Zaštita podataka o ličnosti: Da li je vašoj kompaniji potreban DPO i zašto je važan?

Prilagođavanje kompanije zahtevima koji su utvrđeni u GDPR-u, odnosno Zakonu o zaštiti podataka o ličnosti, može biti spor i naporan proces. Jedna od novina koju je nova uredba uspostavila jeste uvođenje obaveze imenovanja službenika za zaštitu podataka (DPO) – nove uloge koja nam daje nova rešenja u današnje vreme koje karakteriše brz protok informacija.

178

Ko je DPO i zašto je njegova uloga važna?

Službenik za zaštitu podataka (Data Protection Officer – DPO) je fizičko  lice odgovorno za obezbeđivanje poštovanja zakona o zaštiti ličnih podataka u preduzeću. DPO može biti interno lice u kompaniji ili eksterno angažovano lice koje mora da ima specijalizovano znanje o zakonu i iskustvo u oblasti zaštite podataka

Glavne funkcije DPO uključuju:

  • Obaveštavanje i savetovanje rukovaoca i zaposlenih koji se bave obrađivanjem ličnih podataka
  • Nadgledanje usaglašavanja sa odredbama utvrđenim u ZZPL-u uključujući i politike rukovaoca ili obrađivača na polju ličnih podataka, uključujući dodelu odgovornosti, svest i obuku osoblja koje je uključeno u operacijama obrade i odgovarajućim revizijama.
  • Davanje saveta o proceni uticaja na zaštitu podataka (DPIA) i nadgledanje primene
  • Saradnja sa kontrolnim organom.
  • Predstavlja Kontakt osobu nadzornog organa za pitanja u vezi sa obradom.

Kada je DPO obavezan?

Ono  što se najčešće javlja kao zabluda kod poslodavaca jeste stanovište da možda veličina kompanije igra ulogu da li će se DPO angažovati ili ne. Zapravo, veličina kompanije nije odlučujući faktor kada je u pitanju odluka o imenovanju službenika za zaštitu podataka. Osnovne su aktivnosti obrade jezgra koje su ključne za postizanje ciljeva kompanije. I to :

  • Kada glavne aktivnosti kontrolora ili obrađivača sastoje se od operacija obrade koje zbog svoje prirode, obima i / ili svrhe zahtevaju redovan i sistematski nadzor zainteresovanih strana u velikom obimu.
  • Kada se osnovne aktivnosti kompanije sastoje se od obrade posebnih kategorija ličnih podataka ili podataka koja se odnose na krivične presude i kažnjiva dela, u velikom obimu

Na primer: Privatna medicinska ustanova/klinika obrađuje pregršt osetljivih – zdravstvenih podataka pacijenata u okviru svojih osnovnih aktivnosti.

Ko treba da imenuje službenika za zaštitu podataka?

  • Distributeri i dobavljači električne energije ili prirodnog gasa.
  • Osiguravajuće kuće
  • Banke
  • Organizacije odgovorne za informacione sisteme
  • Organizacije koje razvijaju reklamne aktivnosti koje uključuju analizu preferencija ili profilisanje.
  • Medicinske ustanove
  • Obrazovne institucije
  • Prodaja (online) usluga i proizvoda
  • Univerziteti
  • Strukovna udruženja
  • Organizacije za online gaming

Šta je važno za DPO?

DPO mora imati dovoljnu autonomiju i resurse za efikasno obavljanje svog posla. Zbog toga je obavezno da rukovalac službeniku za zaštitu podataka obezbedi sve potrebne resurse za efikasno obavljanje njegove aktivnosti.

Ovo takođe definiše kakva bi trebalo da bude pozicija DPO-a u kompaniji. Uredba utvrđuje da je važno da službenik za zaštitu podataka učestvuje u najranijoj mogućoj fazi u svim pitanjima vezanim za zaštitu podataka. DPO treba da stoji „rame uz rame“ sa direktorom ali po osnovu drugih pitanja u organizaciji, pitanja koja se odnose na podatke o lilčnosti. U vezi sa tim, DPO nije lično odgovoran u slučaju nepoštovanja GDPR-a, već je to odgovornost rukovaoca i obrađivača

GDPR jasno kaže da je onaj ko je dužan da obezbedi da se obrada pravilno izvodi obrađivač, a ne službenik. DPO nije odgovoran za poštovanje pravila o zaštiti podataka, ovo je odgovornost obrađivača. Ako osoba odgovorna za usklađenost donosi odluke koje su nespojive sa GDPR-om i savetima DPO-a, DPO mora imati mogućnost da svoja neslaganja bez zadrške izloži nadređenima.