Kako bi se osigurala usklađenost organizacije potrebni su stručnjaci koji razumiju zahtjeve GDPR-a i koji su dobro obučeni za planiranje, implementaciju i održavanje usklađenosti organizacije prema samoj Uredbi. Na tom tragu, stupanjem GDPR-a na snagu, mnoge tvrtke imaju obvezu imenovanja kvalificiranog službenika za zaštitu podataka (engl. Data Protection Officer – DPO) koji će izravno odgovarati Upravi. (GDPR, čl. 37.)
Također, službenik za izvršavanje djeluje neovisno u izvršenju svojih obveza i odgovara izravno upravi kako je i izrečeno u čl. 38 GDPR-a. Nadalje, grupa poduzetnika može imenovati jednog službenika za zaštitu podataka pod uvjetom da je službenik za zaštitu podataka lako dostupan iz svakoga poslovnog nastana. (GDPR, čl. 37. st. 2.) Isto tako ako je voditelj obrade ili izvršitelj obrade tijelo javne vlasti ili javno tijelo, za nekoliko takvih vlasti ili tijela može se imenovati jedan službenik za zaštitu podataka, uzimajući u obzir njihovu organizacijsku strukturu i veličinu. (GDPR, čl. 37. st. 3.)
Vezano uz kvalifikacije službenika za zaštitu podataka Uredba propisuje kako se službenik za zaštitu podataka imenuje na temelju stručnih kvalifikacija, a osobito stručnog znanja o pravu i praksama u području zaštite podataka te sposobnosti izvršavanja zadaća iz članka 39 GDPR-a. (GDPR, čl. 37. st. 5.) Isto tako, službenik za zaštitu podataka može biti član osoblja voditelja obrade ili izvršitelja obrade ili obavljati zadaće na temelju ugovora o djelu. (GDPR, čl. 37. st. 6.)
Tko je dužan imenovati službenika za zaštitu osobnih podataka?
Voditelj obrade i izvršitelj obrade dužni su imenovati službenika za zaštitu podataka u sljedećim slučajevima ako :
Obradu provodi tijelo javne vlasti ili javno tijelo, osim za sudove koji djeluju u okviru svoje sudske nadležnosti
Osnovne djelatnosti voditelja obrade ili izvršitelja obrade sastoje se od postupaka obrade koji zbog svoje prirode, opsega ili svrha iziskuju redovito i sustavno praćenje ispitanika u velikoj mjeri
Osnovne djelatnosti voditelja obrade ili izvršitelja obrade sastoje se od opsežne obrade posebnih kategorija podataka (članak 9. Uredbe) i osobnih podataka u vezi s kaznenim osudama i kažnjivim djelima (članak 10. Uredbe )
Uz osnovno razumijevanje procesa i klasifikacije službenik za zaštitu podataka obavlja najmanje sljedeće zadaće: (a) informiranje i savjetovanje voditelja obrade ili izvršitelja obrade te zaposlenika koji obavljaju obradu o njihovim obvezama iz ove Uredbe te drugim odredbama Unije ili države članice o zaštiti podataka; (b) praćenje poštovanja ove Uredbe te drugih odredaba Unije ili države članice o zaštiti podataka i politika voditelja obrade ili izvršitelja obrade u odnosu na zaštitu osobnih podataka, uključujući raspodjelu odgovornosti, podizanje svijesti i osposobljavanje osoblja koje sudjeluje u postupcima obrade te povezane revizije; (c) pružanje savjeta, kada je to zatraženo, u pogledu procjene učinka na zaštitu podataka i praćenje njezina izvršavanja u skladu s člankom 35.; (d) suradnja s nadzornim tijelom; (e) djelovanje kao kontaktna točka za nadzorno tijelo vezano uz pitanje obrade, što uključuje i prethodno savjetovanje iz članka 36. te savjetovanje, prema potrebi, o svim drugim pitanjima. (GDPR, čl. 39. st. 1.) Službenik za zaštitu podataka pri obavljanju svojih zadaća vodi računa o riziku povezanom s postupcima obrade i uzima u obzir prirodu, opseg, kontekst i svrhu obrade. (GDPR, čl. 39. st. 2.)
VAŽNO!
* može biti zaposlenik organizacije (voditelja obrade ili izvršitelja obrade ) u kojoj je imenovan, ali službenikom može biti imenovana i osoba koja nije zaposlenik organizacije temeljem ugovora o djelu (vanjski službenik)
* voditelj obrade može imenovati jednog službenika za zaštitu podataka pod uvjetom da je isti lako dostupan iz svakog poslovnog nastana
* prilikom imenovanja službenika voditi računa da ne postoji sukob interesa (voditi računa da takva osoba ne sudjeluje u donošenju odluka kojima se utvrđuje svrha i način obrade osobnih podataka)
* voditelj obrade/izvršitelj obrade dužan je donijeti Odluku o imenovanju službenika sukladno Općoj uredbi vodeći računa o stručnim kvalifikacijama (stručnom znanju i praksi iz područja zaštite osobnih podataka )
* voditelj obrade/izvršitelj obrade dužni su objaviti kontaktne podatke službenika za zaštitu podataka i priopćiti ih nadzornom tijelu (Agenciji za zaštitu osobnih podataka).
Upravo pitanje koje se otvara prilikom imenovanja službenika kada treba voditi računa da ne postoji sukob interesa odnosno voditi računa da takva osoba ne sudjeluje u donošenju odluka kojima se utvrđuje svrha i način obrade osobnih podataka otvara obvezu angažiranja vanjskog službenika za zaštitu podataka te bi organizacije u svakom slučaju tako trebale i postupiti. Nadalje, nije dovoljno da osoba imenovanja službenikom “nije u sukobu interesa” već treba imati i određena stručna znanja u području zaštite osobni podataka it u svakako predlažem da osobu uputite na adekvatnu (redovitu) edukciju kako biste izbjegli bilo kakvu sumnju u stručnost imenovane osobe.
Za više informacija ili pitanja o angažmanu vanjskog službenika za zaštitu podataka kontaktirajte nas TechFuturo Innovation j.d.o.o. (e-mail: info@techfuturoinnovation.hr – web: www.techfuturoinnovation.hr)
