Službenik za zaštitu podataka i sukob interesa
19.1.2022.
Nastavno na Vaš upit o u kojem u bitnom pitate o imenovanju službenika za zaštitu podataka te o pojmu „sukoba interesa“, Agencija za zaštitu osobnih podataka se očituje kako slijedi:
Člankom 37. stavkom 1. Opće uredbe o zaštiti podataka propisano je da voditelj obrade i izvršitelj obrade imenuju službenika za zaštitu podataka u svakom slučaju u kojem:
(a)obradu provodi tijelo javne vlasti ili javno tijelo, osim za sudove koji djeluju u okviru svoje sudske nadležnosti,
(b)osnovne djelatnosti voditelja obrade ili izvršitelja obrade sastoje se od postupaka obrade koji zbog svoje prirode, opsega i/ili svrha iziskuju redovito i sustavno praćenje ispitanika u velikoj mjeri, ili
(c)osnovne djelatnosti voditelja obrade ili izvršitelja obrade sastoje se od opsežne obrade posebnih kategorija podataka na temelju članka 9. ili osobnih podataka u vezi s kaznenim osudama i kažnjivim djelima iz članka 10.
Člankom 37. stavkom 7. Opće uredbe o zaštiti podataka propisano je da voditelj obrade ili izvršitelj obrade objavljuje kontaktne podatke službenika za zaštitu podataka i priopćuje ih nadzornom tijelu. Obrazac izvješća o imenovanju službenika za zaštitu podataka možete pronaći na Internet stranici Agencije za zaštitu osobnih podataka: https://azop.hr/imenovanje-sluzbenika-za-zastitu-podataka-2/
Nadalje, sukladno članku 38. stavku 6. Opće uredbe o zaštiti podataka službenik za zaštitu podataka može ispunjavati i druge zadaće i dužnosti. Voditelj obrade ili izvršitelj obrade osigurava da takve zadaće i dužnosti ne dovedu do sukoba interesa.
Nepisano je pravilo da radna mjesta koja mogu biti u sukobu interesa u okviru organizacije mogu biti položaji u višem rukovodstvu (kao što su predsjednik uprave, direktor poslovanja, direktor financija, glavni medicinski službenik, voditelj odjela za marketing, voditelj ljudskih resursa ili voditelj odjela za informacijsku tehnologiju), ali i niže uloge u hijerarhijskoj strukturi organizacije ako takvi položaji ili uloge podrazumijevaju utvrđivanje svrhe i načina obrade osobnih podataka.
Razvidno je da položaj direktora Odjela za informacijsku sigurnost može podrazumijevati „utvrđivanje svrhe i načina obrade osobnih podataka“ posebnice u dijelu koji se odnosi na primjenu odgovarajućih tehničkih i organizacijskih mjera zaštite u organizaciji.
Zaključno, u dokumentu Radne skupine iz članka 29. naziva „Smjernice o službenicima za zaštitu podataka“ koje je odobrio Europski odbor za zaštitu podataka možete pronaći više o navedenoj temi, a dokument možete pronaći ovdje: https://azop.hr/wp-content/uploads/2020/12/wp243rev01_hr.pdf
Tko može biti službenik za zaštitu podataka?
Službenik za zaštitu podataka imenuje se na temelju stručnih kvalifikacija, a osobito stručnog znanja o pravu i praksama u području zaštite podataka te sposobnosti izvršavanja zadaća iz članka 39.
Službenik za zaštitu podataka može biti član osoblja voditelja obrade ili izvršitelja obrade ili obavljati zadaće na temelju ugovora o djelu. Službenik za zaštitu podataka može ispunjavati i druge zadaće i dužnosti. Voditelj obrade ili izvršitelj obrade osigurava da takve zadaće i dužnosti ne dovedu do sukoba interesa.
Dužnosti službenika za zaštitu podataka
Dužnosti službenika za zaštitu podataka propisane su člankom 39 Opće uredbe, prema kojem službenik za zaštitu podataka obavlja najmanje sljedeće zadaće:
(a) informiranje i savjetovanje voditelja obrade ili izvršitelja obrade te zaposlenika koji obavljaju obradu o njihovim obvezama iz ove Uredbe te drugim odredbama Unije ili države članice o zaštiti podataka;
(b) praćenje poštovanja ove Uredbe te drugih odredaba Unije ili države članice o zaštiti podataka i politika voditelja obrade ili izvršitelja obrade u odnosu na zaštitu podataka, uključujući raspodjelu odgovornosti, podizanje svijesti i osposobljavanje osoblja koje sudjeluje u postupcima obrade te povezane revizije;
(c) pružanje savjeta, kada je to zatraženo, u pogledu procjene učinka na zaštitu podataka i praćenje njezina izvršavanja u skladu s člankom 35.;
(d) suradnja s nadzornim tijelom;
(e) djelovanje kao kontaktna točka za nadzorno tijelo o pitanjima u pogledu obrade, što uključuje i prethodno savjetovanje iz članka 36. te savjetovanje, prema potrebi, o svim drugim pitanjima.
Službenik za zaštitu podataka pri obavljanju svojih zadaća vodi računa o riziku povezanom s postupcima obrade i uzima u obzir prirodu, opseg, kontekst i svrhe obrade.