Obveze službenika za zaštitu podataka


Obveze službenika za zaštitu podataka


19.4.2019.

Nastavno na Vaš općenit upit koji je zaprimila Agencija za zaštitu osobnih podataka vezano za službenika za zaštitu podataka sukladno odredbama Opće uredbe o zaštiti podataka, iznosimo sljedeći načelan odgovor:
Isto tako smatramo bitnim istaknuti da je Uredba o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka (dalje u tekstu Opća uredba o zaštiti podataka, eng. skraćeno GDPR) stupila na snagu 25. svibnja 2016. godine i koja se primjenjuje u Republici Hrvatskoj od 25. svibnja 2018. godine.
U članku 37. Opće uredbe o zaštiti osobnih podataka je navedeno u kojem slučaju voditelj obrade i izvršitelj obrade imenuju službenika za zaštitu osobnih podataka, odnosno:
- kada obradu provodi tijelo javne vlasti ili javno tijelo, osim za sudove koji djeluju u okviru svoje sudske nadležnosti,
- kada se osnovne djelatnosti voditelja obrade ili izvršitelja obrade sastoje od postupaka obrade koji zbog svoje prirode, opsega i/ili svrha iziskuju redovito i sustavno praćenje ispitanika u velikoj mjeri,
- kada se osnovne djelatnosti voditelja obrade ili izvršitelja obrade sastoje se od opsežne obrade posebnih kategorija podataka na temelju članka 9. i osobnih podataka u vezi s kaznenim osudama i kažnjivim djelima iz članka 10. GDPR-a.

Dakle, proizlazi kako je neovisno o broju zaposlenika voditelj obrade/izvršitelj dužan imenovati službenika za zaštitu podataka ukoliko je ispunjen jedan od gore navedenih uvjeta iz članka 37. Opće uredbe.

U uvodnoj izjavi 97. navodi se da „osnovne djelatnosti voditelja obrade odnose se na njegove primarne djelatnosti i ne odnose se na obradu osobnih podataka kao dodatne djelatnosti”. Može se smatrati da su „osnovne djelatnosti” ključni postupci nužni za ostvarenje ciljeva voditelja obrade ili izvršitelja obrade. Međutim, sve organizacije obavljaju određene djelatnosti, na primjer plaćaju svoje zaposlenike ili osiguravaju standardnu informatičku potporu. To su primjeri pomoćnih funkcija nužnih za osnovne djelatnosti ili osnovno poslovanje organizacije. Premda su te djelatnosti potrebne ili ključne, obično se smatraju pomoćnim funkcijama, a ne osnovnom djelatnošću.

Općom uredbom o zaštiti podataka nije definiran izraz „opsežna obrada”, iako su u uvodnoj izjavi 91. ponuđene poneke smjernice.  U svakom slučaju preporučuje da se, kad se bude utvrđivalo provodi li se opsežna obrada, posebno u obzir uzmu sljedeći čimbenici: broj predmetnih ispitanika (odnosno njihov konkretan broj ili njihov udio u relevantnom stanovništvu), opseg podataka i/ili opseg različitih podatkovnih stavki koje se obrađuju, trajanje ili trajnost aktivnosti obrade podataka, zemljopisni razmjer aktivnosti obrade.

Nadalje, pojam „redovito i sustavno praćenje ispitanika” u Općoj uredbi o zaštiti podataka nije definiran, međutim Radna skupina iz članka 29. pojam „redovito praćenje” tumači na najmanje jedan od sljedećih načina: praćenje koje je trajno ili se provodi u određenim intervalima u određenom razdoblju; praćenje koje se opetovano provodi ili ponavlja u točno određeno vrijeme; praćenje koje se provodi stalno ili periodično.
Radna skupina iz članka 29. pojam „sustavno praćenje” tumači na najmanje jedan od sljedećih načina: praćenje koje se provodi u skladu s određenim sustavom; praćenje koje je prethodno dogovoreno, organizirano ili metodično; praćenje koje je dio općeg plana za prikupljanje podataka; praćenje koje se provodi kao dio strategije. 

Osim ako je očigledno da organizacija nije dužna imenovati službenika za zaštitu podataka, Radna skupina iz članka 29. preporučuje da voditelji obrade i izvršitelji obrade dokumentiraju interne analize provedene radi utvrđivanja je li potrebno imenovanje službenika za zaštitu podataka ili ne, kako bi mogli dokazati da su svi relevantni čimbenici primjereno uzeti u obzir. Ta je analiza dio dokumentacije prikupljene u skladu s načelom pouzdanosti. Nju bi moglo zatražiti nadzorno tijelo te bi je prema potrebi trebalo ažurirati, na primjer ako voditelji obrade ili izvršitelji obrade poduzimaju nove aktivnosti ili pružaju nove usluge s popisa slučajeva iz članka 37. stavka 1. Ako organizacija dobrovoljno imenuje službenika za zaštitu podataka, na njegovo se imenovanje, položaj i zadaće primjenjuju zahtjevi iz članaka od 37. do 39. kao da je imenovanje bilo obvezno.

