Da li tajnik odgojno-obrazovne ustanove može biti službenik za zaštitu podataka?


Da li tajnik odgojno-obrazovne ustanove može biti službenik za zaštitu podataka?


6.6.2019.

Agenciji za zaštitu osobnih podataka zaprimila je upit u svezi tumačenja sukoba interesa vezano za službenika za zaštitu osobnih podataka, kao i činjenice da li tajnik ustanove može biti imenovan službenikom za zaštitu podataka. S obzirom na navedeno iznosimo sljedeće:
    
U članku 37. Uredbe (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (Opća uredba o zaštiti podataka) SL EU L119  je navedeno u kojem slučaju voditelj obrade i izvršitelj obrade imenuju službenika za zaštitu osobnih podataka, odnosno kada obradu provodi tijelo javne vlasti ili javno tijelo, osim za sudove koji djeluju u okviru svoje sudske nadležnosti, kada se osnovne djelatnosti voditelja obrade ili izvršitelja obrade sastoje od postupaka obrade koji zbog svoje prirode, opsega i/ili svrha iziskuju redovito i sustavno praćenje ispitanika u velikoj mjeri, ili kada se osnovne djelatnosti voditelja obrade ili izvršitelja obrade sastoje se od opsežne obrade posebnih kategorija podataka na temelju članka 9. i osobnih podataka u vezi s kaznenim osudama i kažnjivim djelima iz članka 10. GDPR-a.

Nadalje, navedenom Općom uredbom su utvrđene i zadaće koje obavlja Službenik za zaštitu osobnih podataka u smislu informiranja i savjetovanja voditelja obrade ili izvršitelja obrade te zaposlenika koji obavljaju obradu o njihovim obvezama iz Opće uredbe te drugim odredbama Unije ili države članice o zaštiti podataka; praćenja poštovanja Opće uredbe te drugih odredaba Unije ili države članice o zaštiti podataka i politika voditelja obrade ili izvršitelja obrade u odnosu na zaštitu osobnih podataka, uključujući raspodjelu odgovornosti, podizanje svijesti i osposobljavanje osoblja koje sudjeluje u postupcima obrade te povezane revizije; pružanje savjeta, kada je to zatraženo, u pogledu procjene učinka na zaštitu podataka i praćenje njezina izvršavanja u skladu s člankom 35.; suradnja s nadzornim tijelom; djelovanje kao kontaktna točka za nadzorno tijelo o pitanjima u pogledu obrade, što uključuje i prethodno savjetovanje iz članka 36. te savjetovanje, prema potrebi, o svim drugim pitanjima (članak 37. navedene Opće uredbe).

Naime, službenik za zaštitu podataka može ispunjavati i druge zadaće i dužnosti, a voditelj obrade ili izvršitelj obrade osigurava da takve zadaće i dužnosti ne dovedu do sukoba interesa. Nepostojanje sukoba interesa usko je povezano s obvezom djelovanja na neovisan način. Iako je službenicima za zaštitu podataka dopušteno obavljati druge dužnosti, te im druge zadaće i obveze mogu biti povjerene samo uz uvjet da ne dovode do sukoba interesa. Konkretno, to podrazumijeva da službenik za zaštitu podataka ne može biti djelatnik organizacije čiju svrhu i načine obrade osobnih podataka mora utvrditi. Možemo reći da je nepisano pravilo da radna mjesta koja mogu biti u sukobu interesa u okviru organizacije mogu biti položaji u višem rukovodstvu (kao što su predsjednik uprave, direktor poslovanja, direktor financija, voditelj ljudskih resursa ili voditelj odjela za informacijsku tehnologiju), ali i niže uloge u hijerarhijskoj strukturi organizacije ako takvi položaji ili uloge kada podrazumijevaju utvrđivanje svrhe i načina obrade osobnih podataka koja se smatra odlučnom činjenicom za sukob interesa.

Ovisno o djelatnostima, veličini i strukturi organizacije, za voditelje obrade ili izvršitelje u praksi bi moglo biti dobro sljedeće:
• utvrditi funkcije koje su nespojive s funkcijom službenika za zaštitu podataka,  sastaviti interna pravila za tu svrhu kako bi se izbjegao sukob interesa,
• dodati i šire objašnjenje o sukobu interesa, 
• izjaviti da njihov službenik za zaštitu podataka nije u sukobu interesa s obzirom na njegovu dužnost službenika za zaštitu podataka, što će pridonijeti podizanju svijesti o postojanju te obveze, 
• u interna pravila organizacije uvrstiti zaštitne mjere i osigurati da je natječaj za radno mjesto službenika za zaštitu podataka ili ugovor o djelu dostatno precizan i iscrpan radi izbjegavanja sukoba interesa. U tom bi kontekstu trebalo imati na umu da se sukobi interesa mogu pojaviti u raznim oblicima, ovisno o tome je li službenik za zaštitu podataka već bio zaposlenik organizacije ili nije.

