Imenovanje službenika za zaštitu podataka


Imenovanje službenika za zaštitu podataka


Nastavno na Vaš upit vezan uz imenovanje službenika za zaštitu osobnih podataka, Agencija se očituje kako slijedi;

Općom Uredbom, koja se izravno i u cijelosti počela primjenjivati u svim državama članicama EU 25. svibnja 2018. godine, predviđa se uspostava osuvremenjenog okvira za usklađivanje postupaka zaštite podataka u Europi koji se temelji na pouzdanosti. Brojne će organizacije središnjom točkom tog novog pravnog okvira smatrati službenike za zaštitu podataka koji će olakšavati usklađivanje s odredbama Opće uredbe o zaštiti podataka.

Čak i kad se Općom uredbom o zaštiti podataka izričito ne zahtijeva imenovanje službenika za zaštitu podataka, za organizacije ponekad može biti korisno dobrovoljno imenovanje službenika za zaštitu podataka. Radna skupina za zaštitu podataka iz članka 29. Direktive 95/46/EZ, kao i Agencija za zaštitu osobnih podataka, potiče takva dobrovoljna nastojanja.

Ako organizacija dobrovoljno imenuje službenika za zaštitu podataka, na njegovo se imenovanje, položaj i zadaće primjenjuju zahtjevi iz članaka od 37. do 39. Opće Uredbe kao da je imenovanje bilo obvezno.

Organizaciju koja nema zakonsku obvezu imenovati službenika za zaštitu podataka i koja ga ne želi imenovati dobrovoljno ništa ne sprečava da unatoč tomu zaposli osoblje ili vanjske konzultante čije su zadaće povezane sa zaštitom osobnih podataka. U tom je slučaju važno osigurati da ne bude nejasnoća u pogledu njihovih naziva, statusa, položaja i zadaća. Zato je potrebno u svim razmjenama obavijesti unutar društva te s tijelima za zaštitu podataka, ispitanicima i širom javnošću jasno dati do znanja da naziv radnog mjesta tog pojedinca ili konzultanta nije službenik za zaštitu podataka.

Službenik za zaštitu podataka imenuje se za sve postupke obrade koje obavlja voditelj obrade ili izvršitelj obrade, bez obzira na to je li njegovo imenovanje obvezno ili dobrovoljno.

Nadalje, člankom 24. Opće Uredbe propisano je da, uzimajući u obzir prirodu, opseg, kontekst i svrhe obrade, kao i rizike različitih razina vjerojatnosti i ozbiljnosti za prava i slobode pojedinaca, voditelj obrade provodi odgovarajuće tehničke i organizacijske mjere kako bi osigurao i mogao dokazati da se obrada provodi u skladu s ovom Uredbom. Te se mjere prema potrebi preispituju i ažuriraju. S time u vezi, osim ako je očigledno da organizacija nije dužna imenovati službenika za zaštitu podataka, Radna skupina iz članka 29. preporučuje da voditelji obrade i izvršitelji obrade dokumentiraju interne analize provedene radi utvrđivanja je li potrebno imenovanje službenika za zaštitu podataka ili ne, kako bi mogli dokazati da su svi relevantni čimbenici primjereno uzeti u obzir. Ta je analiza dio dokumentacije prikupljene u skladu s načelom pouzdanosti. Nju bi moglo zatražiti nadzorno tijelo te bi je prema potrebi trebalo ažurirati, na primjer ako voditelji obrade ili izvršitelji obrade poduzimaju nove aktivnosti ili pružaju nove usluge s popisa slučajeva iz članka 37., stavka 1.

Člankom 37., stavkom 1. Opće Uredbe propisano je da voditelj obrade i izvršitelj obrade imenuju službenika za zaštitu podataka u svakom slučaju u kojem: (a) obradu provodi tijelo javne vlasti ili javno tijelo, osim za sudove koji djeluju u okviru svoje sudske nadležnosti, (b) osnovne djelatnosti voditelja obrade ili izvršitelja obrade sastoje se od postupaka obrade koji zbog svoje prirode, opsega i/ili svrha iziskuju redovito i sustavno praćenje ispitanika u velikoj mjeri, ili (c) osnovne djelatnosti voditelja obrade ili izvršitelja obrade sastoje se od opsežne obrade posebnih kategorija podataka na temelju članka 9. i osobnih podataka u vezi s kaznenim osudama i kažnjivim djelima iz članka 10.

S obzirom na navedenu odredbu Opće uredbe i na iskazane nedoumice u Vašem dopisu u pogledu tumačenja termina „osnovne djelatnosti“,   upućujemo Vas na dokument Radne skupine za zaštitu osobnih podataka iz članka 29. Direktive 95/46/EZ pod nazivom „Smjernice o službenicima za zaštitu podataka“, a koji možete pronaći na web stranici Agencije http://azop.hr/images/dokumenti/217/wp243rev01_hr.pdf.

Tim smjernicama su, između ostalog, definirani i termini „osnovne djelatnosti“, „opsežna obrada“ i „redovito i sustavno praćenje“.

