Vanjski Službenik za zaštitu podataka

Prema čl. 39. GDPR-a određeni poslovni subjekti obvezni su imenovati Službenika za zaštitu podataka, kao npr. pojedine računovodstvene tvrtke, zaštitarske tvrtke, telekom operatori, banke, zdravstvene ustanove i drugi kojima je obrada osobnih podataka u velikoj mjeri osnovna djelatnost.

Ako u svojoj organizaciji nemate osobu koja zadovoljava kriterije, odnosno nema potrebna znanja o GDPR-u, EU regulativi, informacijskoj sigurnosti i upravljanju vašim poslovnim procesima, odnosno, ako imate takvu osobu ali je u možebitnom sukobu interesa s obzirom na svoju funkciju u organizaciji (npr. član uprave, voditelj IT-a, Informacijske sigurnosti, voditelj marketinga, prodaje ili pravnog odjela) i nije u mogućnosti neovisno obavljati svoju zahtjevnu funkciju, GDPR vam omogućuje da angažirate vanjskog Službenika za zaštitu podataka.

Za više detalja budite slobodni poslati nam upit e-mailom: Ova e-mail adresa je zaštićena od spambota. Potrebno je omogućiti JavaScript da je vidite.

Člankom 37. stavkom 1. Opće uredbe o zaštiti podataka propisano je imenovanje službenika za zaštitu podataka u trima konkretnim slučajevima:

  1. kada obradu provodi tijelo javne vlasti ili javno tijelo;
  2. kada se osnovne djelatnosti voditelja obrade ili izvršitelja obrade sastoje od postupaka obrade koji iziskuju redovito i sustavno praćenje ispitanika u velikoj mjeri; ili
  3. kada se osnovne djelatnosti voditelja obrade ili izvršitelja obrade sastoje od opsežne obrade posebnih kategorija podataka ili osobnih podataka koji se odnose na kaznene osude i kažnjiva djela.

Člankom 37. stavkom 5. predviđeno je sljedeće: „službenik za zaštitu podataka imenuje se na temelju stručnih kvalifikacija, a osobito stručnog znanja o pravu i praksama u području zaštite podataka te sposobnosti izvršavanja zadaća iz članka 39.” Uvodnom izjavom 97. propisano da bi nužnu razinu stručnog znanja trebalo utvrditi u odnosu na postupke obrade podataka koji se provode te na obveznu zaštitu osobnih podataka koji se obrađuju.

Razina stručnosti

Obvezna razina stručnosti nije strogo definirana, no ona mora biti razmjerna osjetljivosti, složenosti i količini podataka koju organizacija obrađuje. Na primjer, ako je postupak obrade podataka osobito složen ili ako obuhvaća veliku količinu osjetljivih podataka, službenik za zaštitu podataka možda bi trebao imati viši stupanj stručnosti i podrške. Razlika postoji i ovisno o tome prenosi li organizacija sustavno podatke izvan Europske unije ili su ti prijenosi povremeni. Službenika za zaštitu podataka potrebno je odabrati pažljivo, uzimajući u obzir probleme povezane sa zaštitom podataka koji se javljaju unutar organizacije.

Stručne kvalifikacije

Iako se u članku 37. stavku 5. ne navodi koje bi stručne kvalifikacije trebalo razmotriti prilikom imenovanja službenika za zaštitu podataka, neupitna je činjenica da službenici za zaštitu podataka moraju biti stručnjaci u području nacionalnog i europskog prava i prakse te dubinski razumjeti Opću uredbu o zaštiti podataka. Promidžba odgovarajućeg i redovitog osposobljavanja za službenike za zaštitu podataka koju provode nadzorna tijela svakako je od pomoći. Korisno je i poznavanje poslovnog sektora i organizacije voditelja obrade. Službenik za zaštitu podataka mora dobro razumjeti i postupke koji se provode, informacijske sustave voditelja obrade te njegove potrebe u pogledu sigurnosti podataka i zaštite podataka.

Sposobnost izvršavanja zadaća

Sposobnost izvršavanja zadaća povjerenih službeniku za zaštitu podataka trebalo bi tumačiti u odnosu na njihove osobne kvalitete i znanja te u odnosu na njihov položaj u organizaciji. Na primjer, osobne bi kvalitete trebale obuhvaćati poštenje i visoku profesionalnu etiku. Službenik za zaštitu podataka trebao bi se prvenstveno brinuti za poštovanje Opće uredbe o zaštiti podataka. Službenik za zaštitu podataka ima ključnu ulogu u njegovanju kulture zaštite podataka unutar organizacije i pomaže u provedbi bitnih elemenata Opće uredbe o zaštiti podataka kao što su načela obrade podataka, prava ispitanika, tehnička i integrirana zaštita podataka, evidencija aktivnosti obrade, sigurnost obrade te izvješćivanje i obavješćivanje o povredama podataka.