Vezano za imenovanje službenika za zaštitu osobnih podataka navodimo kako se funkcija službenika za zaštitu podataka može obavljati i na temelju ugovora o djelu sklopljenog s pojedincem ili organizacijom izvan organizacije voditelja obrade ili izvršitelja obrade. U potonjem slučaju vrlo je važno da svaki član organizacije koja izvršava funkcije službenika za zaštitu podataka ispunjava sve zahtjeve koji se primjenjuju na temelju odjeljka 4. Opće uredbe o zaštiti podataka (npr. osobito je važno da nitko ne bude u sukobu interesa). Jednako je važno da svaki član bude zaštićen odredbama Opće uredbe o zaštiti podataka (na primjer, da ne bude nepoštenog raskidanja ugovora za poslove službenika za zaštitu podataka, ali ni nepoštenog razrješenja dužnosti bilo kojeg pojedinog člana organizacije koji obavlja zadaće službenika za zaštitu podataka). Mogu se istodobno kombinirati osobne vještine i stručnost kako bi više pojedinaca koji djeluju kao jedinica mogli djelotvornije pružati usluge svojim klijentima. U tom kontekstu važno je naglasiti kako je tendencija imenovanja vanjskog službenika za zaštitu osobnih podataka imenovanje osobe koja može biti službenik u više društava, ali u slučaju kada govorimo o imenovanju službenika koji je zaposlenik drugog društva treba voditi brigu o mogućem sukobu interesa koji se može pojaviti u svakom pojedinom slučaju. Dakle tendencija prilikom imenovanja službenika za zaštitu osobnih podataka je, između ostalog, obavljanje dužnosti i zadaća na neovisan način te izravno odgovaranje najvišoj rukovodećoj razini, što bi u slučaju imenovanja zaposlenika drugog društva moglo predstavljati sukob interesa. Međutim, odgovornost i obveza imenovanja službenika proizlazi kao obveza voditelj ili izvršitelja obrade, koji kao i potencijalno imenovani službenik za zaštitu osobnih podataka moraju voditi brigu u sukobu interesa, osobito kada se radi o zaposleniku drugog društva koji nije u nikakvoj vezi, tj. nisu povezana društva  (primjerice ovisno i vladajuće društvo, društvo koncerna i sl.).

Nadalje, je potrebno napomenuti kako se službenik za zaštitu podataka imenuje se na temelju stručnih kvalifikacija, a osobito stručnog znanja o pravu i praksama u području zaštite podataka te sposobnosti izvršavanja zadaća (članak 37. stavak 5.). Iako se ne navodi koje bi stručne kvalifikacije trebalo razmotriti prilikom imenovanja službenika za zaštitu podataka, neupitna je činjenica da službenici za zaštitu podataka moraju biti stručnjaci u području nacionalnog i europskog prava i prakse te dubinski razumjeti Opću uredbu o zaštiti podataka te da bi nužnu razinu stručnog znanja trebalo utvrditi u odnosu na postupke obrade podataka koji se provode te na obveznu zaštitu osobnih podataka koji se obrađuju.

Slijedom iznijetoga, u odnosu na upit može li tajnik škole biti imenovan službenikom za zaštitu podataka navodimo da je u slučaju ako isti ne utvrđuje svrhe i načina obrade osobnih podataka koja se smatra odlučnom činjenicom za sukob interesa ne nalazimo zapreke za obavljanjem navedene funkcije. Isto tako, navodimo kako službenik za informiranje ujedno može biti službenik za zaštitu podataka, odnosno s aspekta propisa o zaštiti osobnih podataka, uzimajući u obzir sve navedeno, ne vidimo ništa sporno da bi jedna osoba mogla obavljati obje navedene funkcije, dapače službenik za informiranje mora prilikom rješavanja zahtjeva za pristup informacijama biti u mogućnosti raspoznati traže li se u zahtjevu osobni podaci te da li je sukladno članku 15. Zakona o pravu na pristup informacijama („Narodne novine“ broj 25/13 i 85/15) potrebno ograničiti pristup istima tj. na adekvatan ih način zaštititi.
Naposljetku, ističemo kako se sve odluke o imenovanju službenika donesene na temelju Zakona o zaštiti osobnih podataka trebaju uskladiti sa Općom uredbom. Imenovanje službenika za zaštitu osobnih podataka mora biti u pisanom obliku i dostavljeno u izvorniku s potpisom i pečatom odgovorne osobe na sjedište Agencije: Martićeva 14, 10000 Zagreb. U vezi imenovanja službenika za zaštitu podataka navodimo kako detaljnije informacije možete pronaći i na internet stranici ove Agencije www.azop.hr

 
 
  Natrag