Člankom 38. stavkom 3. Opće uredbe o zaštiti osobnih podataka propisano je:

" Voditelj obrade i izvršitelj obrade osiguravaju da službenik za zaštitu podataka ne prima nikakve upute u pogledu izvršenja tih zadaća. Voditelj obrade ili izvršitelj obrade ne smiju ga razriješiti dužnosti ili kazniti zbog izvršavanja njegovih zadaća. Službenik za zaštitu podataka izravno odgovara najvišoj rukovodećoj razini voditelja obrade ili izvršitelja obrade."

Navedena odredba trebala bi osigurati službenicima za zaštitu podataka neovisnost i samostalnost u obavljanju njihovih zadaća. Konkretno, od voditelja obrade/izvršitelja obrade zahtijeva se da osigura da službenik za zaštitu podataka „ne prima nikakve upute u pogledu izvršenja svojih zadaća”. U uvodnoj izjavi 97. navodi se da bi se "nužna razina stručnog znanja trebala utvrditi posebno u odnosu na postupke obrade podataka koji se provode te na zaštitu koju za obrađene osobne podatke zahtijeva voditelj obrade ili izvršitelj obrade. Takvi službenici za zaštitu podataka, bez obzira jesu li zaposlenici voditelja obrade, trebali bi moći obavljati svoje dužnosti i zadaće na neovisan način."

Navedene odredbe impliciraju da se službenicima za zaštitu podataka, koji ispunjavaju svoje zadaće u skladu s člankom 39. Uredbe ne smiju davati upute o načinu rješavanja predmeta, na primjer, o ishodu koji bi trebalo ostvariti, načinu vođenja istrage o pritužbi ili o tomu treba li tražiti savjet nadzornog tijela. Nadalje, ne smije ih se uputiti da zauzmu određeno stajalište o predmetu koji se odnosi na zakon o zaštiti podataka, na primjer, na određeno tumačenje zakona.

Činjenica što službenici za zaštitu podataka svoje zadaće obavljaju samostalno i neovisno ne znači da njihove ovlasti odlučivanja premašuju njihove zadaće propisane u članku 39. Uredbe. Voditelj obrade ili izvršitelj obrade i dalje su odgovorni za pravnu usklađenost glede zaštite osobnih podataka, te službenik mora imati mogućnost dokazati ako voditelj obrade ili izvršitelj obrade donese odluke nespojive s Općom uredbom o zaštiti podataka i njegovim savjetima, pa mu se u tom pogledu treba omogućiti davanje suprotnog mišljenja kao i obavještavanje najviše rukovodeće razine o takvim propustima. U tom pogledu člankom 38. stavkom 3. predviđeno je da službenik za zaštitu podataka „izravno odgovara najvišoj rukovodećoj razini voditelja obrade ili izvršitelja obrade”. Izravnom odgovornošću prema najvišoj rukovodećoj razini osigurava se da najviše rukovodstvo (npr. uprava) bude obaviješteno o tome koji je savjet i koje preporuke službenik za zaštitu podataka dao u okviru svoje zadaće informiranja i savjetovanja voditelja obrade ili izvršitelja obrade. Sastavljanje godišnjeg izvješća o aktivnostima službenika za zaštitu podataka koje se dostavlja najvišoj rukovodećoj razini još je jedan primjer izravnog odgovaranja najvišoj rukovodećoj razini.

Kažnjavanje službenika zbog savjesnog obavljanja svoje dužnosti je zabranjeno, odnosno zabranjeno je određivanje kazni kao posljedica obavljanja zadaća službenika.

Primjerice kada službenik za zaštitu podataka smatra da će određena obrada vjerojatno izazvati visok stupanj rizika pa uslijed navedenog savjetuje voditelju obrade ili izvršitelju obrade provođenje ocjene učinka na zaštitu podataka, no voditelj obrade ili izvršitelj obrade odbiju provođenje takve procjene, službenika za zaštitu podataka u toj se situaciji ne može razriješiti dužnosti samo zato što je ponudio taj savjet. U takvim situacijama dovoljno je izricanje prijetnje kaznom, ili se kazna može sastojati od izostanka ili odgode promaknuća, onemogućavanja napredovanja u karijeri, uskraćivanja pogodnosti koje dobivaju ostali zaposlenici i sl.

Nažalost Uredbom nije propisano kako i kada se službenik za zaštitu podataka može razriješiti dužnosti ili zamijeniti drugom osobom.

(Sastavljeno i objavljeno 06.12.2017.)