GDPR ili Opća uredba o zaštiti osobnih podataka donijela je vrlo zahtjevne promjene za brojne tvrtke. Glavni cilj uredbe je unaprijediti zaštitu osobnih podataka na području čitave EU u skladu s aktualnim izazovima. Jedna od važnijih obveza koje je GDPR donio za organizacije i tvrtke je imenovanje službenika za zaštitu osobnih podataka ili DPO-a. (eng. – data protection officer). Imenovanje DPO-a može biti posljedica obveze ili samo racionalna poslovna odluka, no tko može biti DPO?
Iako je od stupanja GDPR-a na snagu prošlo više od godinu dana, ovo pitanje i dalje muči njegove brojne obveznike primjene. To je ujedno i jedno od najčešćih pitanja koje dobivamo od naših klijenata. Upravo zato odlučili smo pojasniti osnovne pojmove vezane uz imenovanje službenika za zaštitu osobnih podataka i kvalifikacije koje bi trebala posjedovati osoba koja će obavljati te poslove.
Na koga se odnosi obveza imenovanja DPO-a?
Obzirom da se odredbe GDPR-a odnose na sve poslovne subjekte koji pohranjuju ili obrađuju osobne podatke, obvezu imenovanja DPO-a danas ima širok spektar organizacija i tvrtki. Zato, prije nego odgovorimo na pitanje tko može biti DPO, dobro je definirati tko i kada mora imenovati DPO-a.
Prije svega, DPO-a tj. službenika za zaštitu osobnih podataka potrebno je imenovati kada se osnovne djelatnosti voditelja ili izvršitelja obrade sastoje od postupaka obrade koji, zbog svoje prirode, opsega i/ili svrha, zahtijevaju redovno i sustavno praćenje ispitanika u velikoj mjeri. Primjera radi, takve postupke obrade osobnih podataka, a time i potrebu imenovanja DPO-a, susrećemo u djelatnostima ispitivanja tržišta, turizma i internetske prodaje.
Nadalje, organizacije i tvrtke su dužne imenovati DPO-a i kada osnovne djelatnosti voditelja i izvršitelja obrade obuhvaćaju opsežne obrade posebnih kategorija podataka iz članka 9. Opće uredbe (zdravstveni podaci, vjerska pripadnost, političko opredjeljenje, članstvo u sindikatu itd.) ili, što je u praksi rjeđi slučaj, osobnih podataka vezanih uz kaznenu ili prekršajnu osuđivanost, sukladno članku 10. GDPR-a.
Obvezu imenovanja DPO-a imaju i tijela javne vlasti te javna tijela, bez obzira na to koju vrstu podataka obrađuju.
Međutim, službenika za zaštitu osobnih podataka iznimno je korisno imenovati čak i kada to GDPR izričito ne zahtijeva. Na takav način tvrtka ili organizacija značajno pridonosi zaštiti osobnih podataka koju provodi i istovremeno razvija okružje povjerenja, sigurnosti te odgovornosti za dobrobit klijenata, jer znaju da im je privatnost zaštićena. Vidljiva usklađenost s propisima za zaštitu podataka je i općeprihvaćeni standard u poslovanju te dokaz društvene odgovornosti.
Koje poslove obavlja službenik za zaštitu podataka- DPO?
Postupak imenovanja službenika za zaštitu osobnih podataka ili DPO-a te njegove obveze jasno su definirani odredbama GDPR-a, točnije člancima 37. do 39. Da pojasnimo, riječ je o poslovima koji zahtijevaju specifične stručne kvalifikacije, neovisnost pri obavljanju posla, sposobnost za izvršavanje svih obveza iz članka 39. GDPR-a te posebno stručno znanje o pravnom okviru i praksama iz područja zaštite osobnih podataka.
Ukoliko unutar vaše tvrtke ili organizacije postoji osoba koja ispunjava ove kriterije, svakako razmislite o njenom daljnjem usavršavanju te nadogradnji postojećeg stručnog znanja u vidu individualnog savjetovanja.
U slučaju da vaša tvrtka ili organizacija ipak ne raspolaže zaposlenicima kvalificiranim za funkciju DPO-a, financijski je isplativije angažirati stručnjaka za ovo područje. Naime, nestručno pristupanje složenim prilagodbama i zahtjevima GDPR-a često dovodi do neželjenih propusta i sankcija. Obzirom na visinu kazni koje mogu iznositi i do 20 milijuna eura ili 4 % ukupnog godišnjeg prometa u prethodnoj godini, ovisno što je u konkretnom slučaju veće, takav scenarij sigurno želite izbjeći.
Tko može biti DPO?
Mnogi naši klijenti su suočeni sa izazovima koje donosi postupak odabira i imenovanja službenika za zaštitu osobnih podataka.