S obzirom na veličinu i ustroj organizacije, moglo bi biti potrebno uspostaviti jedinicu službenika za zaštitu podataka (službenik za zaštitu podataka i njegova jedinica). U takvim je slučajevima potrebno jasno izraditi plan unutarnjeg ustroja jedinice te zadaće i odgovornosti svakog njezina člana. Slično tomu, ako dužnost službenika za zaštitu podataka izvršava vanjski pružatelj usluga, jedinica koja se sastoji od pojedinaca koji rade za taj poslovni subjekt može djelotvorno obavljati zadaće službenika za zaštitu podataka kao jedinica pod odgovornošću imenovane glavne osobe za kontakt za tog klijenta.

Nadalje, navedenom Općom uredbom su utvrđene i zadaće koje obavlja Službenik za zaštitu osobnih podataka u smislu informiranja i savjetovanja voditelja obrade ili izvršitelja obrade te zaposlenika koji obavljaju obradu o njihovim obvezama iz Opće uredbe te drugim odredbama Unije ili države članice o zaštiti podataka; praćenja poštovanja Opće uredbe te drugih odredaba Unije ili države članice o zaštiti podataka i politika voditelja obrade ili izvršitelja obrade u odnosu na zaštitu osobnih podataka, uključujući raspodjelu odgovornosti, podizanje svijesti i osposobljavanje osoblja koje sudjeluje u postupcima obrade te povezane revizije; pružanje savjeta, kada je to zatraženo, u pogledu procjene učinka na zaštitu podataka i praćenje njezina izvršavanja u skladu s člankom 35.; suradnja s nadzornim tijelom; djelovanje kao kontaktna točka za nadzorno tijelo o pitanjima u pogledu obrade, što uključuje i prethodno savjetovanje iz članka 36. te savjetovanje, prema potrebi, o svim drugim pitanjima (članak 39. navedene Opće uredbe).

Temeljem članka 37., stavka 5. Opće uredbe, službenik za zaštitu osobnih podataka imenuje se na temelju stručnih kvalifikacija, a osobito stručnog znanja o pravu i praksama u području zaštite podataka te sposobnosti izvršavanja zadaća iz članka 39. Uvodnom izjavom 97. propisano da bi nužnu razinu stručnog znanja trebalo utvrditi u odnosu na postupke obrade podataka koji se provode te na obveznu zaštitu osobnih podataka koji se obrađuju.  Obvezna razina stručnosti nije strogo definirana, no ona mora biti razmjerna osjetljivosti, složenosti i količini podataka koju organizacija obrađuje. Na primjer, ako je postupak obrade podataka osobito složen ili ako obuhvaća veliku količinu osjetljivih podataka, službenik za zaštitu podataka možda bi trebao imati viši stupanj stručnosti i podrške. Razlika postoji i ovisno o tome prenosi li organizacija sustavno podatke izvan Europske unije ili su ti prijenosi povremeni. Službenika za zaštitu podataka potrebno je odabrati pažljivo, uzimajući u obzir probleme povezane sa zaštitom podataka koji se javljaju unutar organizacije.

Iako se u članku 37. stavku 5. ne navodi koje bi stručne kvalifikacije trebalo razmotriti prilikom imenovanja službenika za zaštitu podataka, neupitna je činjenica da službenici za zaštitu podataka moraju biti stručnjaci u području nacionalnog i europskog prava i prakse te dubinski razumjeti Opću uredbu o zaštiti podataka. Promidžba odgovarajućeg i redovitog osposobljavanja za službenike za zaštitu podataka koju provode nadzorna tijela svakako je od pomoći. Korisno je i poznavanje poslovnog sektora i organizacije voditelja obrade. Službenik za zaštitu podataka mora dobro razumjeti i postupke koji se provode, informacijske sustave voditelja obrade te njegove potrebe u pogledu sigurnosti podataka i zaštite podataka. 

