KADA JE POTREBNO IMENOVATI SLUŽBENIKA ZA ZAŠTITU OSOBNIH PODATAKA (PREMA NOVOJ UREDBI - #GDPR)

Općom uredbom o zaštiti podataka (GDPR) određeni voditelji obrade i izvršitelji obrade dužni su imenovati službenika za zaštitu podataka. To će vrijediti za sva tijela javne vlasti i javna tijela (bez obzira na to koje podatke obrađuju) i za ostale organizacije čija je osnovna djelatnost sustavno i opsežno praćenje pojedinaca ili koje obrađuju posebne kategorije osobnih podataka u velikoj mjeri. Čak i kad se Općom uredbom o zaštiti podataka izričito ne zahtijeva imenovanje službenika za zaštitu podataka, za organizacije ponekad može biti korisno dobrovoljno imenovanje službenika za zaštitu podataka.

ODGOVORNOST ZA IMENOVANJE

Službenici za zaštitu podataka nisu osobno odgovorni u slučaju neusklađenosti s Općom uredbom o zaštiti podataka. U Općoj uredbi o zaštiti podataka jasno je navedeno da voditelj obrade ili izvršitelj obrade mora osigurati i moći dokazati da se obrada provodi u skladu s njezinim odredbama (članak 24. st.1)

Ovaj članak ne obrađuje slučajeve koji se odnose na državna tijela ili tijela javne vlasti.

POSTUPAK PRIJE IMENOVANJA

Preporučljivo je da voditelji obrade i izvršitelji obrade dokumentiraju interne analize provedene radi utvrđivanja je li potrebno imenovanje službenika za zaštitu podataka ili ne, kako bi mogli dokazati da su svi relevantni čimbenici primjereno uzeti u obzir.

Ako organizacija dobrovoljno imenuje službenika za zaštitu podataka, na njegovo se imenovanje, položaj i zadaće primjenjuju zahtjevi iz članaka od 37. do 39. kao da je imenovanje bilo obvezno.

Službenik za zaštitu podataka imenuje se za sve postupke obrade koje obavlja voditelj obrade ili izvršitelj obrade, bez obzira na to je li njegovo imenovanje obvezno ili dobrovoljno

TKO MORA IMENOVATI SLUŽBENIKA:

1. Društvo čija je osnovna djelatnost obrada osobnih podataka (primarna djelatnost – znači obrada osobnih podataka nije dodatna djelatnost) te koje provodi opsežnu obradu osobnih podataka, a u što su uključeni postupci „obrade velikog opsega kojima se nastoji obraditi znatna količina osobnih podataka na regionalnoj, nacionalnoj ili nadnacionalnoj razini i koji bi mogli utjecati na velik broj ispitanika i koji će vjerojatno dovesti do visokog rizika, primjerice zbog osjetljivosti, u kojima se u skladu s postignutom razinom tehnološkog znanja novom tehnologijom koristi u velikom opsegu, kao i na druge postupke obrade koji dovode do visokog rizika”. Međutim, u uvodnoj se izjavi izričito navodi da „obradu osobnih podataka ne bi trebalo smatrati opsežnom ako se odnosi na osobne podatke pacijenata ili klijenata pojedinih liječnika, zdravstvenih djelatnika ili odvjetnika”.

Pri određenju opsežne obrade potrebno je uzeti u obzir sljedeće čimbenike:

- broj predmetnih ispitanika, odnosno njihov konkretan broj ili njihov udio u relevantnom stanovništvu,

- obujam podataka i/ili opseg različitih podatkovnih stavki koje se obrađuju,

- trajanje ili trajnost aktivnosti obrade podataka,

- zemljopisni razmjer aktivnosti obrade.

2. Društva koja provode redovito i sustavno praćenje ispitanika – čime su obuhvaćeni svi oblici praćenja i izrade profila na internetu i šire, pa i za svrhe bihevioralnog oglašavanja

Pri određenju pojma REDOVITO praćenje potrebno je uzeti u obzir sljedeće čimbenike:

- praćenje koje je trajno ili se provodi u određenim intervalima u određenom razdoblju,

- praćenje koje se opetovano provodi ili ponavlja u točno određeno vrijeme,

- praćenje koje se provodi stalno ili periodično.

Pri određenju pojma SUSTAVNO redovito praćenje potrebno je uzeti u obzir sljedeće čimbenike:

- praćenje koje se provodi u skladu s određenim sustavom,

- praćenje koje je prethodno dogovoreno, organizirano ili metodično,

- praćenje koje je dio općeg plana za prikupljanje podataka,

- praćenje koje se provodi kao dio strategije.

ZAVRŠNO

U slučaju kad voditelj obrade ispunjava kriterije za obvezno imenovanje, to ne znači da je njegov izvršitelj obrade nužno dužan imenovati službenika za zaštitu podataka. Međutim, to bi se moglo smatrati dobrom praksom

Omogućeno je imenovanje jednog službenika za zaštitu podataka pod uvjetom da je službenik za zaštitu podataka „lako dostupan iz svakog poslovnog nastana”.

Sposobnost izvršavanja zadaća povjerenih službeniku za zaštitu podataka trebalo bi tumačiti u odnosu na njihove osobne kvalitete i znanja te u odnosu na njihov položaj u organizaciji. Na primjer, osobne bi kvalitete trebale obuhvaćati poštenje i visoku profesionalnu etiku.

Funkcija službenika za zaštitu podataka može se obavljati i na temelju ugovora o djelu sklopljenog s pojedincem ili organizacijom izvan organizacije voditelja obrade ili izvršitelja obrade. 

U svakom slučaju potrebno je još pričekati i donošenje novog Zakona o zaštiti osobnih podataka koji može propisati i druge uvjete ili slučajeve u kojima će biti nužno imenovati službenika za zaštitu osobnih podatala.

 

(Sastavljeno i objavljeno 27.11.2017.)