LESSON 4

Koje su dužnosti službenika za zaštitu osobnih podataka?

Data Protection Officer (DPO), službenik je za zaštitu podataka čija je osnovna djelatnost briga oko usklađenosti organizacije s propisima GDPR Uredbe. Bilo kakva obrada osobnih podataka, bilo osoblja tvrtke, kupaca ili davatelja usluga treba biti u skladu sa svim primijenjenim pravilima o zaštiti podataka te je glavna funkcija službenika upravo briga o navedenom aspektu poslovanja. Dakle, službenik za zaštitu podataka treba obratiti pažnju i na odjele ljudskih potencijala.

Službenik za zaštitu osobnih podataka također surađuje s nadležnim institucijama kada je to propisano, potrebno i nužno te između ostalog prati nova mišljenja, preporuke, izmjene i dopune propisa, odluke vodećih nadzornih tijela, smjernice i preporuke tijeka na razini EU, a sve kako bi poslovanje društva bilo u skladu sa svim novim propisima i/ili izmjenama istih. Izražene komunikacijske vještine te pravno znanje službenika je izuzetno bitno zbog primjerice, eventualne prevencije nadzora, pravilnog postupanje s pritužbama i zahtjevima i/ili radi postupanja u slučaju data breach-a. 

Na razini organizaije najbitnije zadaće službenika polaze od funkcije organizacije, implementacije i nadgledanja. Naime, potrebno je nadzirati samu obradu podataka te dati savjete i preporuke društvu o eventualnim novim tumačenjima i primjeni pravnih pravila o zaštiti osobnih podataka kako bi uz poštivanje prava o zaštiti osobnih podataka poslodavac bio odgovorniji. Bilo kakvo nepoštivanje važećih pravila o zaštiti podataka unutar organizacije treba biti prevenirano, ukazano i objašnjeno zajedno sa posljedicama odgovornoj osobi. Naravno, postoje i druge procedure postupanja o kojima detajno govorimo na našim edukacijama. Službenik za zaštitu podataka mora znati koji su njegovi prioriteti, mora imati godišnje planove aktivnosti i svoju funkciju treeba shvattiti kranje ozbiljno.

Vođenje brige o dokumentaciji također predstavlja jedan od važnih aspekata djelovanja. Analiza postupaka obrade osobnih podataka i mapiranje jedna su od glavnih dužnosti službenika. U takvu kategoriju spadaju i strateški dokumenti, pravilnici i drugi interni akti, evidencije aktivnosti obrade i drugi zapisi, procedure i ugovorne obveze kao i obavijesti, obrasci, forme i zapisnici. Popis koji je naveden nikako nemojte shvatiti kao konačan.

Također, potrebno je osigurati informiranost samih ispitanika i upoznavanje s njihovim pravima kako bi bili svjesni važnosti obrade njihovih podataka. Bilo kakvo nepoštivanje načela osobnih podataka ili povreda istih spada u obujam posla službenika za zaštitu podataka te se isti bavi upitima i pritužbama na zahtjev ustanove ili druge pravne ili fizičke osobe, čak i na zahtjev voditelja obrade.

U slučajevima povrede osobnih podataka, službenik ima ˝istražni autoritet˝ te tako može pristupiti svim osobnim podacima i procesima obrade te pružiti informacije ispitanicima o stanju istrage. U samom procesu službenik slijedi propisane procedure u slučaju povrede te poduzima tehničke i organizacijske sigurnosne mjere kako bi prevenirale moguće povrede.

Kako to izgleda grafički:

Službenik za zaštitu podataka sve te aktivnosti mora provoditi i u odjelu ljudskih resursa, odjelu marketinga i prodaje itd.; i to na način da postupanja prilagodi tom odjelu. Takav modus ponašanja preslikat će na svaki odjel, upoznati se sa svim procesima i situacijama te dalje nastaviti sa svojim obvezama.

Kako i kad ići u reviziju izvršitelja obrade?

Svaki voditelj obrade ima mnoštvo ugovora koje treba dobro analizirati.

Što je s ugovorima s vašim suradnicima?

Prilikom sklapanja temeljnih ugovora i ugovaranja raznih poslova s drugim tvrtkama nužno je voditi računa o njihovom stupnju implementacije GDPR-a.

Dakle, osim što morate imati sklopljen temeljni ugovori nužno je vidjeti postoji li potreba sklapanja i ugovora o obradi i dijeljenju podataka. Službenik sve to u odjelu ljudskih potencijala mora provjeriti jer primjerice možda radniku/ radnicima plaćate rekreativnu aktivnost, psihologa i sl.

Kada je ugovor potreban? Ukratko…

•         Kad god voditelj obrade ostvaruje poslovnu suradnju sa izvršiteljem obrade (treća osoba koja obrađuje osobne podatke u ime voditelja obrade) mora imati pisani ugovor.

•         Slično tome, ako izvršitelj obrade zapošljava drugog izvršitelja obrade, mora imati pisani ugovor.