Sposobnost izvršavanja zadaća povjerenih službeniku za zaštitu podataka trebalo bi tumačiti u odnosu na njihove osobne kvalitete i znanja te u odnosu na njihov položaj u organizaciji. Na primjer, osobne bi kvalitete trebale obuhvaćati poštenje i visoku profesionalnu etiku. Službenik za zaštitu podataka trebao bi se prvenstveno brinuti za poštovanje Opće uredbe o zaštiti podataka. Službenik za zaštitu podataka ima ključnu ulogu u njegovanju kulture zaštite podataka unutar organizacije i pomaže u provedbi bitnih elemenata Opće uredbe o zaštiti podataka kao što su načela obrade podataka, prava ispitanika, tehnička i integrirana zaštita podataka, evidencija aktivnosti obrade, sigurnost obrade te izvješćivanje i obavješćivanje o povredama podataka.

Također, člankom 37., stavkom 6. Opće uredbe propisano je da službenik za zaštitu podataka može biti član osoblja voditelja obrade ili izvršitelja obrade ili obavljati zadaće na temelju ugovora o djelu. U potonjem slučaju, kad se funkcija službenika za zaštitu podataka obavlja na temelju ugovora o djelu sklopljenog s pojedincem ili organizacijom izvan organizacije voditelja obrade ili izvršitelja obrade, vrlo je važno da svaki član organizacije koja izvršava funkcije službenika za zaštitu podataka ispunjava sve zahtjeve koji se primjenjuju na temelju odjeljka 4. Opće uredbe o zaštiti podataka (npr. osobito je važno da nitko ne bude u sukobu interesa).

Jednako je važno da svaki član bude zaštićen odredbama Opće uredbe o zaštiti podataka (na primjer, da ne bude nepoštenog raskidanja ugovora za poslove službenika za zaštitu podataka, ali ni nepoštenog razrješenja dužnosti bilo kojeg pojedinog člana organizacije koji obavlja zadaće službenika za zaštitu podataka). Mogu se istodobno kombinirati osobne vještine i stručnost kako bi više pojedinaca koji djeluju kao jedinica mogli djelotvornije pružati usluge svojim klijentima.  Radi pravne jasnoće i dobre organizacije, preporučuje se jasna raspodjela zadaća u okviru vanjske jedinice službenika za zaštitu podataka te imenovanje jednog pojedinca kao glavne osobe za kontakt i osobe „odgovorne” za klijenta. Bilo bi općenito korisno da se te stavke navedu u ugovoru o djelu.

Na temelju članka 37. stavka 7. voditelj obrade ili izvršitelj objave moraju objaviti podatke za kontakt službenika za zaštitu podataka i o podacima za kontakt službenika za zaštitu podataka obavijestiti nadzorno tijelo. Tim se zahtjevima ispitanicima (unutar i izvan organizacije) i nadzornim tijelima želi omogućiti jednostavno i izravno stupanje u kontakt sa službenikom za zaštitu podataka, a da pritom ne moraju stupiti u kontakt s nekim drugim dijelom organizacije. Jednako je važna povjerljivost: na primjer, zaposlenici mogu oklijevati u pogledu podnošenja pritužbe službeniku za zaštitu podataka ako nije zajamčena povjerljivost njihove komunikacije. Službenik za zaštitu podataka obvezan je tajnošću ili povjerljivošću u pogledu obavljanja svojih zadaća, u skladu s pravom Unije ili pravom države članice (članak 38. stavak 5.).

Podaci za kontakt službenika za zaštitu podataka trebali bi sadržavati informacije koje će ispitanicima i nadzornim tijelima omogućiti da lako dođu do službenika za zaštitu podataka (poštanska adresa, određeni telefonski broj i/ili određena adresa elektroničke pošte). U skladu s člankom 37. stavkom 7. ime službenika za zaštitu podataka ne mora se navesti u objavljenim podacima za kontakt. Premda se navođenje tih podataka može smatrati dobrom praksom, voditelj obrade ili izvršitelj obrade i službenik za zaštitu podataka odlučuju je li to potrebno ili korisno u konkretnim okolnostima . Međutim, ime službenika za zaštitu podataka ključno je dostaviti nadzornom tijelu kako bi službenik za zaštitu podataka mogao poslužiti kao točka za kontakt između organizacije i nadzornog tijela (članak 39. stavak 1. točka (e)). Također, smatra se dobrom praksom te isto tako preporučuje da organizacija svoje zaposlenike obavijesti o imenu i podacima za kontakt službenika za zaštitu podataka. Na primjer, ime i podaci za kontakt službenika za zaštitu podataka mogli bi se objaviti interno na intranetu organizacije te u internom telefonskom imeniku i organigramima.

Nadalje, u skladu s člankom 38. stavkom 6. službenik za zaštitu podataka „može ispunjavati i druge zadaće i dužnosti”. Tim se člankom, međutim, zahtijeva da organizacija osigura da „takve zadaće i dužnosti ne dovedu do sukoba interesa”.

