15 49.0138 8.38624 arrow 0 arrow 0 4000 1 0 horizontal https://gdprinformer.com 300 0
GDPR Informer
GDPR Informer
Home / GDPR članci / Je li vam potreban DPO?
February 5, 2018

Je li vam potreban DPO?

Jedna od novih obaveza koje GDPR donosi je i imenovanje službenika za zaštitu podataka (DPO-a). No moraju li sve tvrtke imenovati DPO-a i postoje li iznimke? U ovome ćemo se članku pozabaviti tom tematikom.

Što je zapravo funkcija DPO-a?

Funkcija službenika za zaštitu podataka nova je funkcija koju propisuje GDPR. Tom se problematikom bavi Odjeljak 4. GDPR-a, u kojem se objašnjava uloga i zaduženja DPO-a.

DPO-i su osobe (mogu biti i postojeći zaposlenici) koji su uključeni u sva pitanja koja se tiču privatnosti unutar tvrtke. Zakonodavac DPO-a zamišlja kao stručnjaka na polju privatnosti i informacijskih tehnologija.

Neovisnost i profesionalnost

DPO mora biti neovisan i ne smije primati naredbe ni od voditelja ni od izvršitelja obrade, kojima je zabranjeno utjecati na aktivnosti DPO-a. Funkciju DPO-a mogu vršiti i vanjski suradnici i postojeći zaposlenici, pod uvjetom da su dovoljno obrazovani.

Tvrtke koje imenuju DPO-e trebale bi u obzir uzeti profesionalnost kandidata, mada ne postoje službeni uvjeti koji bi ikome branili obavljanje funkcije DPO-a. Premda DPO može biti zaposlenik, dozvoljeno je uposliti i vanjskog suradnika. Voditelj odnosno izvršitelj obrade o svakoj promjeni DPO-a mora obavijestiti nadležno nadzorno tijelo.

Službenicima bi trebalo osigurati dovoljno resursa (vremenskih, financijskih itd.) kako bi mogli efikasno obavljati svoj posao. Nikad ih se ne smije kažnjavati za obavljene aktivnosti, čak i ako one nisu po volji poslodavca. DPO je odgovoran izravno direktoru i menadžmentu, baš zbog toga što mora neovisno i nepristrano obavljati svoje aktivnosti.

Koji su zadaci DPO-a?

GDPR na DPO-e svaljuje dosta obaveza. Odgovorni su za informiranje i savjetovanje voditelja odnosno izvršitelja obrade i njihovih zaposlenika o dobroj praksi i implementaciji propisa iz GDPR-a. DPO-i će također nadzirati procjene rizika i obradu podataka ovisno o njihovoj povjerljivosti.

Naravno, DPO-i moraju vršiti konstantan nadzor kako bi na vrijeme uočili eventualne propuste ili slabosti u postupcima obrade. Pri tome smiju vršiti revizije, edukacije osoblja i razne druge aktivnosti podizanja svijesti o zaštiti podataka.

Stručni savjetnik

Na DPO-u je također i da pruža savjete i pomaže u sastavljanju procjena učinaka na zaštitu podataka. Odgovorni su i za komunikaciju s nadzornim tijelima i predstavljaju ‘kontaktnu točku’ kojoj se mogu obratiti i nadzorna tijela i pojedinci. Pojedincima se preporučuje da upite šalju, ako je moguće, izravno DPO-u.

DPO treba biti vezan ugovorom o tajnosti i ne smije odavati podatke o tvrtki trećim stranama. Dozvoljeno im je obavljati ostale funkcije u tvrtki, dok god to ne stvara sukob interesa. Ako dođe do povrede podataka, DPO treba biti osoba koja će to prva saznati.

Tko treba imenovati DPO-a?

Obavezu imenovanja DPO-a imaju organizacije koje se bave sustavnim prikupljanjem i obradom podataka u velikoj mjeri, osobito ako su te aktivnosti česte (što je inače slučaj).

Prema odgovoru Agencije za zaštitu osobnih podataka na naš upit, obveznci imenovanja DPO-a su voditelji i izvršitelji obrade u slučajevima:

  • da su tijelo javne vlasti ili javno tijelo, osim za sudove kad djeluju u sudskoj nadležnosti
  • da se osnovne djelatnosti voditelja ili izvršitelja sastoje od postupaka obrade koji zahtijevaju sustavno praćenje ispitanika u velikoj mjeri
  • da se osnovne djelatnosti voditelja ili izvršitelja obrade sastoje od opsežne obrade posebnih kategorija podataka na temelju čl. 9. i osobnih podataka u vezi s kaznenim osudama i kaznenim djelima iz čl. 9.

