Trebam li imenovati službenika za zaštitu podataka?

Odgovorite na pitanja putem našeg interaktivnog dijagrama kako biste saznali odgovor na ovo pitanje!

*Sudovi koji djeluju u sudbenom svojstvu su iznimka !

Obrađujem osjetljive podatke ili podatke koji se odnose na kaznene osude i kažnjiva djela

Činim to u velikim razmjerima.

Provodim redovito i sustavno praćenje pojedinaca

Moje osnovne djelatnosti zahtijevaju obradu osjetljivih podataka
ili podataka koji se odnose na kaznene osude i kažnjiva djela

Činim to u velikim razmjerima.

Moje osnovne aktivnosti zahtijevaju redovito i sustavno praćenje

Trebam li imenovati službenika za zaštitu podataka?

Da, imenovanje službenika za zaštitu podataka je obavezno

Trebam li imenovati službenika za zaštitu podataka?

Ne, imenovanje službenika za zaštitu podataka nije obavezno.
Međutim, možete ga imenovati dobrovoljno. To je poželjno.

Što je službenik za zaštitu podataka i treba li vaša organizacija jednog?

Što je DPO i što radi?

Službenik za zaštitu podataka (dalje u tekstu „DPO”) stručnjak je za zaštitu podataka koji savjetuje o usklađenosti sa zaštitom podataka unutar organizacije.

Službenik za zaštitu podataka mora biti primjereno i pravodobno uključen u sva pitanja koja se odnose na zaštitu osobnih podataka.

U skladu s Općom uredbom o zaštiti podataka zadaće su službenika za zaštitu podataka barem sljedeće:

  • informirati i savjetovati organizaciju i njezine zaposlenike o usklađenosti sa zaštitom podataka;
  • praćenje usklađenosti sa zaštitom podataka;
  • pružanje savjeta o zahtjevima u vezi s procjenom učinka na zaštitu podataka;
  • djelovati kao kontaktna točka za tijelo za zaštitu podataka i surađivati s tim tijelom za zaštitu podataka;
  • djelovati kao kontaktna točka za pojedince.

Prisutnost službenika za zaštitu podataka općenito se preporučuje ako se donose odluke koje utječu na zaštitu podataka. Odmah se mora savjetovati i sa službenikom za zaštitu podataka nakon što dođe do povrede podataka ili nekog drugog incidenta.

U praksi voditelj obrade podataka ili izvršitelj obrade često dodjeljuju službeniku za zaštitu podataka zadaću vođenja evidencije o aktivnostimaobrade.

Treba li mojoj organizaciji službenik za zaštitu podataka?

Imenovanje službenika za zaštitu podataka obvezno je u sljedeća tri slučaja:

  • organizacija je tijelo javne vlasti koje provodi obradu osobnih podataka;
  • osnovne aktivnosti organizacije sastoje se od redovitog i sustavnog praćenja pojedinaca u velikim razmjerima, na primjer geolokacije putem mobilne aplikacije ili nadzora trgovačkih centara i javnih prostora putem CCTV-a;
  • osnovne aktivnosti organizacije sastoje se od opsežne obrade osjetljivih podataka.

Pojmovi „osnovne aktivnosti”, „redovito i sustavno praćenje” i „veliki opseg” ključni su za utvrđivanje treba li organizacija imenovati službenika za zaštitu podataka.

„Osnovne aktivnosti” znači da su postupci obrade ključni za postizanje ciljeva voditelja obrade ili izvršitelja obrade. To uključuje i sve aktivnosti u kojima obrada podataka čini neraskidivi dio aktivnosti voditelja obrade ili izvršitelja obrade.

 

„Veliki opseg” ovisi o različitim čimbenicima, kao što su količina obrađenih podataka, broj dotičnih pojedinaca – bilo kao određeni broj ili kao udio relevantne populacije, trajanje i zemljopisno područje obrade.

„Redovito i sustavno praćenje” uključuje sve oblike praćenja i profiliranja na internetu, uključujući za potrebe bihevioralnog oglašavanja. Međutim, pojam praćenja nije ograničen na internetsko okruženje.

