Službenik za zaštitu osobnih podataka


Službenik za zaštitu osobnih podataka


Općom Uredbom, koja se izravno i u cijelosti primjenjuje u svim državama članicama EU od 25. svibnja 2018. godine, predviđa se uspostava osuvremenjenog okvira za usklađivanje postupaka zaštite podataka u Europi koji se temelji na pouzdanosti. Brojne organizacije središnjom točkom tog novog pravnog okvira smatraju službenike za zaštitu podataka.

Čak i kad se Općom uredbom o zaštiti podataka izričito ne zahtijeva imenovanje službenika za zaštitu podataka, za organizacije ponekad može biti korisno dobrovoljno imenovanje službenika za zaštitu podataka. Radna skupina za zaštitu podataka iz članka 29. Direktive 95/46/EZ, kao i Agencija za zaštitu osobnih podataka, potiče takva dobrovoljna nastojanja.

Ako organizacija dobrovoljno imenuje službenika za zaštitu podataka, na njegovo se imenovanje, položaj i zadaće primjenjuju zahtjevi iz članaka od 37. do 39. Opće Uredbe kao da je imenovanje bilo obvezno.

Organizaciju koja nema zakonsku obvezu imenovati službenika za zaštitu podataka i koja ga ne želi imenovati dobrovoljno ništa ne sprečava da unatoč tomu zaposli osoblje ili vanjske konzultante čije su zadaće povezane sa zaštitom osobnih podataka. U tom je slučaju važno osigurati da ne bude nejasnoća u pogledu njihovih naziva, statusa, položaja i zadaća. Zato je potrebno u svim razmjenama obavijesti unutar društva te s tijelima za zaštitu podataka, ispitanicima i širom javnošću jasno dati do znanja da naziv radnog mjesta tog pojedinca ili konzultanta nije službenik za zaštitu podataka.

Službenik za zaštitu podataka imenuje se za sve postupke obrade koje obavlja voditelj obrade ili izvršitelj obrade, bez obzira na to je li njegovo imenovanje obvezno ili dobrovoljno.

Člankom 37. stavkom 2. Opće Uredbe grupi poduzetnika omogućeno je imenovanje jednog službenika za zaštitu podataka pod uvjetom da je službenik za zaštitu podataka „lako dostupan iz svakog poslovnog nastana”. Pojam dostupnosti odnosi se na zadaće službenika za zaštitu podataka kao točke za kontakt za ispitanike, nadzorno tijelo, ali i unutar organizacije s obzirom na to da je jedna od zadaća službenika za zaštitu podataka „informiranje i savjetovanje voditelja obrade ili izvršitelja obrade te zaposlenika koji obavljaju obradu o njihovim obvezama iz ove Uredbe”.

Za detalje oko potrebe imenovanja službenika za zaštitu osobnih podataka upućujemo Vas na dokument Radne skupine za zaštitu osobnih podataka iz članka 29. Direktive 95/46/EZ pod nazivom „Smjernice o službenicima za zaštitu podataka“, a koji možete pronaći na web stranici Agencije http://azop.hr/images/dokumenti/217/wp243rev01_hr.pdf.

Člankom 37., stavkom 1. Opće Uredbe propisano je da voditelj obrade i izvršitelj obrade imenuju službenika za zaštitu podataka u svakom slučaju u kojem: (a) obradu provodi tijelo javne vlasti ili javno tijelo, osim za sudove koji djeluju u okviru svoje sudske nadležnosti, (b) osnovne djelatnosti voditelja obrade ili izvršitelja obrade sastoje se od postupaka obrade koji zbog svoje prirode, opsega i/ili svrha iziskuju redovito i sustavno praćenje ispitanika u velikoj mjeri, ili (c) osnovne djelatnosti voditelja obrade ili izvršitelja obrade sastoje se od opsežne obrade posebnih kategorija podataka na temelju članka 9. i osobnih podataka u vezi s kaznenim osudama i kažnjivim djelima iz članka 10.

Jasno je da Vaša tvrtka nije tijelo javne vlasti niti javno tijelo. Gore smo već pretpostavili da se Vaše osnovne djelatnosti ne sastoje od opsežne obrade posebnih kategorija podataka na temelju članka 9. niti osobnih podataka u vezi s kaznenim osudama i kažnjivim djelima iz članka 10. Opće Uredbe. Također, za pretpostaviti je da se Vaše osnovne djelatnosti ne sastoje od postupaka obrade koji zbog svoje prirode, opsega i/ili svrha iziskuju redovito i sustavno praćenje ispitanika u velikoj mjeri.

Nadalje, člankom 24. Opće Uredbe propisano je da, uzimajući u obzir prirodu, opseg, kontekst i svrhe obrade, kao i rizike različitih razina vjerojatnosti i ozbiljnosti za prava i slobode pojedinaca, voditelj obrade provodi odgovarajuće tehničke i organizacijske mjere kako bi osigurao i mogao dokazati da se obrada provodi u skladu s ovom Uredbom. Te se mjere prema potrebi preispituju i ažuriraju. S time u vezi, osim ako je očigledno da organizacija nije dužna imenovati službenika za zaštitu podataka, Radna skupina iz članka 29. preporučuje da voditelji obrade i izvršitelji obrade dokumentiraju interne analize provedene radi utvrđivanja je li potrebno imenovanje službenika za zaštitu podataka ili ne, kako bi mogli dokazati da su svi relevantni čimbenici primjereno uzeti u obzir. Ta je analiza dio dokumentacije prikupljene u skladu s načelom pouzdanosti. Nju bi moglo zatražiti nadzorno tijelo te bi je prema potrebi trebalo ažurirati, na primjer ako voditelji obrade ili izvršitelji obrade poduzimaju nove aktivnosti ili pružaju nove usluge s popisa slučajeva iz članka 37. stavka 1. Opće uredbe.

 
 
  Natrag