Tijela javne vlasti su u konkretnom slučaju sva tijela državne uprave i druga državna tijela, jedinice lokalne i područne (regionalne) samouprave.

„Osnovne djelatnosti” obuhvaćaju sve one djelatnosti u kojima je obrada podataka neodvojiv dio djelatnosti voditelja obrade ili izvršitelja obrade.

PRIMJER: obrada podataka u području zdravstva kao što su zdravstveni kartoni pacijenata, trebala bi se smatrati jednom od osnovnih djelatnosti svake bolnice te su stoga bolnice dužne imenovati službenike za zaštitu podataka

Pri utvrđivanju provodi li se opsežna obrada preporučuje razmatranje sljedećih čimbenika:

• broj predmetnih ispitanika, odnosno njihov konkretan broj ili njihov udio u relevantnom stanovništvu,
• obujam podataka i/ili opseg različitih podatkovnih stavki koje se obrađuju,
• trajanje ili trajnost aktivnosti obrade podataka,
• zemljopisni razmjer aktivnosti obrade

PRIMJERI:

• obrade podataka o pacijentu u okviru redovnog poslovanja bolnice,
• obradu podataka o putovanjima pojedinaca koji se koriste u sustavu javnog gradskog prijevoza (npr. praćenje s pomoću putnih kartica),
• obradu podataka o zemljopisnoj lokaciji klijenata međunarodnog lanca brze hrane u stvarnom vremenu u statističke svrhe koju provodi izvršitelj obrade specijaliziran za te aktivnosti
• obradu podataka o klijentima u okviru redovnog poslovanja osiguravajućeg društva ili banke,
• obradu osobnih podataka u okviru internetske tražilice radi bihevioralnog oglašavanja,
• obradu podataka (sadržaj, promet, lokacija) koju provode pružatelji telefonskih ili internetskih usluga.

PRIMJERI OBRADE KOJA NIJE OPSEŽNA OBUHVAĆAJU: obradu podataka o pacijentu koju obavlja liječnik pojedinac, obradu osobnih podataka koji se odnose na kaznene osude i kažnjiva djela koju obavlja odvjetnik pojedinac.

Pojam redovito i sustavno praćenje obuhvaća sve oblike praćenja i izrade profila na internetu, uključujući i radi bihevioralnog oglašavanja. Međutim, pojam praćenja nije ograničen samo na internetsko okruženje. 

„Redovito praćenje” tumači se na najmanje jedan od sljedećih načina:

• praćenje koje je trajno ili se provodi u određenim intervalima u određenom razdoblju,
• praćenje koje se opetovano provodi ili ponavlja u točno određeno vrijeme,
• praćenje koje se provodi stalno ili periodično.

„Sustavno praćenje” tumači se na najmanje jedan od sljedećih načina:

• praćenje koje se provodi u skladu s određenim sustavom,
• praćenje koje je prethodno dogovoreno, organizirano ili metodično,
• praćenje koje je dio općeg plana za prikupljanje podataka,
• praćenje koje se provodi kao dio strategije

PRIMJERI:

• upravljanje telekomunikacijskom mrežom, pružanje telekomunikacijskih usluga
• preusmjeravanje elektroničke pošte
• marketinške aktivnosti temeljene na podacima
• izrada profila i ocjena radi procjene rizika (npr. radi ocjene kreditnog boniteta, određivanja premije osiguranja, sprečavanja prijevara, otkrivanja pranja novca)
• praćenje lokacije, na primjer s pomoću mobilnih aplikacija,
• programi vjernosti
• bihevioralno oglašavanje
• praćenje podataka o općem stanju organizma, tjelesnoj kondiciji i zdravlju s pomoću uređaja koji se nose na tijelu
• televizija zatvorenog kruga
• povezani uređaji, npr. pametna brojila, pametni automobili, automatizacija doma itd.

U slučajevima kada imenovanje službenika za zaštitu podataka nije obvezno, za organizacije ponekad može biti korisno dobrovoljno imenovati službenika za zaštitu podataka te se čak i potiču takva dobrovoljna imenovanja.

