Svakako aktualna tematika primjene Uredbe o zaštiti podataka (GDPR) je obilježila prošlu godinu a jedno od otvorenih (uvijek aktualnih) pitanja jest tko je obvezan imenovati službenika za zaštitu podataka i tko može obavljati tu funkciju. Na to pitanje i cijeli niz nejasnoća porazgovarali smo s priznatom stručnjakinjom za informacijsku sigurnost i zaštitu podataka, autoricom više od 100 znanstvenih i stručnih radova od kojih su mnogi citirani u svjetski priznatim bazama Scopus i WoS, koja je doktorirala upravo na temu zaštite osobnih podataka, zaposlenom na Pravnom fakultetu u Splitu i ujedno direktoricom i vlasnicom konzultantske tvrtke Techfuturo innovation koja se uspješno bavi poslovnim savjetovanjem u tom polju, izvanrednom profesoricom Marijom Boban.
Tko je dužan imenovati službenika za zaštitu osobnih podataka?
- Kako bi se osigurala usklađenost organizacije potrebni su stručnjaci koji razumiju zahtjeve GDPR-a i koji su dobro obučeni za planiranje, implementaciju i održavanje usklađenosti organizacije prema samoj Uredbi. Na tom tragu, stupanjem GDPR-a na snagu, obvezu imenovanja kvalificiranog službenika za zaštitu podataka (engl. Data Protection Officer – DPO) koji će izravno odgovarati upravi ima voditelj obrade i izvršitelj obrade u svakom slučaju u kojem obradu provodi tijelo javne vlasti ili javno tijelo, osim za sudove koji djeluju u okviru svoje sudske nadležnosti. (škole, javne ustanove, tijela javne vlasti – popis je dostupan na službenim stranicama Povjerenika za informiranje pod poveznicom https://tjv.pristupinfo.hr/) Također, obveza imenovanja službenika je na snazi ako se osnovne djelatnosti voditelja obrade ili izvršitelja obrade sastoje od postupaka obrade koji zbog svoje prirode, opsega i/ili svrha iziskuju redovito i sustavno praćenje ispitanika u velikoj mjeri, ili se osnovne djelatnosti voditelja obrade ili izvršitelja obrade sastoje od opsežne obrade posebnih kategorija podataka na temelju članka 9. GDPR-a i osobnih podataka u vezi s kaznenim osudama i kažnjivim djelima iz članka 10. GDPR-a. Također, službenik za izvršavanje djeluje neovisno u izvršenju svojih obveza i odgovara izravno upravi kako je i izrečeno u čl. 38 GDPR-a.
Mora li službenik za zaštitu podataka biti zaposlenik? Ili može biti vanjski suradnik? Tko o tome odlučuje?
- Službenik za zaštitu može biti zaposlenik organizacije (voditelja obrade ili izvršitelja obrade ) u kojoj je imenovan, ali službenikom može biti imenovana i osoba koja nije zaposlenik organizacije temeljem ugovora o djelu (vanjski službenik)
Ono što je važno jest da o imenovanju službenika odlučuje voditelj obrade ili izvršitelj obrade a ujedno mora osigurati da takve zadaće i dužnosti ne dovedu do sukoba interesa.
Važno je naglasiti kako grupa poduzetnika može imenovati jednog službenika za zaštitu podataka pod uvjetom da je službenik za zaštitu podataka lako dostupan iz svakog poslovnog nastana.službenika. Isto tako ako je voditelj obrade ili izvršitelj obrade tijelo javne vlasti ili javno tijelo, za nekoliko takvih vlasti ili tijela može se imenovati jedan službenik za zaštitu podataka, uzimajući u obzir njihovu organizacijsku strukturu i veličinu.
Prilikom imenovanja službenika voditi računa da ne postoji sukob interesa (voditi računa da takva osoba ne sudjeluje u donošenju odluka kojima se utvrđuje svrha i način obrade osobnih podataka)
Koje stručne kvalifikacije mora imati službenik za zaštitu podataka? Koja stručna sprema se preporučuje u Uredbi?