U nastavku Vam citiramo relevantne dijelove navedenih Smjernica:

1. Osnovne djelatnosti

Članak 37. stavak 1. točke (b) i (c) Opće uredbe o zaštiti podataka odnosi se na „osnovne djelatnosti voditelja obrade ili izvršitelja obrade”. U uvodnoj izjavi 97. navodi se sljedeće: „Osnovne djelatnosti voditelja obrade odnose se na njegove primarne djelatnosti i ne odnose se na obradu osobnih podataka kao dodatne djelatnosti”. Može se smatrati da su „osnovne djelatnosti” ključni postupci nužni za ostvarenje ciljeva voditelja obrade ili izvršitelja obrade.

Međutim, iz tumačenja pojma „osnovne djelatnosti” ne bi se smjele isključiti djelatnosti u kojima obrada podataka čini neodvojiv dio djelatnosti voditelja obrade ili izvršitelja obrade. Na primjer, osnovna djelatnost bolnice je pružanje zdravstvene skrbi. Međutim, bolnica ne bi mogla na siguran način i djelotvorno pružati zdravstvenu skrb bez obrade zdravstvenih podataka poput, na primjer, zdravstvenih kartona pacijenata. Stoga bi obradu tih podataka trebalo smatrati jednom od osnovnih djelatnosti svake bolnice i zato bolnice moraju imenovati službenike za zaštitu podataka.

Drugi je primjer privatno zaštitarsko poduzeće koje nadzire više privatnih trgovačkih centara i javnih prostora. Nadzor je osnovna djelatnost tog društva, što je pak neodvojivo povezano s obradom osobnih podataka. Zbog toga i to društvo mora imenovati službenika za zaštitu podataka.

Međutim, sve organizacije obavljaju određene djelatnosti, na primjer plaćaju svoje zaposlenike ili osiguravaju standardnu informatičku potporu. To su primjeri pomoćnih funkcija nužnih za osnovne djelatnosti ili osnovno poslovanje organizacije. Premda su te djelatnosti potrebne ili ključne, obično se smatraju pomoćnim funkcijama, a ne osnovnom djelatnošću.

2. Opsežna obrada

Za aktiviranje obveze imenovanja službenika za zaštitu podataka u skladu s člankom 37. stavkom 1. točkama (b) i (c) obrada osobnih podataka koja se provodi mora biti opsežna. Općom uredbom o zaštiti podataka nije definiran izraz „opsežna obrada”, iako su u uvodnoj izjavi 91. ponuđene poneke smjernice.

Konkretno, u skladu s uvodnom izjavom bili bi uključeni postupci „obrade velikog opsega kojima se nastoji obraditi znatna količina osobnih podataka na regionalnoj, nacionalnoj ili nadnacionalnoj razini i koji bi mogli utjecati na velik broj ispitanika i koji će vjerojatno dovesti do visokog rizika, primjerice zbog osjetljivosti, u kojima se u skladu s postignutom razinom tehnološkog znanja novom tehnologijom koristi u velikom opsegu, kao i na druge postupke obrade koji dovode do visokog rizika”. Međutim, u uvodnoj se izjavi izričito navodi da „obradu osobnih podataka ne bi trebalo smatrati opsežnom ako se odnosi na osobne podatke pacijenata ili klijenata pojedinih liječnika, zdravstvenih djelatnika ili odvjetnika”. Važno je voditi računa o tomu da, premda su u uvodnoj izjavi navedeni primjeri krajnjih vrijednosti obujma obrade (obrada podataka koju obavlja liječnik pojedinac u usporedbi s obradom podataka iz cijele zemlje ili cijele Europe), između tih dvaju primjera postoji velika siva zona. Usto, trebalo bi imati na umu da se ta uvodna izjava odnosi na procjene učinka na zaštitu podataka. To znači da bi određeni dijelovi mogli biti svojstveni za taj kontekst i nisu nužno na isti način primjenjivi na imenovanje službenika za zaštitu podataka. 

Uistinu, nije moguće brojkom koja bi bila primjenjiva u svim situacijama precizno odrediti količinu podataka koji se obrađuju ili broj pojedinih ispitanika. Time se ipak ne isključuje mogućnost da će se s vremenom možda razviti standardna praksa za konkretnije i/ili kvantifikativno određivanje pojma „opsežna obrada” u odnosu na određene vrste uobičajenih aktivnosti obrade. Radna skupina iz članka 29. planira pridonijeti tom razvoju tako što će dijeliti i objavljivati primjere odgovarajućih pragova za aktiviranje obveze imenovanja službenika za zaštitu podataka.

U svakom slučaju, Radna skupina iz članka 29. preporučuje da se, kad se bude utvrđivalo provodi li se opsežna obrada, posebno u obzir uzmu sljedeći čimbenici:

• broj predmetnih ispitanika, odnosno njihov konkretan broj ili njihov udio u relevantnom stanovništvu,
• obujam podataka i/ili opseg različitih podatkovnih stavki koje se obrađuju,
• trajanje ili trajnost aktivnosti obrade podataka,
• zemljopisni razmjer aktivnosti obrade.