Ako organizacija dobrovoljno imenuje službenika za zaštitu podataka, na njegovo se imenovanje, položaj i zadaće primjenjuju isti zahtjevi kao da je imenovanje bilo obvezno.

Ukoliko voditelj ili izvršitelj obrade odluče ne imenovati službenika bitno je imati obrazloženu odluku u vidu internog dokumenta.

Imenovanje službenika mora biti u pisanom obliku i dostavljeno u izvorniku s potpisom i pečatom odgovore osobe na sjedište Agencije za zaštitu osobnih podataka: Selska cesta 136, 10 000 Zagreb.

Preuzmite obrazac

Ne. Sve odluke o imenovanju službenika donesena na temelju Zakona o zaštiti osobnih podataka trebaju se uskladiti sa Općom uredbom o zaštiti podataka.

Da. SKUPINA PODUZETNIKA može imenovati jednog službenika za zaštitu podataka.

Uvjeti su slijedeći:

• da je službenik za zaštitu podataka „lako dostupan iz svakog poslovnog nastana” odnosno da je kontakt za ispitanike i nadzorno tijelo, ali i sve zaposlene unutar organizacije

UVJETI:

1. osigurati da su njegovi podaci za kontakt lako dostupni (objava na web stranici)
2. komunikacija se mora odvijati na jeziku koji upotrebljavaju predmetna nadzorna tijela i ispitanici
3. dostupnost službenika za zaštitu podataka (putem telefonskog poziva, elektroničke pošte, osobno u poslovnim prostorijama ili s pomoću drugog sigurnog sredstva komunikacije).

TIJELA JAVNE VLASTI

Za nekoliko tijela javne vlasti ili javnih tijela može se imenovati jedan službenik za zaštitu podataka, uzimajući u obzir njihovu organizacijsku strukturu i veličinu. Ista načela vrijede i u pogledu sredstava i komunikacije.

NAPOMENA ZA VODITELJE ILI IZVRŠITELJE OBRADE: voditelj ili izvršitelj obrade mora samostalno procijeniti da li jedan službenik može obavljati učinkovito unatoč tomu što je zadužen za više poslovnih subjekata.

Kako bi se osigurala dostupnost službenika za zaštitu podataka preporuka je da on bude smješten u Europskoj uniji, bez obzira na to ima li voditelj obrade ili izvršitelj obrade poslovni nastan u Europskoj uniji.

IZNIMKA – u određenim situacijama kad voditelj ili izvršitelj obrade nema poslovni nastan u EU, a nudi svoje proizvode na prostoru EU-a, službenik bi svoju djelatnost mogao djelotvornije obavljati ako se nalazi izvan EU-a.

NAPOMENA: na voditelju ili izvršitelju obrade je da samostalno procijeni koga će imenovati službenikom kao i gdje će on biti smješten 

PREPORUKA: da svakako jedan službenik bude imenovan i na području EU (u tvrtki kćeri)

Da. Funkcija službenika za zaštitu podataka može se obavljati i na temelju ugovora o djelu sklopljenog s pojedincem ili organizacijom izvan organizacije voditelja ili izvršitelja obrade.

VAŽNO  da svaki član vanjske organizacije koji izvršava funkcije službenika za zaštitu podataka ispunjava sve zahtjeve koji se tiču imenovanja, radnog mjesta te zadaća službenika iz Opće uredbe

 da nitko od zaposlenika ne bude u sukobu interesa

da svaki član bude zaštićen odredbama Opće uredbe (npr. da ne bude nepoštenog raskidanja ugovora za poslove službenika za zaštitu  podataka)

 da se unutar jedinice imenuje glavna osoba za kontakt kao osobe odgovorne za klijenta

 da se ugovorom o djelu jasno definiraju prava i obveze službenika

DUŽNOST VODITELJA ILI IZVRŠITELJA OBRADE:

1. objaviti podatke za kontakt službenika za zaštitu podataka i
2. o podacima za kontakt službenika za zaštitu podataka obavijestiti AZO

Službenik za zaštitu podataka imenuje se na temelju stručnih kvalifikacija, a posebno stručnog znanja o pravu i praksama u području zaštite podataka te sposobnosti izvršavanja njegovih zadaća. (vidi pitanje 13.)