Nepostojanje sukoba interesa usko je povezano s obvezom djelovanja na neovisan način. Iako je službenicima za zaštitu podataka dopušteno obavljati druge dužnosti, te im druge zadaće i obveze mogu biti povjerene samo uz uvjet da ne dovode do sukoba interesa. Konkretno, to podrazumijeva da službenik za zaštitu podataka ne može biti djelatnik organizacije čiju svrhu i načine obrade osobnih podataka mora utvrditi. Zbog posebne organizacijske strukture svake organizacije o tomu se mora odlučivati na pojedinačnoj osnovi. Nepisano je pravilo da radna mjesta koja mogu biti u sukobu interesa u okviru organizacije mogu biti položaji u višem rukovodstvu (kao što su predsjednik uprave, direktor poslovanja, direktor financija, glavni medicinski službenik, voditelj odjela za marketing, voditelj ljudskih resursa ili voditelj odjela za informacijsku tehnologiju), ali i niže uloge u hijerarhijskoj strukturi organizacije ako takvi položaji ili uloge podrazumijevaju utvrđivanje svrhe i načina obrade osobnih podataka. Osim toga, sukob interesa može nastati, na primjer, ako se od vanjskog službenika za zaštitu podataka zatraži da pred sudovima predstavlja voditelja obrade ili izvršitelja obrade u slučajevima koji uključuju pitanja zaštite podataka. Dakle, iz navedenog proizlazi da djelatnik koji obrađuje osobne podatke u okviru svoje radne obveze kod poslodavca kao voditelja obrade, može biti službenik za zaštitu podataka, osim ako utvrđuje svrhe i načine obrade podataka.
Ovisno o djelatnostima, veličini i strukturi organizacije, za voditelje obrade ili izvršitelje u praksi bi moglo biti dobro sljedeće:
- utvrditi funkcije koje su nespojive s funkcijom službenika za zaštitu podataka,
- sastaviti interna pravila za tu svrhu kako bi se izbjegao sukob interesa,
- dodati i šire objašnjenje o sukobu interesa, 
- izjaviti da njihov službenik za zaštitu podataka nije u sukobu interesa s obzirom na njegovu dužnost službenika za zaštitu podataka, što će pridonijeti podizanju svijesti o postojanju te obveze, 
- u interna pravila organizacije uvrstiti zaštitne mjere i osigurati da je natječaj za radno mjesto službenika za zaštitu podataka ili ugovor o djelu dostatno precizan i iscrpan radi izbjegavanja sukoba interesa. U tom bi kontekstu trebalo imati na umu da se sukobi interesa mogu pojaviti u raznim oblicima, ovisno o tome je li službenik za zaštitu podataka već bio zaposlenik organizacije ili nije.

U skladu s člankom 30. stavcima 1. i 2. voditelj obrade ili izvršitelj obrade, a ne službenik za zaštitu podataka, „vodi evidenciju aktivnosti obrade za koje je odgovoran” ili „vodi evidenciju svih kategorija aktivnosti obrade koje se obavljaju za voditelja obrade”. U članku 39. stavku 1. naveden je popis zadaća službenika za zaštitu podataka čije se obavljanje smatra minimumom. Stoga voditelja obrade ili izvršitelja obrade ništa ne sprečava da službeniku za zaštitu podataka dodijeli zadaću vođenja evidencije postupaka obrade za koje je odgovoran voditelj obrade ili izvršitelj obrade. Takva bi se evidencija trebala smatrati jednim od alata koji službeniku za zaštitu podataka omogućuju obavljanje njegovih zadaća u pogledu praćenja usklađenosti, obavješćivanja i savjetovanja voditelja obrade ili izvršitelja obrade. 
Naposljetku navodimo kako je voditelj obrade/izvršitelj obrade dužan donijeti Odluku o imenovanju službenika sukladno Općoj uredbi. Također, ističemo kako se sve odluke o imenovanju službenika donesene na temelju Zakona o zaštiti osobnih podataka trebaju uskladiti sa Općom uredbom. Imenovanje službenika za zaštitu osobnih podataka mora biti u pisanom obliku i dostavljeno u izvorniku s potpisom i pečatom odgovorne osobe na sjedište Agencije: Martićeva 14, 10000 Zagreb. U vezi imenovanja službenika za zaštitu podataka navodimo kako detaljnije informacije možete pronaći i na Internet stranici ove Agencije http://azop.hr/zbirke-osobnih-podataka/detaljnije/registar-sluzbenika-za-zastitu-osobnih-podataka

 
 
  Natrag