Ispravnim odabirom stručnjaka koji će obavljati zahtjevne poslove zaštite osobnih podataka, vi se možete posvetiti svom core businessu, znajući da ste pitanje zaštite osobnih podataka prepustili u prave ruke. Upravo zato, sastavili smo korisne smjernice koje će vam pomoći pri definiranju odgovora na pitanje tko može biti DPO unutar vaše tvrtke ili organizacije, odnosno jesu li vam ipak potrebne usluge stručnjaka za ovo područje.
U dosadašnjoj praksi se pokazalo da kvalitetan DPO može biti osoba koja istovremeno poznaje pravni okvir i recentnu praksu zaštite osobnih podataka, konkretne poslovne procese obveznika primjene GDPR-a, rad informacijskih sustava, tehničke i organizacijske mjere zaštite podataka te postupak procjene i upravljanja rizicima. Zašto je tako? Zahvaljujući stručnom znanju i iskustvu te razumijevanju konkretnih poslovnih procesa i okružja u kojemu se oni odvijaju, pravni stručnjaci za zaštitu osobnih podataka trebaju biti u mogućnosti na jednostavan način riješiti vaše praktične probleme vezane uz zaštitu osobnih podataka. Upravo stoga je preporučljivo da se za DPO-a imenuje osoba koja, pored svega navedenog, raspolaže i vještinama planiranja, implementacije i održavanja usklađenosti tvrtke ili organizacije sa odredbama GDPR-a.
Važno je istaknuti da posao službenika za zaštitu osobnih podataka ili DPO-a podrazumijeva redovno informiranje i savjetovanje menadžmenta te edukaciju zaposlenika o obvezama koje nalažu GDPR i drugi pravni propisi koji reguliraju ovo područje. Također, DPO ima ključnu ulogu u suradnji sa Agencijom za zaštitu osobnih podataka kao nadzornim tijelom, redovno komunicira i surađuje sa Agencijom te pruža potrebne informacije u vezi obrade podataka.
S obzirom na tražene kvalifikacije i opseg poslova, prethodno navedene zahtjeve najlakše ispunjavaju pravnici s prethodnim iskustvom rada na području zaštite osobnih podataka (prema ranijim propisima), kao i s barem elementarnim poznavanjem informacijske sigurnosti i upravljanja rizicima. Takve osobe će kao DPO-i, uz dodatno usavršavanje na spomenutim područjima, najprije biti u mogućnosti odgovoriti na potrebe koje GDPR postavlja pred vašu tvrtku odnosno organizaciju.
U slučaju da zapošljavate pravne stručnjake koji se do stupanja na snagu GDPR-a nisu susretali sa zaštitom osobnih podataka, preporučljivo je organizirati njihovu izobrazbu i savjetovanje od strane stručnjaka za zaštitu osobnih podataka. Uz edukaciju iz GDPR-a prilagođenu vašem poslovanju i povremenu stručnu pomoć prilikom uspostavljanja sustava zaštite osobnih podataka unutar vaše tvrtke odnosno organizacije, postojeći pravnici će biti u mogućnosti pružiti adekvatnu podršku u svim tekućim poslovima koji uključuju zaštitu osobnih podataka.
Konačno, u slučaju da vaša tvrtka odnosno organizacija nema stalnu potrebu za pravnim stručnjakom odnosno ne zapošljava pravnika, oportuno je poslove zaštite osobnih podataka povjeriti vanjskom stručnjaku, koji će svoj angažman prilagoditi vašim poslovnim potrebama.
Ostali korisni savjeti vezani uz poslove DPO-a
Ukoliko još uvijek niste imenovali službenika za zaštitu podataka unutar vaše tvrtke ili organizacije, evo još nekoliko savjeta koji će pomoći;
- ukoliko je voditelj obrade ili izvršitelj obrade podataka javno tijelo ili tijelo javne vlasti, može se imenovati jedan DPO za nekoliko takvih tijela, razmjerno veličini i organizacijskoj strukturi tih tijela.
- grupa poduzetnika (kako je ista definirana Uredbom) može imenovati jednog zajedničkog DPO-a i na taj način istovremeno ostvariti znatne uštede i pojednostaviti zaštitu osobnih podataka
- ako vaša tvrtka ili grupa ne raspolaže kvalificiranim zaposlenicima koji mogu obavljati poslove DPO-a, Uredba dopušta korištenje vanjskih pružatelja usluga. Prednosti takvog rješenja su višestruke.
Zanima vas je li vaš izbor kako popuniti poziciju DPO-a proveden u skladu s pravilima GDPR-a? Trebate stručnu pomoć ili informacije vezane uz zaštitu osobnih podataka? Nemojte više čekati. Obratite nam se sa povjerenjem, a naši stručnjaci će riješiti svaki vaš problem.