Napomena: Ova je zadaća odvojena i različita od rješavanja zahtjeva ispitanika za pristup, ispravak itd., o čemu se govori u 8. zadaći.
- Na što se odnosi istražna zadaća službenika?
Istražna zadaća posebice proizlazi iz dužnosti “praćenje sukladnosti” da može, na vlastitu inicijativu ili na zahtjev uprave ili, npr. predstavničkog tijela zaposlenika ili sindikata ili doista bilo kojeg pojedinca (iz organizacije ili bez organizacije, ili čak zviždača) istražiti pitanja i događaje koji su izravno vezani za zadaće službenika i povratno izvijestiti osobu ili tijelo koje je naručilo ili zatražilo istragu i/ili vrhu uprave.
- Što je sve voditelj obrade dužan osigurati službeniku za izvršavanje ove zadaće?
Službenicima se moraju dati svi relevantni resursi i pristup svim podacima i prostorijama, instalacijama za obradu podataka i medijima za prijenos podataka (sa svim relevantnim i potrebnim odobrenjima i ovlastima pristupa i zadržavanja elektroničkih zapisa) koji su nužni za provođenje zadaća službenika tj. također u odnosu na takve istrage.
- Kako u tome sudjeluju ostali dionici (npr. zaposlenici, izvršitelji obrade)?
Svi zaposlenici dotičnog voditelja obrade – a zapravo i bilo koje osoblje vanjskih agencija, uključujući posebice određene izvršitelje obrade (uključujući pružatelja usluga u oblaku, koje koristi voditelj obrade) – trebaju u cijelosti pomoći DPO-u kod bilo kojih takvih istraga, i davati cjelovite odgovore i informacije na bilo koja pitanja ili zahtjeve koje postavi DPO.
NAPOMENA: voditelji obrade bi trebali ovo učiniti eksplicitno jasnim u internim smjernicama za zaposlenike, te trebaju uključiti jasne odredbe u tom smislu u njihove ugovore s vanjskim pružateljima usluga i izvršiteljima.
- Da li su na neki način ovlasti službenika ograničene?
Da. Usprkos tome što je nadležan za praćenje sukladnosti s GDPR-om, rješavati pritužbe i istraživati moguće povrede Opće uredbe, DPO ima ograničene ovlasti provedbe.
- Što službenik može učiniti ukoliko otkrije da je došlo do nepoštivanja Opće uredbe?
U načelu ako službenik zaključi da se u nekom smislu nije poštivalo Opću uredbu u njegovoj organizaciji, ili od strane bilo kojeg vanjskog pružatelja usluga ili izvršitelja, službenik bi to trebao prijaviti višem rangu uprave – a tada je odgovornost uprave da poduzme korektivne mjere, uključujući, kada je to prikladno, sankcije protiv bilo kojeg zaposlenika ili agenata ili izvršitelja koji su propustili izvršiti svoje odnosne dužnosti, npr. izdavanjem upozorenja ili drugih kazni ili, u ekstremnim slučajevima, otkaz ili prekid ugovora.
Primjer: ako se koristi vanjski pružatelj usluga za prikupljanje podataka (npr. putem automatiziranog sustava kojim upravlja pružatelj usluge), a taj pružatelj usluge ne poštuje GDPR, npr. u smislu obavještavanja ili, još gore, koristeći prikupljene podatke potajno za daljnje (neprijavljene) svrhe, službenik treba predložiti neka voditelj obrade koristi drugog pružatelja usluge, te u isto vrijeme alarmirati nadzorno tijelo (AZOP).
- U kojim slučajevima je uputno obratiti se nadzornom tijelu?
Jedna od zadaća službenika je „savjetovati“ relevantno tijelo (AZOP), „prema potrebi“, u pogledu bilo kojeg pitanja koje se javi.
U slučaju ozbiljne razlike stajališta između službenika i najvišeg ranga uprave njegove/njene organizacije, kada, po mišljenju DPO-a, određeni postupak obrade jest ili će predstavljati (ozbiljnu) povredu GDPR-a, i/ili relevantnog nacionalnog zakona, ali ga uprava i dalje želi provesti svakako bi se činilo da je „prikladno“ da DPO proslijedi predmet nadzoronom tijelu (AZOP).
Vidi dalje u nastavku, pod naslovima “Suradnja s i savjetovanje s DPA-om“ i “Rješavanje upita i pritužbi”.