Dakle, u slučaju bilo kojeg oblika opsežne obrade osjetljivih podataka (posebnih kategorija podataka kao što su rasa, spol, zdravstveni podaci, biometrijski podaci itd.) imenovanje DPO-a također je u načelu obavezno. Čekamo nadzorna tijela da se oglase o potrebi imenovanja čak i u slučaju obrada podataka zaposlenika i kod malih tvrtki (npr. podaci o bolovanju i sl.); za sada je odredba  o “opsežnoj obradi” podložna interpretaciji. Vjerojatno će zdrav razum prevagnuti, i od malih se tvrtki neće tražiti imenovanje DPO-a (osim ako se bave npr. medicinskom djelatnosti i sl., jer u tom slučaju obrada posebnih kategorija podataka predstavlja osnovnu djelatnost).

Prestaje važiti odredba iz postojećeg zakona koji propisuje da tvrtke s više od 20 zaposlenika moraju imenovati službenika za zaštitu osobnih podataka.

Službenika za zaštitu podataka određujete posebnom odlukom, neovisno o ugovoru o radu, a tu odluku morate dostaviti Agenciji. Potiče se imenovanje DPO-a čak i ako to niste obavezni učiniti, ali ako to napravite, na vas se primjenjuju svi propisi kao da je imenovanje bilo obavezno.

Female DPO at the workplace

Ako niste sigurni, zaposlite DPO-a.

DPO-ima je dozvoljeno da svoje usluge istovremeno pružaju većem broju tvrtki, uzevši u obzir količinu posla koju imaju. Manje tvrtke neće imati dovoljno posla da opravdaju zaposlenje DPO-a na puno radno vrijeme, dok će velike tvrtke vjerojatno morati uposliti čitave timove stručnjaka.

Kao što ste mogli saznati do sada, sami uvjeti nisu suviše precizno određeni. Nije u potpunosti jasno što se smatra opsežnom obradom. To je problematično, ali općenito gledano, ako niste sigurni svakako zaposlite DPO-a. Pod pojam opsežne obrade uzima se ne samo količina, nego i učestalost obrade te njezina važnost za vaše poslovanje.

Ako ne imenujete DPO-a, a ispostavi se da ste bili obvezni to učiniti, može vas se kazniti s do 10 milijuna eura, odnosno s do 2 % ukupnog godišnjeg prihoda za prethodnu godinu, štogod je veće. Očito je dakle da nije pametno štedjeti na DPO-u.

Ako ipak utvrdite da niste dužni imenovati DPO-a, Agencija preporučuje da dokumentirate takve interne analize koje ćete na zahtjev dostaviti nadzornom tijelu.

Isplativo ulaganje?

DPO ne predstavlja čisti trošak, jer će, ako dobro obavlja svoj posao, administraciji uštedjeti dosta vremena koje će moći uložiti u produktivnije poslove. Zbog toga je službena preporuka svakako zaposliti DPO-a, čak i ako vam nije zakonski potreban. Kvalitetno educiran DPO može vam uštedjeti na tisuće eura koje biste inače potrošili na kazne zbog nepoznavanja zakona.

DPO-i: (Gotovo) obavezni

Zbog svega što smo naveli, očekujemo da će DPO-i naći svoje mjesto u većini tvrtki – i to vjerojatno iz straha od velikih kazni. Ipak s vremenom će naučiti cijeniti prednosti koje dobar DPO tvrtkama može donijeti, od poboljšanja postupaka obrade podataka, pa sve do uštede novca.

U svakom slučaju, DPO će smanjiti rizik od povrede podataka i nepažljivog rukovanja podacima. Jedna jedina povreda može vas koštati više nego cjelogodišnja plaća DPO-a, tako da vjerujemo da oko izbora više nema dileme. Ako već službeno ne imenujete DPO-a zbog obaveza koje to sa sobom nosi, svakako potražite savjet stručnjaka koji će vam pomoći u zaštiti osobnih podataka, što je i jedna od preporuka Agencije.

Članak dopunjen 23. travnja mišljenjem AZOP-a i podacima o istome.

GDPR Informer
Get in touch with us now!
Email address is required.
Email address you have entered is inccorect.
You should probably write something down.
Your email will be used only for communication regarding your request. We do not send any marketing and promotional emails. For more details, read our Privacy policy.
Crionis
Close
Success
Thank you for your interest, we will answer you shortly!
Success
We apologize, there seems to be a problem.