Općom uredbom nije propisana stručna sprema niti struka koju bi službenik trebao imati. Dakle, razina stručnosti nije strogo definirana, no ona mora biti razmjerna osjetljivosti, složenosti i količini podataka koju organizacija obrađuje. Nužna razina stručnog znanja trebala bi se utvrditi u odnosu na količinu osobnih podataka koju neka organizacija obrađuje, vrste obrade podataka te na potrebnu zaštitu kako bi se osigurala sigurna obrada.

PRIMJER: ako u nekoj organizaciji provode postupke obrade podataka koji su osobito složeni ili ako obuhvaća veliku količinu osjetljivih podataka (banka, bolnica i sl.), službenik bi trebao imati i viši stupanj stručnosti i podrške.

NAPOMENA: procjena koga će se imenovati službenikom je na voditelju ili izvršitelju obrade.

Neke od potrebne vještina i stručnost podrazumijevaju:

• stručnost u pogledu nacionalnih i europskih zakona i praksi u području zaštite podataka, uključujući dubinsko razumijevanje Opće odredbe o zaštiti podataka,
• razumijevanje provedenih postupaka obrade,
• razumijevanje informacijskih tehnologija i sigurnosti podataka,
• poznavanje poslovnog sektora i organizacije,
• sposobnost promicanja kulture zaštite podataka unutar organizacije

Službenik za zaštitu osobnih podataka ima slijedeća zaduženja:

• informirati i savjetovati voditelja obrade/izvršitelja obrade o njihovoj obvezi sukladno Općoj uredbi kao i ostalim propisima odnosnima na zaštitu osobnih podataka u EU ili državi članici;
• nadzirati sukladnost postupanja sa osobnim podacima sa propisima i odredbama i politikama društva;
• podizati razinu svijesti o značaju zaštite osobnih podataka i podučavati osoblje koje je uključeno u obradu osobnih podataka;
• izrada i usklađivanje internih akata (npr. Evidencije aktivnosti obrade, Politika privatnosti, Izjava o povjerljivosti, Pravilnik o zaštiti osobnih podataka itd)
• surađivati sa nadzornim tijelom za zaštitu osobnih podataka (Agencijom za zaštitu osobnih podataka),
• biti kontakt točka za ispitanike vezano za ostvarivanje njihovih prava
• pružati savjete o tome gdje je potrebno vezano uz procjenu učinka rizika na zaštitu osobnih podataka

Ovisno o prirodi postupaka obrade te djelatnosti i veličini organizacije službeniku za zaštitu podataka potrebno je pružiti sljedeće:

• aktivnu potporu višeg rukovodstva funkciji službenika za zaštitu podataka,
• dostatno vrijeme kako bi službenik za zaštitu podataka ispunio svoje dužnosti,
• primjerenu potporu u pogledu financijskih sredstava, infrastrukture (prostori, objekti, oprema) i, prema potrebi, osoblja,
• osigurati da se svom osoblju dostavi službena obavijest o imenovanom službeniku,
• omogućiti nužan pristup ostalim službama u okviru organizacije kako bi službenik za zaštitu podataka mogao primiti nužnu potporu, doprinose ili informacije od tih službi,
• omogućiti kontinuirano osposobljavanje

Dodatne preporuke za voditelje i izvršitelje obrade

Organizacija koja imenuje službenika za zaštitu podataka trebala bi se pobrinuti:

• da je službenik za zaštitu podataka pozvan sudjelovati na redovitim sastancima visokog i srednjeg rukovodstva,
• da se preporuči nazočnost službenika za zaštitu podataka kad se donose odluke koje se mogu odraziti na zaštitu podataka. Sve se relevantne informacije službeniku za zaštitu podataka moraju proslijediti pravodobno kako bi mogao pružiti odgovarajući savjet,
• da se mišljenje službenika za zaštitu podataka uvijek uzme u obzir. U slučaju neslaganja, smatra se dobrom praksom i preporučuje da se zabilježe razlozi zbog kojih se nije slijedio savjet službenika za zaštitu podataka,
• da se savjetovanje sa službenikom za zaštitu podataka provede odmah nakon što je došlo do povrede podataka ili do nekog drugog incidenta

Nekoliko je zaštitnih mjera kako bi se službeniku za zaštitu podataka omogućilo obavljanje zadaća na neovisan način:

• ne smiju im se davati upute o načinu rješavanja predmeta, na primjer, o ishodu koji bi trebalo ostvariti i načinu vođenja istrage o pritužbi ili o tomu treba li tražiti savjet nadzornog tijela
• ne smije ih se upućivati da zauzmu određeno stajalište o predmetu koji se odnosi na zakon o zaštiti podataka, (npr. na određeno tumačenje zakona)
• ne smije se službenika za zaštitu podataka razriješiti dužnosti ili kazniti zbog izvršavanja zadaća,
• ne smije postojati sukob interesa u odnosu na ostale moguće zadatke i dužnosti

Službenik može ispunjavati i druge zadaće i dužnosti, međutim bitno je da takve zadaće i dužnosti ne dovedu do sukoba interesa

Može, ne postoji prepreka da jedna osoba obavlja dvije funkcije, ako voditelj iili izvršitelj procijene da ne postoje neke druge zapreke (primjerice sukob interesa).

To ponajprije znači da službenik za zaštitu podataka ne može biti onaj djelatnik unutar organizacije čiju svrhu i načine obrade osobnih podataka mora utvrditi

• službenicima se ne smiju davati upute o načinu rješavanja predmeta (npr. o ishodu koji bi trebalo ostvariti, načinu vođenja istrage o pritužbi ili o tomu treba li tražiti savjet nadzornog tijela.)
• ako voditelj/izvršitelj obrade donese odluke nespojive s Općom uredbom i savjetom službenika, trebalo bi omogućiti službeniku da svoje suprotno mišljenje jasno da do znanja najvišoj rukovodećoj razini te onima koji donose odluke

 Zbog posebne organizacijske strukture svakog poslovnog nastana o tome ko će biti službenik mora se odlučivati na pojedinačnoj osnovi.

Nepisano je pravilo da radna mjesta koja mogu biti u sukobu interesa u okviru organizacije mogu biti:

1. POLOŽAJI U VIŠEM RUKOVODSTVU (kao što su predsjednik uprave, direktor poslovanja, direktor financija, glavni medicinski službenik, voditelj odjela za marketing, voditelj ljudskih resursa ili voditelj odjela za informacijsku tehnologiju), ali i
2. NIŽE ULOGE U HIJERARHIJSKOJ STRUKTURI ORGANIZACIJE ako takvi položaji ili uloge podrazumijevaju utvrđivanje svrhe i načina obrade osobnih podataka.

DODATNO: sukob interesa može nastati, na primjer, ako se od vanjskog službenika za zaštitu podataka zatraži da pred sudovima predstavlja voditelja ili izvršitelja obrade u slučajevima koji uključuju pitanja zaštite podataka

Konkretno, u okviru dužnosti praćenja poštovanja službenik ima dužnost:

• prikupljati informacije radi utvrđivanja aktivnosti obrade,
• analizirati i provjeravati usklađenost aktivnosti obrade i
• obavješćivati voditelja obrade ili izvršitelja obrade te mu pružati savjete i izdavati preporuke

Ne. Službenici za zaštitu podataka nisu osobno odgovorni za nepoštovanje zahtjeva za zaštitu podataka. Voditelj ili izvršitelj obrade mora osigurati i moći dokazati da se obrada provodi u skladu s Uredbom te je on odgovoran za neusklađenost poslovanja s njezinim odredbama.