Vanjski Službenik za zaštitu podataka

Funkcija službenika za zaštitu podataka može se obavljati i na temelju ugovora o djelu sklopljenog s pojedincem ili organizacijom izvan organizacije voditelja obrade ili izvršitelja obrade. U potonjem slučaju vrlo je važno da svaki član organizacije koja izvršava funkcije službenika za zaštitu podataka ispunjava sve zahtjeve koji se primjenjuju na temelju odjeljka 4. Opće uredbe o zaštiti podataka (npr. osobito je važno da nitko ne bude u sukobu interesa). Jednako je važno da svaki član bude zaštićen odredbama Opće uredbe o zaštiti podataka (na primjer, da ne bude nepoštenog raskidanja ugovora za poslove službenika za zaštitu podataka, ali ni nepoštenog razrješenja dužnosti bilo kojeg pojedinog člana organizacije koji obavlja zadaće službenika za zaštitu podataka). Mogu se istodobno kombinirati osobne vještine i stručnost kako bi više pojedinaca koji djeluju kao jedinica mogli djelotvornije pružati usluge svojim klijentima.

Na temelju članka 37. stavka 7. voditelj obrade ili izvršitelj objave moraju:

  • objaviti podatke za kontakt službenika za zaštitu podataka i
  • o podacima za kontakt službenika za zaštitu podataka obavijestiti relevantna nadzorna tijela.

Tim se zahtjevima ispitanicima (unutar i izvan organizacije) i nadzornim tijelima želi omogućiti jednostavno i izravno stupanje u kontakt sa službenikom za zaštitu podataka, a da pritom ne moraju stupiti u kontakt s nekim drugim dijelom organizacije. Jednako je važna povjerljivost: na primjer, zaposlenici mogu oklijevati u pogledu podnošenja pritužbe službeniku za zaštitu podataka ako nije zajamčena povjerljivost njihove komunikacije.

Organizacija koja imenuje službenika za zaštitu podataka trebala bi se pobrinuti:

  • da je službenik za zaštitu podataka pozvan sudjelovati na redovitim sastancima visokog i srednjeg rukovodstva,
  • da se preporuči nazočnost službenika za zaštitu podataka kad se donose odluke koje se mogu odraziti na zaštitu podataka. Sve se relevantne informacije službeniku za zaštitu podataka moraju proslijediti pravodobno kako bi mogao pružiti odgovarajući savjet,
  • da se mišljenje službenika za zaštitu podataka uvijek uzme u obzir. U slučaju neslaganja, Radna skupina iz članka 29. smatra dobrom praksom i preporučuje da se zabilježe razlozi zbog kojih se nije slijedio savjet službenika za zaštitu podataka,
  • da se savjetovanje sa službenikom za zaštitu podataka provede odmah nakon što je došlo do povrede podataka ili do nekog drugog incidenta.

Službenicima za zaštitu podataka koji ispunjavaju svoje zadaće u skladu s člankom 39. ne smiju davati upute o načinu rješavanja predmeta, na primjer, o ishodu koji bi trebalo ostvariti, načinu vođenja istrage o pritužbi ili o tomu treba li tražiti savjet nadzornog tijela. Nadalje, ne smije ih se uputiti da zauzmu određeno stajalište o predmetu koji se odnosi na zakon o zaštiti podataka, na primjer, na određeno tumačenje zakona.

Voditelj obrade ili izvršitelj obrade i dalje je odgovoran za usklađenost s pravom u području zaštite podataka i tu usklađenost mora biti u mogućnosti dokazati.

Ako voditelj obrade ili izvršitelj obrade donese odluke nespojive s Općom uredbom o zaštiti podataka i savjetom službenika za zaštitu podataka, službeniku za zaštitu podataka trebalo bi omogućiti da svoje suprotno mišljenje jasno da do znanja najvišoj rukovodećoj razini te onima koji donose odluke. U tom pogledu člankom 38. stavkom 3. predviđeno je da službenik za zaštitu podataka „izravno odgovara najvišoj rukovodećoj razini voditelja obrade ili izvršitelja obrade”. Takvim izravnim odgovaranjem najvišoj rukovodećoj razini osigurava se da najviše rukovodstvo (npr. uprava) bude obaviješteno o tome koji je savjet i koje preporuke službenik za zaštitu podataka dao u okviru svoje zadaće informiranja i savjetovanja voditelja obrade ili izvršitelja obrade.

