Dojma smo da je vijest o kojoj smo nedavno pisali, o kažnjavanju dvije organizacije u RH zbog nepoštivanja odredbi GDPR-a u vezi obveze imenovanja i položaja službenika za zaštitu podataka, prošla nedovoljno zapažena https://azop.hr/sedam-novih-upravnih-novcanih-kazni-u-iznosu-od-169-000-eura/.

Izrečena je kazna kasinu u iznosu od 12.000 eura i 10.000 eura trgovačkom društvu za proizvodnju ulja i masti.

Vjerujemo da su ove kazne rezultat dubinske analize pozicija i stvarnih mogućnosti službenika za zaštitu podataka u organizacijama da obavljaju svoj zahtjevan posao, koje je AZOP pokrenuo prije dvije godine u okviru koordinirane akcije EDPB-a vezane na imenovanje i položaj službenika za zaštitu podataka i imaju li oni valjanu poziciju u organizacijama propisanu člancima 37-39. GDPR-a.

 

Sad donosimo primjer iz Norveške gdje je iz sličnih razloga telekom operator bio kažnjen zaista značajnim iznosom od oko 350.000 eura, nakon anonimnih prijava o neusklađenosti s GDPR zahtjevima vezanim uz funkciju službenika za zaštitu podataka (DPO) prema člancima 37–39 GDPR-a.

Nadzorno tijelo utvrdilo je slijedeće:

֍ Telekom je iz zaista nerazumnih razloga ukinuo funkciju službenika za zaštitu podataka tvrdeći da ne ispunjava kriterije iz članka 37. GDPR-a za obvezno imenovanje, ali nisu dostavili dokumentaciju i analize kojima bi dokazali svoje tvrdnje.

֍ Imenovali su privremenog DPO-a tek kad je istraga pokrenuta. Time je jasno da ni sami nisu bili sigurni u svoja stajališta niti da su imali analizu (ne)postojanja obveze imenovanja DPO-a.

֍ Kontakt podaci DPO-a bili su dostupni samo zaposlenicima putem intraneta, ali ne i javnosti, čime se krši članak 37. stavak 7. GDPR-a.

֍ Evidencija aktivnosti obrade bila je nejasna i nepotpuna, a dokazi o pravovremenom uključivanju DPO-a u pitanja zaštite podataka bili su nedostatni.

֍ Uloga DPO-a bila je podijeljena 50%/50% s ulogom pravnika, što je dovodilo do zastoja u GDPR usklađivanju. Štoviše, DPO je tražio da mu se osigura da se ovom temom bavi u 100% svog angažmana.

֍ DPO je bio sam povremeno involviran u pitanja u području zaštite osobnih podataka, dok GDPR nalaže da DPO bude uključen u sva pitanja koja uključuju obrade osobnih podataka.

֍ DPO nije bio samostalan ni neovisan u obavljanju svoje zahtjevne uloge.

 

Više o norveškom slučaju:

https://gdprhub.eu/index.php?title=Datatilsynet_(Norway)_-_21/03823-45&mtc=today

Image from FreePik

#gdprcroatia