Činjenica da vaša organizacija prikuplja, obrađuje i arhivira osobne podatke ne mora a prori značiti da ste u obvezi imenovanja Službenika za zaštitu podataka (DPO). U praksi je to česta zabluda, kao i da je jedini kriterij broj zaposlenika. Prije odluke o imenovanju važno je provesti temeljitu analizu prema navedenim kriterijima koja će vam pružiti konkretnije informacije o tome jeste li obveznik imenovanja ili ne.
Opis obveza i odgovornosti DPO-a nije nimalo bezazlen pa je korisno uzeti u obzir i smjernice Europske komisije u kojima se upućuje na to da on pomaže voditelju ili izvršitelju obrade u svim pitanjima u pogledu zaštite osobnih podataka s osobitim fokusom na:
- informiranje i savjetovanje voditelja ili izvršitelja obrade te njihovih zaposlenika o njihovim obvezama u skladu s Uredbom i pratećim nacionalnim zakonodavstvom vezanim uz obradu osobnih podataka, uključujući revizije
- aktivnosti podizanja svijesti i osposobljavanje osoblja koje sudjeluje u postupcima obrade osobnih podataka,
- savjetovanje vezano uz procjene učinka na zaštitu podataka i praćenje njihovih izvršavanja,
- djelovanje u svojstvu kontaktne točke za zahtjeve pojedinaca u pogledu obrade njihovih osobnih podataka i ostvarivanju njihovih propisanih prava,
- suradnja s nadzornim tijelima.
DPO mora u sve procese vezane uz njegov spektar odgovornosti biti uključen pravodobno i ne smije primati nikakve upute od voditelja obrade ili izvršitelja obrade u pogledu izvršenja svojih zadaća te izravno odgovara najvišoj rukovodećoj razini organizacije. Osnova za procjenu obveze njegovog imenovanja trebala bi biti temeljita analiza kriterija i postojećeg stanja unutar vaše organizacije u odnosu na termine „osnovna djelatnost“, „opsežna obrada“ te „redovito i sustavno praćenje“.
Prenosim dijelove mišljenja Agencije za zaštitu osobnih podataka (AZOP) i službene smjernice WP29 vezane uz kriterije i obvezu imenovanja DPO-a kako biste lakše zaključili jeste li u obvezi njegovog imenovanja.
GDPR u čl.37.st.1. propisuje da voditelj i izvršitelj obrade imenuju službenika za zaštitu podataka u svakom slučaju u kojem:
- obradu provodi tijelo javne vlasti ili javno tijelo, osim za sudove koji djeluju u okviru svoje sudske nadležnosti,
- osnovne djelatnosti voditelja obrade ili izvršitelja obrade sastoje se od postupaka obrade koji zbog svoje prirode, opsega i/ili svrha iziskuju redovito i sustavno praćenje ispitanika u velikoj mjeri, ili
- osnovne djelatnosti voditelja obrade ili izvršitelja obrade sastoje se od opsežne obrade posebnih kategorija podataka na temelju čl. 9. i osobnih podataka u vezi s kaznenim osudama i kažnjivim djelima iz čl. 10.
Dakle, neovisno o broju zaposlenika voditelj ili izvršitelj obrade dužan je imenovati DPO-a ukoliko je ispunjen jedan od gore navedenih uvjeta.
Sukladno preporukama iz smjernica WP29, analiza koju ste proveli u svrhu identifikacije osnove obveze imenovanja DPO-a predstavlja dio dokumentacije koja se prikuplja u skladu s načelom pouzdanosti te bi se periodično trebala ažurirati ukoliko se okolnosti u procesima vezanim uz obradu osobnih podataka u vašoj organizaciji promjene te je nadzorno tijelo može zatražiti na uvid prilikom provođenja nadzora. Izvornik dokumenta na hrvatskom jeziku je dostupan ovdje.
U navedenim smjernicama dodatno su pojašnjeni pojmovi „osnovna djelatnost“, „opsežna obrada“ i „redovito i sustavno praćenje“ koji se spominju u čl. 1. st. 1. GDPR-a:
- U recitalu 97. GDPR-a navodi se: „Osnovne djelatnosti voditelja obrade odnose se na njegove primarne djelatnosti i ne odnose se na obradu osobnih podataka kao dodatne djelatnosti”. Iz tog proizlazi da su „osnovne djelatnosti” ključni postupci nužni za ostvarenje ciljeva voditelja obrade ili izvršitelja obrade no svakako iz ovog pojma ne treba isključiti djelatnosti u kojima obrada podataka čini neodvojiv dio djelatnosti voditelja obrade ili izvršitelja obrade. Na primjer, u zdravstvenom sustavu ustanove poput bolnica, domova zdravlja ili ambulanti koje pružaju zdravstvenu skrb ne bi mogle djelotvorno i na siguran način ispunjavati svoju svrhu bez obrade zdravstvenih podataka poput, primjerice, zdravstvenih kartona pacijenata. Obrada tih podataka je jedna od osnovnih djelatnosti svake zdravstvene ustanove i iz tog razloga su one u obvezi imenovanja DPO-a.