- Voditelj obrade/izvršitelj obrade dužan je donijeti Odluku o imenovanju službenika sukladno Općoj uredbi vodeći računa o stručnim kvalifikacijama, a osobito stručnog znanja o pravu i praksama u području zaštite podataka te sposobnosti izvršavanja zadaća navedenih u članku 39. GDPR-a. Ključan aspekt je svakako i stručna (redovita) edukacije te praćenje primjene Uredbe. U praksi kod imenovanja imamo službenike koji su educirani u poznavanju Uredbe, informacijske sigurnosti i prakse zaštite osobnih podataka iz područja prava, ekonomije i informatike. Također, voditelji obrade/izvršitelji obrade dužni su objaviti kontaktne podatke službenika za zaštitu podataka i priopćiti ih nadzornom tijelu (Agenciji za zaštitu osobnih podataka).
Koje su dužnosti službenika za zaštitu podataka?
- Dužnosti službenika za zaštitu podataka propisane su člankom 39 Opće uredbe, prema kojem službenik za zaštitu podataka obavlja najmanje sljedeće zadaće:
(a) informiranje i savjetovanje voditelja obrade ili izvršitelja obrade te zaposlenika koji obavljaju obradu o njihovim obvezama iz ove Uredbe te drugim odredbama Unije ili države članice o zaštiti podataka;
(b) praćenje poštovanja ove Uredbe te drugih odredaba Unije ili države članice o zaštiti podataka i politika voditelja obrade ili izvršitelja obrade u odnosu na zaštitu podataka, uključujući raspodjelu odgovornosti, podizanje svijesti i osposobljavanje osoblja koje sudjeluje u postupcima obrade te povezane revizije;
(c) pružanje savjeta, kada je to zatraženo, u pogledu procjene učinka na zaštitu podataka i praćenje njezina izvršavanja u skladu s člankom 35.;
(d)suradnja s nadzornim tijelom;
(e)djelovanje kao kontaktna točka za nadzorno tijelo o pitanjima u pogledu obrade, što uključuje i prethodno savjetovanje iz članka 36. te savjetovanje, prema potrebi, o svim drugim pitanjima.
Službenik za zaštitu podataka pri obavljanju svojih zadaća vodi računa o riziku povezanom s postupcima obrade i uzima u obzir prirodu, opseg, kontekst i svrhe obrade.
Kako imenovati službenika za zaštitu podataka? Postoji li zaseban obrazac?
Uredba ne propisuje poseban obrazac izvješća o imenovanju službenika za zaštitu podataka. Voditelj/izvršitelj obrade može Agenciji dostaviti Odluku o imenovanju u izvorniku, potpisanu od odgovorne osobe i potvrđenu pečatom voditelja, ako su u Odluci navedeni svi obvezni podaci o imenovanju službenika za zaštitu podatka. Ali, preporučujem korištenje obrasca Agencije za zaštitu osobnih podataka o imenovanju službenika za zaštitu podataka koji je sačinjen radi jednostavnijeg izvještavanja i može preuzeti na službenim stranicama pod poveznicom. U obrascu je potrebno popuniti sve obavezne podatke (obavezni podaci označeni su zvjezdicom) i izvješće s potpisom odgovorne osobe i pečatom voditelja, u izvorniku, dostaviti na adresu sjedišta Agencije.
Voditelj snosi odgovornost za cjelokupnu organizaciju/ustanovu odnosno tijelo javne vlasti te samim time imenuje službenika za zaštitu podataka.
Koje kontakt podatke o službeniku za zaštitu podataka je voditelj/izvršitelj obrade obvezan objaviti?
- Preporuka Agencije je da se kao službeni kontakt podaci službenika za zaštitu podataka navedu sljedeći podaci: adresa i mjesto rada službenika za zaštitu podataka, te službeni telefon i službeni e-pretinac ako postoje. Preporuka je izbjegavati navođenje podataka službenika: ime i prezime, osobni telefon, osobni e-pretinac ili druge osobne podatke.
Kome se obratiti u slučaju nejasnoća, ako imenovani službenik dvoji kod upita koji je upućen i nije siguran kako postupiti?
- U slučaju pitanja ali naravno i prijedloga, preporučujem da se službenici obrate pisanim upitom na azop@azop.hr ili na sjedište Agencije. Nadalje, ključan aspekt, uz suradnju s nadzornim tijelom za svakog službenika jest redovita edukacija! Praćenje prakse i svakako preporuka Agencije za zaštitu podataka koje Agencija redovito objavljuje na službenim stranicama www.azop.hr.