Uloga službenika za zaštitu podataka (DPO)

Ulomak iz knjige Bruna DUMAYA: DEŠIFRACIJA GDPR-a – Za menadžere, strateške odjele i zaposlenike tvrtki i organizacija – Predgovor Gaëlle MONTEILLER

Uz Procjenu utjecaja, službenik za zaštitu podataka (DPO) je druga simbolična tvorevina GDPR-a. U Francuskoj logično zamjenjuje službenika za zaštitu podataka (CIL), odnosno službenika za zaštitu podataka (CPL). Međutim, treba napomenuti da Europska unija već dugo preporučuje imenovanje DPO-a u velikim administrativnim i gospodarskim strukturama te da su neke slijedile tu preporuku.

G29 je radio na ulozi službenika za zaštitu podataka i usvojio neke „smjernice“ finalizirane 5. travnja 2017. Ti detalji pomažu nam da definiramo obrise i sadržaj ove ključne pozicije.

Imenovanje službenika za zaštitu podataka obvezno je za (čl. 37-1):

– javna tijela;

– organizacije čije temeljne aktivnosti zahtijevaju redovito i sustavno praćenje pojedinaca u velikim razmjerima. G29 razlikuje pomoćne aktivnosti, poput obračuna plaća ili IT-a, i temeljne aktivnosti koje se odnose na temeljno poslovanje organizacije (npr. zdravstveni podaci za bolnicu). Slično tome, zauzima vrlo široko gledište o konceptu „redovitog i sustavnog praćenja“, koji nije ograničen samo na online okruženje;

– organizacije čije temeljne aktivnosti dovode do obrade „osjetljivih“ podataka ili podataka koji se odnose na kaznene osude i prekršaje u velikim razmjerima (G29 pruža značajne elemente za određivanje što se podrazumijeva pod „velikim razmjerima“).

Grupa tvrtki ili skup javnih tijela može imenovati jednog DPO-a (čl. 37-2 i 37-3). Naravno, imenovanje DPO-a snažno preporučuje G29, kao i ovdje dobru praksu.

Službenika za zaštitu podataka imenuje voditelj obrade i, gdje je to primjenjivo, izvršitelj obrade, na temelju njegovih ili njezinih profesionalnih kvaliteta, „posebno njegovog ili njezinog stručnog znanja o zakonima i praksama zaštite podataka te njegove ili njezine sposobnosti obavljanja svojih dužnosti“ (čl. 37-5). Što su operacije obrade složenije, to su očekivane vještine veće.

Službenik za zaštitu podataka može biti interni ili eksterni u odnosu na organizaciju, a u potonjem slučaju svoju misiju obavlja na temelju ugovora. Ako je pružatelj usluga tim, zadaci svakog člana moraju biti određeni i imenovan voditelj tima. WP29 preporučuje da službenik za zaštitu podataka bude lako "dostupan" te da stoga bude osnovan u Europskoj uniji. Međutim, posebno kada se kontrolor ili obrađivač nalaze izvan Europske unije, prihvatljivo je da službenik za zaštitu podataka bude smješten izvan EU ako na taj način može djelovati učinkovitije.

Službenik za zaštitu podataka ne igra samo simboličnu ulogu. Mora biti uključen, od strane kontrolora podataka i obrađivača, "u sva pitanja koja se odnose na zaštitu osobnih podataka" (čl. 38-1). Može ga kontaktirati bilo koja osoba čiji se osobni podaci obrađuju (čl. 38-4). Ima "potrebne resurse" za obavljanje svojih dužnosti, ima pristup podacima i postupcima obrade, te čak mora biti u mogućnosti "održavati svoje specijalizirano znanje" (čl. 38-2). Pod "potrebnim resursima", G29 također misli na podršku kroz nadzor, dovoljno vremena, materijalne uvjete i obuku. Službenik za zaštitu podataka je, na neki način, posvećen.

Tim više što je njegova neovisnost zajamčena. On zapravo ne može "primati nikakve upute u vezi s izvršavanjem zadataka" (čl. 38-3). Voditelj obrade podataka i podizvođač nemaju moć nad njim (međutim, imaju ovlast imenovati ga), koji je odgovoran samo "najvišoj razini" njihovog menadžmenta. Također je podložan profesionalnoj tajni i obvezi povjerljivosti (čl. 38-5).