- U GDPR-u nije definiran izraz „opsežna obrada“, ali je u recitalu 91. GDPR-a ponuđeno objašnjenje pojma u smislu „obrade velikog opsega kojima se nastoji obraditi znatna količina osobnih podataka na regionalnoj, nacionalnoj ili nadnacionalnoj razini i koji bi mogli utjecati na velik broj ispitanika i koji će vjerojatno dovesti do visokog rizika, primjerice zbog osjetljivosti, u kojima se u skladu s postignutom razinom tehnološkog znanja novom tehnologijom koristi u velikom opsegu, kao i na druge postupke obrade koji dovode do visokog rizika”. U uvodnoj se izjavi izričito navodi da „obradu osobnih podataka ne bi trebalo smatrati opsežnom ako se odnosi na osobne podatke pacijenata ili klijenata pojedinih liječnika, zdravstvenih djelatnika ili odvjetnika”. Između ova dva primjera, prema mišljenju WP29, postoji velika siva zona jer se ta uvodna izjava odnosi na procjene učinka na zaštitu podataka, a to znači da bi određeni dijelovi mogli biti svojstveni samo za taj kontekst i nisu nužno na isti način primjenjivi na imenovanje DPO-a.
- Pojam „redovito i sustavno praćenje ispitanika” nije definiran u GDPR-u, ali se u recitalu 24. spominje pojam „praćenje ponašanja ispitanika” kojim su jasno obuhvaćeni svi oblici praćenja i izrade profila na internetu, pa i za svrhe bihevioralnog marketinga. Pojam praćenja nije ograničen na internetsko okruženje te bi se praćenje na internetu trebalo smatrati tek jednim od primjera praćenja ponašanja ispitanika.
Pojam „redovito praćenje” WP29 tumači na najmanje jedan od sljedećih načina:
- praćenje koje je trajno ili se provodi u određenim intervalima u određenom razdoblju,
- praćenje koje se opetovano provodi ili ponavlja u točno određeno vrijeme,
- praćenje koje se provodi stalno ili periodično.
Pojam „sustavno praćenje” WP29 tumači na najmanje jedan od sljedećih načina:
- praćenje koje se provodi u skladu s određenim sustavom,
- praćenje koje je prethodno dogovoreno, organizirano ili metodično,
- praćenje koje je dio općeg plana za prikupljanje podataka,
- praćenje koje se provodi kao dio strategije.
Primjeri djelatnosti koje se mogu smatrati redovitim i sustavnim praćenjem ispitanika: upravljanje telekomunikacijskom mrežom, pružanje telekomunikacijskih usluga, pružanje usluga informacijskih sustava u kojima se obrađuju i arhiviraju podaci velikog broja gostiju (hotelski informacijski sustavi); preusmjeravanje elektroničke pošte, marketinške aktivnosti temeljene na upotrebi osobnih podataka; izrada osobnih profila i ocjena radi procjene rizika (primjerice radi ocjene kreditnog boniteta, određivanja premije osiguranja, sprječavanja prijevara, otkrivanja pranja novca i slično); praćenje lokacije (primjerice pomoću mobilnih aplikacija); programi vjernosti (loyalty programi); bihevioralni marketing i profiliranje; praćenje podataka o općem stanju organizma, tjelesnoj kondiciji i zdravlju pomoću uređaja koji se nose na tijelu; videonadzor odnosno televizija zatvorenog kruga (CCTV); pružatelji usluga temeljenih na povezanim uređajima poput pametnih brojila, pametnih automobila, automatizacije doma i slično.
Važno je naglasiti par informacija iz jednog od objavljenih mišljenja AZOP-a, vezanog uz dobrovoljno imenovanje DPO-a odnosno za slučaj kad se organizacije odlučuju za njegovo imenovanje unatoč tome što nisu u obvezi istog. Ukoliko se odlučite dobrovoljno imenovati DPO-a, na njegovo se imenovanje, položaj i zadaće primjenjuju zahtjevi iz čl.37, čl.38. i čl. 39 GDPR-a, kao da je imenovanje bilo obvezno.
Ukoliko niste u obvezi njegovog imenovanja no unatoč tome unutar vaše organizacije zaposlite osoblje ili vanjske konzultante za zadaće povezane sa zaštitom osobnih podataka - definirajte točne stavke oko njihovog službenog naziva, statusa, položaja i zadaća. Također u svim razmjenama obavijesti unutar organizacije, s ispitanicima i širom javnošću ili u komunikaciji s nadzornim tijelom jasno trebate dati do znanja da naziv radnog mjesta te osobe ili konzultanta nije službenik za zaštitu podataka.
DPO se imenuje za sve postupke obrade koje obavlja voditelj ili izvršitelj obrade, bez obzira na to je li njegovo imenovanje bilo obvezno ili dobrovoljno.