U skladu s člankom 38. stavkom 3. voditelja obrade ili izvršitelj obrade „ne smiju službenika za zaštitu podataka razriješiti dužnosti ili kazniti zbog izvršavanja njegovih zadaća”. Tom se odredbom pojačava autonomija službenika za zaštitu podataka te se pomaže osigurati neovisnost njihova djelovanja i njihova dostatna zaštita pri obavljanju svojih zadaća zaštite podataka.

Na temelju Opće uredbe o zaštiti podataka kažnjavanje je zabranjeno samo ako su kazne uvedene zbog posljedice nastale zato što je službenik za zaštitu podatka obavljao svoje zadaće. Na primjer, službenik za zaštitu podataka može smatrati da će određena obrada vjerojatno izazvati visok stupanj rizika i savjetuje voditelju obrade ili izvršitelju obrade da provede ocjenu učinka na zaštitu podataka, no voditelj obrade ili izvršitelj obrade ne slaže se s tom procjenom službenika za zaštitu podataka. Službenika za zaštitu podataka u toj se situaciji ne može razriješiti dužnosti samo zato što je ponudio taj savjet.

U skladu s člankom 38. stavkom 6. službenik za zaštitu podataka „može ispunjavati i druge zadaće i dužnosti”. Tim se člankom, međutim, zahtijeva da organizacija osigura da „takve zadaće i dužnosti ne dovedu do sukoba interesa”.

Nepostojanje sukoba interesa usko je povezano s obvezom djelovanja na neovisan način.

Iako je službenicima za zaštitu podataka dopušteno obavljati druge dužnosti, te im druge zadaće i obveze mogu biti povjerene samo uz uvjet da ne dovode do sukoba interesa. Konkretno, to podrazumijeva da službenik za zaštitu podataka ne može biti djelatnik organizacije čiju svrhu i načine obrade osobnih podataka mora utvrditi. Zbog posebne organizacijske strukture svake organizacije o tomu se mora odlučivati na pojedinačnoj osnovi.

Nepisano je pravilo da radna mjesta koja mogu biti u sukobu interesa u okviru organizacije mogu biti položaji u višem rukovodstvu (kao što su predsjednik uprave, direktor poslovanja, direktor financija, glavni medicinski službenik, voditelj odjela za marketing, voditelj ljudskih resursa ili voditelj odjela za informacijsku tehnologiju), ali i niže uloge u hijerarhijskoj strukturi organizacije ako takvi položaji ili uloge podrazumijevaju utvrđivanje svrhe i načina obrade osobnih podataka. Osim toga, sukob interesa može nastati, na primjer, ako se od vanjskog službenika za zaštitu podataka zatraži da pred sudovima predstavlja voditelja obrade ili izvršitelja obrade u slučajevima koji uključuju pitanja zaštite podataka.

Člankom 39. stavkom 1. točkom (b) službenicima za zaštitu podataka povjerava se, među ostalim, zadaća praćenja poštovanja Opće uredbe o zaštiti podataka. U uvodnoj izjavi 97. dodatno se precizira da bi službenik za zaštitu podataka trebao „pomagati voditelju obrade ili izvršitelju obrade pri praćenju unutarnje usklađenosti s ovom Uredbom”.

Konkretno, u okviru dužnosti praćenja poštovanja službenik za zaštitu podataka može:

  • prikupljati informacije radi utvrđivanja aktivnosti obrade,
  • analizirati i provjeravati usklađenost aktivnosti obrade i
  • obavješćivati voditelja obrade ili izvršitelja obrade te mu pružati savjete i izdavati preporuke.

To što službenik za zaštitu podataka prati usklađenost ne znači da je on osobno odgovoran u slučaju pojave neusklađenosti. U Općoj uredbi o zaštiti podataka jasno se daje do znanja da je voditelj obrade, a ne službenik za zaštitu podataka, taj koji obvezno „provodi odgovarajuće tehničke i organizacijske mjere kako bi osigurao i mogao dokazati da se obrada provodi u skladu s ovom Uredbom” (članak 24. stavak 1.).

Usklađenost u području zaštite podataka korporativna je odgovornost voditelja obrade, a ne službenika za zaštitu podataka.