U praksi

  • Osnovne djelatnosti

Na primjer, osnovna svrha klinike je pružanje zdravstvenih usluga pojedincima. U tom bi se slučaju obrada zdravstvenih podataka, kao što su zdravstveni kartoni pacijenata, trebala smatrati jednom od temeljnih aktivnosti organizacije.

Međutim, sve organizacije provode određene popratne aktivnosti, na primjer plaćanjem svojih zaposlenika ili provođenjem standardnih informatičkih potpornih aktivnosti. To su primjeri potrebnih potpornih funkcija za temeljnu djelatnost ili osnovnu djelatnost organizacije. Iako su te djelatnosti nužne ili ključne, obično se smatraju pomoćnim funkcijama, a ne osnovnom djelatnošću.

 

  • Velikih razmjera

Primjeri opsežne obrade uključuju, na primjer:

  1. obradu podataka o pacijentu u okviru svakodnevnih aktivnosti bolnice;
  2. obradu podataka o klijentima u kontekstu svakodnevnih aktivnosti osiguravajućeg društva ili banke;
  3. obradu u statističke svrhe trenutačnih podataka o lokaciji kupaca u međunarodnom lancu brze hrane od strane podugovaratelja specijaliziranog za takve usluge;
  4. obrada osobnih podataka za bihevioralno oglašavanje od strane pretraživača;
  5. obrada podataka (sadržaj, protok, lokacija) od strane pružatelja telefonskih i internetskih usluga.

Primjeri obrade koji se ne bi smatrali opsežnima:

  1. obradu podataka o pacijentu od strane jednog liječnika opće prakse;
  2. obrada osobnih podataka koji se odnose na osude i kažnjiva djela od strane pojedinačnog odvjetnika.

 

  • Redovito i sustavno praćenje

Na primjer, redovitim i sustavnim praćenjem obuhvaćeno je preusmjeravanje e-pošte; marketinške aktivnosti temeljene na podacima; profiliranje i ocjenjivanje u svrhu procjene rizika (npr. u svrhu ocjenjivanja kredita, utvrđivanja premija osiguranja, sprečavanja prijevara, otkrivanja pranja novca); praćenje lokacije (na primjer, mobilnim aplikacijama); programi vjernosti; bihevioralno oglašavanje; praćenje podataka o zdravlju, prikladnosti i zdravlju s pomoću nosivih uređaja; CCTV; povezani uređaji (npr. pametna brojila), pametni automobili, kućna automatizacija itd.

Izvršitelj obrade čija je osnovna djelatnost pružanje usluga analitike internetskih stranica i pomoć u ciljanom oglašavanju i marketingu morat će imenovati službenika za zaštitu podataka.

Uvijek možete imenovati službenika za zaštitu podataka na dobrovoljnoj osnovi, čak i ako to nije zakonski propisano. Imajte na umu da u tom slučaju morate poštovati sve odredbe Opće uredbe o zaštiti podataka koje se odnose na zadaće i položaj službenika za zaštitu podataka. Stoga se preporučuje da se naziv službenika za zaštitu podataka koristi samo za osobu čija funkcija i položaj odgovaraju opisu Opće uredbe o zaštiti podataka.

Tko može biti DPO u mojoj organizaciji?

Službenik za zaštitu podataka mora moći obavljati svoje dužnosti i zadaće na neovisan način. To znači da vaša organizacija:

  • ne smiju davati upute službeniku za zaštitu podataka u pogledu izvršavanja njihovih dužnosti službenika za zaštitu podataka;
  • ne smiju kažnjavati ili otpustiti službenika za zaštitu podataka zbog obavljanja svojih zadaća.

Međutim, autonomija službenika za zaštitu podataka ne znači da oni imaju ovlasti donošenja odluka koje nadilaze njihove zadaće. Organizacije su i dalje odgovorne za usklađenost sa zakonom o zaštiti podataka i moraju biti u mogućnosti dokazati usklađenost.

Službenika za zaštitu podataka trebalo bi smatrati partnerom za raspravu unutar organizacije i trebao bi biti dio rasprava o aktivnostima obrade podataka unutar organizacije.

Službenici za zaštitu podataka izravno odgovaraju najvišoj upravljačkoj razini voditelja obrade podataka ili izvršitelja obrade.