Ugovori također moraju sadržavati minimalno sljedeće uvjete, koji zahtijevaju od izvršitelja obrade da:

– djeluje samo u skladu sa pisanim uputama voditelja obrade;

– da osigura da osobe koje obrađuju podatke podliježu obvezi sklapanja izjave o povjerljivosti te ih se obvezuje na čuvanje poslovne tajne;

– da poduzme odgovarajuće mjere kako bi se osigurala sigurnost prerade;

– da uključe podizvršitelje uz prethodnu suglasnost voditelja obrade i to pisanim putem;

– da pomaže voditelju obrade u pružanju pristupa podacima ispitanicima i omogućavanju ispitanicima da ostvaruju svoja prava prema GDPR-u;

– da pomaže voditelju obrade u ispunjavanju svojih obveza za GDPR u odnosu na sigurnost obrade, obavještavanje o kršenjima osobnih podataka i procjenu utjecaja na zaštitu podataka;

– da izvrše obveze i/ili vrate sve osobne podatke voditelju obrade, ukoliko se isto zahtjeva odredbama ugovora; i

– da pruži informacije ukoliko to od njega zahtjeva revizija i inspekcija, da pruži voditelju obrade sve informacije potrebne kako bi se osiguralo da oba zadovoljavaju svoje obveze iz članka 28. te odmah obavijeste voditelja obrade ako se zatraži da poduzme radnje koje su u suprotnosti s GDPR-om ili drugim zakonom o zaštiti podataka EU ili država članica.

Koje odgovornosti ima voditelj obrade?

        Voditelj obrade mora koristiti samo izvršitelje obrade koji mogu jamčiti da će ispuniti zahtjeve GDPR-a i zaštititi prava nositelja podataka.

        Voditelj obrade mora osigurati da se potpiše ugovor koji udovoljava zahtjevima GDPR-a.

        Voditelji obrade moraju osigurati dokumentirane upute za izvršitelje obrade koji će ih pratiti.

        Voditelji obrade ostaju izravno odgovorni za poštivanje svih aspekata GDPR-a i za dokazivanje sukladnosti. Ako se to ne postigne, oni mogu biti dužni platiti odštetu u sudskom postupku ili biti podvrgnuti novčanim kaznama ili drugim kaznama ili korektivnim mjerama.

Koje odgovornosti ima izvršitelj obrade?

        Izvršitelj obrade mora djelovati samo po dokumentiranim uputama voditelja obrade.

        Ako izvršitelj obrade odredi svrhu i sredstva obrade (umjesto da djeluje samo prema uputama voditelja obrade), tada će se smatrati voditeljem i imat će jednaku odgovornost kao voditelj obrade.

        Osim ugovornih obveza prema voditelju obrade, po GDPR-u izvršitelj obrade ima i sljedeće izravne odgovornosti:

–         Ne smije angažirati podizvršitelja bez prethodnog pismenog odobrenja voditelja obrade podataka;

–         Mora surađivati s nadzornim tijelima (kao što je AZOP);

–         Mora osigurati sigurnost njezine obrade;

–         Mora voditi evidenciju o aktivnostima obrade;

–         Mora prijaviti oštećenja osobnih podataka voditelju obrade podataka;

–         Mora zaposliti službenika za zaštitu podataka; i

–         Mora imenovati (pisano) predstavnika unutar Europske unije, ako je potrebno.

        Ako izvršitelj obrade ne ispunjava bilo koju od ovih obveza ili djeluje izvan ili protiv uputa voditelja obrade, onda je dužan platiti naknadu štete u sudskom postupku ili biti podvrgnut novčanim ili drugim kaznama ili korektivnim mjerama.

        Ako izvršitelj obrade koristi podizvršitelja, on će, kao izvorni izvršitelj obrade, i dalje biti izravno odgovoran voditelju obrade za obavljanje podizvršiteljevih obveza.

Koje odgovornosti ima voditelj obrade prilikom odabira izvršitelja obrade?

Voditelj obrade mora provjeriti je li izvršitelj obrade nadležan za obradu osobnih podataka u skladu sa svim zahtjevima GDPR-a.

Kako bi ispunio zahtjeve koje pred njega stavlja GDPR i provjerio koristi li samo izvršitelje obrade koji mogu jamčiti da ispunjavaju zahtjeve GDPR-a voditelj obrade mora prije samog potpisivanja ugovora o obradi i dijeljenju podataka provjeriti točnost navoda i stupanj implementiranosti GDPR-a od strane izvršitelja. Ukoliko se voditelj obrade može zadovoljiti sa svim može pristupiti i sklapanju ugovora o obradi i dijeljenju podataka. U potonjem slučaju, stupanj implementiranosti provjerit će u sklopu revizije minimalno godinu dana nakon sklapanja ugovora o obradi i dijeljenju.

Ukoliko se voditelj obrade ne može zadovoljiti stupnjem implementacije izvršitelja obrade tada ili mora zahtijevati da se implementiraju zahtjevi u određenom roku te protekom tog roka to i provjeriti ili ne angažirati izvršitelja za kojega ne može jamčiti da je adekvatno implementirao sve zahtjeve zaštite osobnih podataka.

Konačno ovu temu svakako treba završiti pitanjem je li vaš službenik za zaštitu podataka izvršio sve aktivnosti i zna li na koji način svaku od aktivnosti prilagoditi pojedinom odjelu? Također, jesu li pregledani svi temeljni ugovori, sklopljeni ugovori o obradi i dijeljenju podataka koji zadovoljavaju zahtjevima GDPR-a, a nisu samo prepisane odredbe iz propisa? Je li napravljen audit izvršitelja obrade?

Kako izgleda revizija izvršitelja obrade u praksi?

Dođite na našu edukaciju ˝Kako biti uspješan službenik˝ i sve ćete saznati.

Edukacija se održava u tri termina, individuliziran je pristup uz mnoštvo materijala i praktičnih vježbi.

Ukoliko ste zainteresirani javite nam se na ured@presido.hr