službeniku za zaštitu podataka trebalo bi tumačiti u odnosu na njihove osobne kvalitete i znanja te u odnosu na njihov položaj u organizaciji. Na primjer, osobne bi kvalitete trebale obuhvaćati poštenje i visoku profesionalnu etiku.“ – ovdje se spominju OSOBNE kvalitete

֍ No, u istoj točki 2.5. pod nazivom „Službenik za zaštitu podataka na temelju ugovora o djelu“ u zadnjem paragrafu piše, citiramo: „U Smjernicama se, radi pravne jasnoće i dobre organizacije, preporučuje jasna raspodjela zadaća u okviru vanjske jedinice službenika za zaštitu podataka te imenovanje jednog pojedinca kao glavne osobe za kontakt i osobe „odgovorne” za klijenta. Bilo bi općenito korisno da se te stavke navedu u ugovoru o djelu.“ – ključno je imenovanje jedne konkretne fizičke osobe kao glavne osobe za kontakt i kao osobe koja brine o konkretnom klijentu.

֍ U točki 3.2. pod nazivom „Potrebna sredstva“ u alineji br. 7 navodi se izrijekom slijedeće, citiramo: „…ako dužnost službenika za zaštitu podataka izvršava vanjski pružatelj usluga, jedinica koja se sastoji od pojedinaca koji rade za taj poslovni subjekt može djelotvorno obavljati zadaće službenika za zaštitu podataka kao jedinica pod odgovornošću imenovane glavne osobe za kontakt za tog klijenta.“ – jasno je da po ovome za pojedinog klijenta u ulozi voditelja ili izvršitelja obrade mora postojati tzv. glavna osoba za kontakt

֍ U točki 5. Priloga Smjernica navodi se, citiramo: „Službenik za zaštitu podataka mora moći, ako je potrebno uz pomoć jedinice, učinkovito komunicirati s ispitanicima i surađivati s predmetnim nadzornim tijelima.“ – ovom rečenicom se implicira da je službenik za zaštitu podataka konkretan pojedinac

֍ U točki 5. Priloga Smjernica navodi se također, citiramo: „Budući da je službenik za zaštitu podataka zadužen za čitav niz zadaća, voditelj obrade ili izvršitelj obrade mora se pobrinuti da ih jedan službenik za zaštitu podataka, ako je potrebno uz pomoć jedinice, može obavljati učinkovito unatoč tomu što je imenovan za nekoliko tijela javne vlasti ili javnih tijela.“ – ovom rečenicom također se implicira da je službenik za zaštitu podataka konkretan pojedinac

֍ I konačno, u točki 7. Priloga Smjernica navodi se konkretan tekst, citiramo i ne komentiramo:

„Ako funkciju službenika za zaštitu podataka izvršava vanjski pružatelj usluga, jedinica koja se sastoji od pojedinaca koji rade za taj poslovni subjekt može djelotvorno obavljati zadaće službenika za zaštitu podataka kao jedinica pod odgovornošću imenovane glavne osobe za kontakt i „osobe odgovorne” za klijenta. U tom je slučaju bitno da svaki član vanjske organizacije koja izvršava funkcije službenika za zaštitu podataka ispunjava relevantne zahtjeve iz Opće uredbe za zaštitu podataka.

U Smjernicama se, radi pravne jasnoće i dobre organizacije, preporučuje da se u ugovor o djelu uključi jasna raspodjela zadaća u okviru vanjske jedinice službenika za zaštitu podataka te imenuje jedan pojedinac kao glavna osoba za kontakt i osoba „odgovorna” za klijenta.

 

Image from FreePik

#gdprcroatia