Službenici za zaštitu podataka mogu obavljati druge zadaće unutar organizacije, ali to ne može dovesti do sukoba interesa. To znači da službenik za zaštitu podataka ne može imati položaj u kojem određuje svrhe i načine obrade osobnih podataka. Proturječne funkcije uglavnom uključuju rukovodeće položaje (glavni izvršni direktor, glavni operativni direktor, glavni financijski direktor, voditelj odjela za ljudske resurse, voditelj IT-a, glavni direktor), ali mogu uključivati i druge funkcije ako dovode do utvrđivanja svrhe i načina obrade.

U skladu s Općom uredbom o zaštiti podataka moguće je imenovati vanjskog službenika za zaštitu podataka s ugovorom za svoje usluge. Ovaj se ugovor može sklopiti s pojedincem ili organizacijom. U potonjem slučaju ključno je da svaki član organizacije nije u sukobu interesa i da je zaštićen od bilo kakvog nepoštenog raskida ugovora o pružanju usluga, ali i od nepoštenog otkaza bilo kojeg pojedinačnog člana organizacije za aktivnosti u svojstvu službenika za zaštitu podataka.

Vaša organizacija trebala bi pomagati službeniku za zaštitu podataka omogućavanjem pristupa svim postupcima obrade, kao i svim osobnim podacima koji se obrađuju u kontekstu tih postupaka obrade. Ključno je da službenik za zaštitu podataka bude uključen u sva pitanja koja se odnose na zaštitu podataka od najranije moguće faze. Službeniku za zaštitu podataka također bi trebalo staviti na raspolaganje potrebna sredstva za obavljanje svojih dužnosti (vrijeme, osposobljavanje, oprema i financijska sredstva).

U praksi

Pri obavljanju svojih zadaća službenicima za zaštitu podataka ne smije se davati upute o tome kako se nositi s određenim pitanjem. Na primjer, službeniku za zaštitu podataka ne bi trebalo davati upute o tome koji bi rezultat njegovih savjeta trebao biti ili o tome kako mora istražiti pritužbu pojedinca ili o tome je li savjetovanje s tijelom za zaštitu podataka primjereno ili obvezno. Osim toga, službeniku za zaštitu podataka ne smije se naložiti da zauzme određeno stajalište o pitanju koje se odnosi na pravo o zaštiti podataka, na primjer o konkretnom tumačenju zakona.

Kontrolni popis za imenovanje službenika za zaštitu podataka

  • Provjerite je li potreban službenik za zaštitu podataka: Provjerite trebate li imenovati službenika za zaštitu podataka i, ako niste sigurni, dokumentirajte razloge zbog kojih imenujete službenika za zaštitu podataka.
  • Ako je potreban službenik za zaštitu podataka:
    • Odlučuje između unutarnjeg ili vanjskog službenika za zaštitu podataka: Ako je potreban službenik za zaštitu podataka, odlučiti hoće li biti član vaše organizacije ili službenika za zaštitu podataka na temelju ugovora o uslugama;
    • Provjerava ima li službenik za zaštitu podataka profesionalne kvalitete i stručno znanje u području prava i praksi u području zaštite podataka te sposobnost izvršavanja zadaća;
    • Provjera zahtjeva u pogledu neovisnosti: Provjerite ima li vaš službenik za zaštitu podataka druge dužnosti koje bi mogle ugroziti njegovu neovisnost u obavljanju njegovih zadaća (sukob interesa);
    • Razviti standardne postupke u okviru upravljanja vaše organizacije za sudjelovanje službenika za zaštitu podataka.
  • Ako službenik za zaštitu podataka nije obvezan:
    • Razmislite : Čak i ako ne imenujete službenika za zaštitu podataka u smislu Opće uredbe o zaštiti podataka, i dalje ćete morati poštovati niz zahtjeva za zaštitu podataka. Savjetujemo vam da imenujete službenika za zaštitu podataka na dobrovoljnoj osnovi ili osobu koja nema naziv službenika za zaštitu podataka i koja, čak i ako u potpunosti ne izvršava zadaće službenika za zaštitu podataka, prati usklađenost i djeluje kao osoba za kontakt za pojedince koji ostvaruju svoja prava ispitanika.