Pored tijela javne vlasti i javnih tijela, funkcija službenika za zaštitu podataka je obveza i za svaki subjekt čija se osnovna djelatnost sastoji od procesa i poslova koji uključuju sustavnu obradu i praćenje osobnih podataka ili ako se sastoji od opsežne obrade posebnih kategorija podataka (npr. spol, vjera, ponašanje, otisak prsta, videonadzor, podatak o zdravlju itd.) ili osobnih podataka koji se odnose na kaznene osude i kažnjiva djela.

Tvrtke, koje nisu obvezne imenovati službenika za zaštitu podataka, trebaju imati dokumentirano zašto takvu obvezu imenovanja ne trebaju provesti.

Bez obzira da li je tvrtka dužna imenovati službenika za zaštitu podataka ili to nije dužna, i dalje postoji obveza za svaku tvrtku da posluje sukladno zahtjevima Opće uredbe.

Za tvrtke je većinom GDPR regulatorna obveza i tu nema puno dilema. One nastoje poslovati u skladu s GDPR   zahtjevima sa minimalnim izravnim utjecajem na poslovanje i naravno, da je takav resurs što jeftiniji. S obzirom na vrstu i volumen poslovanja te organizacijski poslovni model, svaka tvrtka će takvu potrebu pokušati prilagoditi na način da joj se najbolje uklapa u poslovanje, a da ispuni potrebnu razinu usklađenosti.

In-house – službenik za zaštitu podataka

Ovaj model podrazumijeva obavljanje poslova službenika za zaštitu podataka od strane zaposlenika tvrtke ili češće, od strane tima unutar tvrtke. Takav DPO tim obično se sastoji od profesionalaca pravnog usmjerenja i stručnjaka informacijskih znanja. Prednost takvog službenika za zaštitu podataka koji se sastoji od cijelog tima je detaljno poznavanje poslovnih procesa i projekata te potrebe specifičnog poslovanja u kojem djeluje. On je obično preporuka kada govorimo o velikim tvrtkama i korporacijama.

Kada takvu funkciju obavlja jedna osoba unutar tvrtke tada nije rijetkost da poslove službenika za zaštitu podataka obavlja osoba koja ima i druge zadaće u tvrtki. Razlog tome je uglavnom u činjenici da fokus na GDPR nije dovoljno za ispunjenje punog radnog vremena.

To nije u suprotnosti sa Općom uredbom, dok god može ispunjavati svoje redovne zadaće sukladno zahtjevima Opće uredbe (uključujući i istražne radnje i ostale poslove sukladno važećim Smjernicama, uputama i preporukama EU povjerenika za zaštitu podataka ) i dokle njegova funkcija u tvrtki nije u sukobu interesa sa funkcijom službenika za zaštitu podataka (npr. nije direktor, voditelj pravnih/kadrovskih i drugih poslova ili ne obnaša drugu funkciju koja može određivati prikupljanje i obradu osobnih podataka).

Ovaj model najčešće je zanimljiv tvrtkama koje trebaju imenovati službenika za zaštitu podataka ali ne žele angažirati vanjske resurse za to područje dok su tvrtke koje zapošljavaju stručnjaka za obnašanje te funkcije ipak još uvijek nešto rjeđe. Pri tome   treba imati u vidu da je provedba Opće uredbe u poslovanju puno više od operativnih zadataka koji se provode u tvrtki i da zahtjeva imperativ trajnog usavršavanja.

Vanjska GDPR usluga

Ovaj opći model obuhvaća nekoliko različitih vrsta po izboru tvrtke. Osnovna usluga uključuje vršenje funkcije Službenika za zaštitu podataka od strane profesionalaca koji se sastoji od tima stručnjaka.

Premda se takva usluga često naziva Vanjski DPO, Externi DPO i slično, ne mora nužno obuhvaćati obvezu imenovanja službenika za zaštitu podataka. Najčešće tvrtka odlučuje angažirati takvog partnera kako bi u cijelosti brigu oko poslovanja u skladu sa zahtjevima Opće uredbe i druge regulative koja uređuje pitanje zaštite osobnih podataka i privatnosti prepustili profesionalcima.