Unatoč svom statusu, DPO nije odgovoran za nepoštivanje GDPR-a od strane organizacije koja ga je angažirala. Odgovoran je samo voditelj obrade i/ili obrađivač. Kaznena odgovornost može nastupiti samo u slučaju suučesništva u namjernom kršenju.

Službenik za zaštitu podataka može obavljati i druge dužnosti i zadatke, koji ne smiju uključivati sukob interesa (čl. 38-6). Stoga mu je nemoguće obavljati funkcije koje bi ga dovele do odlučivanja o svrhama i sredstvima obrade osobnih podataka. Službenik za zaštitu podataka stoga teško može obavljati upravljačke funkcije organizacije ili raditi unutar odjela odgovornog za upravljanje podacima. Godine 2015. CNIL je proveo studiju kako bi utvrdio profile službenika za zaštitu podataka; pokazalo se da ne postoji tipičan profil: 47 % imalo je tehnički profil, 19 % pravni profil, a 10 % administrativni profil. Vjerojatno je da će se, barem u početku, ovaj nedostatak tipičnog profila naći među službenicima za zaštitu podataka.

Članak 39. GDPR-a navodi dužnosti delegata:

– obavijestiti i savjetovati voditelja obrade, izvršitelja obrade i zaposlenike koji provode obradu o njihovim obvezama u vezi s pravilima o obradi osobnih podataka;

– pratiti usklađenost s propisima, ali i podizati svijest te obučavati osoblje uključeno u operacije obrade;

– pružiti savjet, ako se zatraži, o procjeni učinka. Smjernice WP29 jasno daju službeniku za zaštitu podataka glavnu ulogu u ovoj procjeni. S njim ili njom se mora konzultirati o pravovremenosti, metodologiji i sadržaju, a zatim procijeniti njezinu kvalitetu;

– surađivati s nadzornim tijelom i biti kontaktna točka za njega. U trenutku pisanja ovog teksta, CNIL razvija obrazac za imenovanje DPO-a.

Nije u članku, ali G29 dodaje dodatnu, i neobaveznu, misiju DPO-a: „Ništa ne sprječava kontrolora ili obrađivača da povjere DPO-u misiju vođenja registra operacija obrade koje se provode pod odgovornošću kontrolora ili obrađivača.“ Možda je ovo prijedlog za olakšavanje protoka informacija između različitih aktera?

To ne bi bilo beskorisno. Jer na kraju analize ove funkcije kažemo si da neće biti lako pronaći, čak ni u velikoj tvrtki, osobu koja je i kompetentna za ovu glavnu ulogu i oslobođena bilo kakve odgovornosti u obradi podataka kako bi se izbjegao sukob interesa. Doista nije lako biti svjestan odredbi propisa, a posebno njihovih posljedica, kada ih ne moramo sami provoditi u kontekstu vlastitog rada.

U ovom trenutku, opis problema imenovanja službenika za zaštitu podataka je jednostavan, iako se zapravo radi o tri odvojene izjave:

Prilikom internog imenovanja postoje brojne prepreke koje treba prevladati, poput socijalnog aspekta i ponovnog pregovaranja o ugovoru o radu. Doista, u ovom slučaju, sigurno je da opseg ove nove misije nije bio poznat kada je ugovor prvobitno potpisan. Ako dodamo pojam rizika, izravnu i isključivu podređenost upravljanju tvrtke i ničemu drugome, to je značajna izmjena ugovora, dakle, to je novi ugovor o radu. I tko će ga interno ocijeniti, kontrolirati? I tko će obavljati svoj posao, budući da više ne mogu biti suci i arbitri...

Zaposlite ga i potražnja će porasti. Velike i srednje tvrtke toliko traže taj profil da zbog nedostatka dolazi do prave inflacije. Problem ostaje: tko će ga ocjenjivati i pratiti?

Stoga, zašto ne delegirati ovu funkciju DPO-a ovlaštenom stručnjaku, koji bi svoju ulogu mogao obavljati s vještinom i neovisnošću koju je interno teško uskladiti? Uredba ne govori ništa o toj mogućnosti, a bit će potrebno vidjeti u praksi je li to zamislivo i predviđeno (ništa nas ne sprječava da o toj temi propitamo CNIL). U svakom slučaju, čini nam se zanimljivim, jamstvom dobrog odnosa između voditelja obrade podataka i službenika za zaštitu podataka.

I na kraju, možemo jednostavno odlučiti da ne imenujemo DPO-a, jer jednostavno niste strogo obvezni to učiniti.