Primjeri opsežne obrade obuhvaćaju:

• obradu podataka o pacijentu u okviru redovnog poslovanja bolnice,
• obradu podataka o putovanjima pojedinaca koji se koriste sustavom javnog gradskog prijevoza (npr. praćenje s pomoću putnih kartica),
• obradu podataka u stvarnom vremenu u pogledu zemljopisne lokacije klijenata međunarodnog lanca brze hrane u statističke svrhe koju provodi izvršitelj obrade specijaliziran za te aktivnosti,
• obradu podataka o klijentima u okviru redovnog poslovanja osiguravajućeg društva ili banke,
• obradu osobnih podataka u okviru internetske tražilice radi bihevioralnog oglašavanja,
• obradu podataka (sadržaj, promet, lokacija) koju provode pružatelji telefonskih ili internetskih usluga.

Primjeri obrade koja nije opsežna obuhvaćaju:

• obradu podataka o pacijentu koju obavlja liječnik pojedinac,
• obradu osobnih podataka koji se odnose na kaznene osude i kažnjiva djela koju obavlja odvjetnik pojedinac.


3. Redovito i sustavno praćenje

Pojam „redovito i sustavno praćenje ispitanika” u Općoj uredbi o zaštiti podataka nije definiran, ali se u uvodnoj izjavi 24. spominje pojam „praćenje ponašanja ispitanika” kojim su jasno obuhvaćeni svi oblici praćenja i izrade profila na internetu, pa i za svrhe bihevioralnog oglašavanja. U toj uvodnoj izjavi je navedeno: „Kako bi se odredilo može li se aktivnost obrade smatrati praćenjem ponašanja ispitanika, trebalo bi utvrditi prati li se pojedince na internetu, među ostalim, mogućom naknadnom upotrebom tehnika obrade osobnih podataka koje se sastoje od izrade profila pojedinca, osobito radi donošenja odluka koje se odnose na njega ili radi analize ili predviđanja njegovih osobnih sklonosti, ponašanja i stavova.” 

Međutim, pojam praćenja nije ograničen na internetsko okruženje te bi se praćenje na internetu trebalo smatrati tek jednim od primjera praćenja ponašanja ispitanika.

Radna skupina iz članka 29. pojam „redovito praćenje” tumači na najmanje jedan od sljedećih načina:

• praćenje koje je trajno ili se provodi u određenim intervalima u određenom razdoblju,
• praćenje koje se opetovano provodi ili ponavlja u točno određeno vrijeme,
• praćenje koje se provodi stalno ili periodično.

Radna skupina iz članka 29. pojam „sustavno praćenje” tumači na najmanje jedan od sljedećih načina:

• praćenje koje se provodi u skladu s određenim sustavom,
• praćenje koje je prethodno dogovoreno, organizirano ili metodično,
• praćenje koje je dio općeg plana za prikupljanje podataka,
• praćenje koje se provodi kao dio strategije.

Primjeri djelatnosti koje se mogu smatrati redovitim i sustavnim praćenjem ispitanika: upravljanje telekomunikacijskom mrežom, pružanje telekomunikacijskih usluga, preusmjeravanje elektroničke pošte, marketinške aktivnosti temeljene na podacima, izrada profila i ocjena radi procjene rizika (npr. radi ocjene kreditnog boniteta, određivanja premije osiguranja, sprečavanja prijevara, otkrivanja pranja novca), praćenje lokacije, na primjer s pomoću mobilnih aplikacija, programi vjernosti, bihevioralno oglašavanje, praćenje podataka o općem stanju organizma, tjelesnoj kondiciji i zdravlju s pomoću uređaja koji se nose na tijelu, televizija zatvorenog kruga, povezani uređaji, npr. pametna brojila, pametni automobili, automatizacija doma itd.
  
Zaključno, a sukladno navodimo iz Vašeg upita, Vaše trgovačko društvo se kao osnovnom djelatnošću bavi poslovanjem nekretnina, točnije davanjem poslovnih prostora u zakup. Radi promocije svojih proizvoda i usluga prikuplja i obrađuje znatnu količinu osobnih podataka. Ispitanicima se šalje newsletter, koji se individualizira s obzirom na preference ispitanika, kako bi isti bili relevantniji za primatelje. Promociju vlastitih proizvoda i usluga putem newslettera možemo smatrati djelatnošću koja čini neodvojiv dio djelatnosti voditelja obrade ili izvršitelja obrade. Također, marketinške aktivnosti temeljene na podacima o ispitanicima (individualizirani newsletteri) mogu se smatrati redovitim i sustavnim praćenjem ispitanika.

Međutim, osim ako je očigledno da organizacija nije dužna imenovati službenika za zaštitu podataka, a što ovdje nije slučaj, obveza je voditelja obrade, dakle trgovačkog društva da provede internu analizu radi utvrđivanja je li potrebno imenovanje službenika za zaštitu podataka ili ne, te istu dokumentira kako bi mogli dokazati da su svi relevantni čimbenici primjereno uzeti u obzir. Naime, voditelj obrade je dužan provoditi odgovarajuće tehničke i organizacijske mjere kako bi osigurao i mogao dokazati da se obrada provodi u skladu s Općom uredbom.

 
 
  Natrag