Za tvrtku je glavna prednost vanjske usluge stručnost koja podrazumijeva visoki stupanj poznavanja zakonske regulative i informacijskih znanja, te veliko iskustvo u radu koje je često jedno od ključnih čimbenika kako bi se tvrtka adekvatno zaštitala od   mogućih kazni i naknada šteta te stalna dostupnost takve funkcije, bez prekida izazvanih godišnjim odmorima, bolovanjima ili drugom vrstom izostanaka.

Trošak takve eksterne funkcije za tvrtku je u pravilu uvijek financijski povoljniji od stručnog zaposlenika-profesionalca na stalnoj plaći.

Kriteriji pri odabiru

Brojne su specifičnosti tvrtke i poslovanja koje mogu utjecati na odabir modela. Ne postoji točna uputa koji je model preporučljiv za određenu tvrtku ili poslovanje, ali postoje relacije koje mogu biti okvir za njihovu odluku.

Iako je postupanje u skladu s zahtjevima Opće uredbe stalna potreba svakog poslovanja, to ne znači da je ta potreba svakodnevna. Stoga je preporuka prethodno dobro procijeniti očekivanu potrebu za vršenjem poslova iz djelokruga službenika za zaštitu podataka u vlastitom poslovanju. S druge strane, kvalitetan stručnjak u stalnom radnom odnosu može predstavljati visok trošak. Već s takvim polazištima, za mala i dio srednjih poduzeća model vanjske usluge se može pokazati privlačnijim izborom.

Tvrtke sa kompleksnom organizacijskom strukturom, velikim brojem zaposlenika i djelatnostima koje uključuju velike količine osobnih podataka i obrada, područje zaštite podataka integriraju kao organizacijsku cjelinu u strukturu tvrtke. Zbog organizacijskog modela upravljanja i niza internih protokola takvim sustavima više odgovara izvršavanje funkcije zapošljavanjem kvalitetnih stručnjaka objedinjenih u DPO timu.

Bez obzira koji model tvrtke izaberu u prilagodbi poslovanja sa GDPR, u prvom redu je važno da ga trajno i redovito provode. To znači da potreba za primjenom GDPR u poslovanju ne završava s inicijalnom implementacijom. To je proces koji se primjenjuje svakodnevno u poslovanju tvrtke, te napose mijenja i dopunjuje u skladu s promjenama koje proizlaze iz relevantnih Smjernica i Preporuka EU povjerenika i nacionalnog tijela za zaštitu podataka.

www.feralis.hr

Tko je Centar Feralis?

Hrvatski centar za zaštitu podataka Feralis je organizacija koja je aktivna u području zaštite prava i sloboda građana (ispitanika) s obzirom na zaštitu njihovih osobnih podataka te pomaže poslovnim subjektima u organizaciji poslovanja u skladu s Općom uredbom.

Kao predstavnik Hrvatske u Europskoj federaciji službenika za zaštitu podataka (EFDPO) pored ostalih aktivnosti, član je nekoliko odbora za zaštitu osobnih podataka od kojih izdvajamo Artificial Intelligence (AI), zdravstveni sektor i Članak 39. Opće uredbe za sprječavanje restrikcija nacionalnih zakonodavstva u pitanju pravnog savjetovanja službenika za zaštitu podatka u svezi zaštite osobnih podataka. 

Povezane vijesti

• Prvo veliko kršenje osobnih podataka ZAPOSLENIH I U JAVNOM SEKTORU GRADA PULE I POREČA
• Ines Bolkovac, direktorica hrvatskog Centra za zaštitu osobnih podataka "Feralis": POLITIČARI NISU JEDNAKO ZAŠTIĆENI KAO DRUGI GRAĐANI
• Mini vodič za samostalno uređenje web stranice U SKLADU S GDPR-om