Pitanje na ovu temu dobili smo nekoliko puta s obzirom da obavljamo ulogu vanjskog službenika za zaštitu podataka za niz organizacija, državnih i privatnih tvrtki, ustanova, škola, vrtića, jedinica lokalne uprave i udruga.
 
Štoviše, saznajemo da su neki potencijalni službenici bili zatraženi od strane organizacija (voditelj obrade) za koju bi radili da sklope ugovor iz članka 28. GDPR-a, koji strogo regulira odnos voditelja i izvršitelja obrade. Te organizacije, očigledno nedovoljno educirane, smatrale su da je Službenik za zaštitu podataka ujedno i izvršitelj obrade.
 
Da otklonimo bilo kakve sumnje: Službenik za zaštitu podataka u okviru obavljanja svojih zadaća NIJE izvršitelj obrade.
 
Da pojasnimo...
 
Prema članku 38. GDPR-a Službenik za zaštitu podataka mora biti na primjeren način i pravodobno uključen u sva pitanja u pogledu zaštite osobnih podataka i mora ostvarivati, kada je to potrebno, i pristup osobnim podacima i postupcima obrade.
 
Službenik za zaštitu podataka za izvršenje svojih zadaća NE PRIMA nikakve upute u pogledu izvršenja tih zadaća, pa samim time se niti ne može primjenjivati članak 28. GDPR-a.
 
Naravno da Službenik za zaštitu podataka mora ponekad imati pristup osobnim podacima koje obrađuje organizacija za koju radi, kao npr. pristup određenoj ispisanoj ili digitalnoj dokumentaciji, pristup bazama podataka ili poslovnim sustavima, pristup osobnim podacima zaposlenika i svih ostalih osoba koje podnose zahtjeve za svojim pravima iz GDPR-a itd.
 
Npr. u slučaju zahtjeva ispitanika za pristupom vlastitim osobnim podacima, Službenik za zaštitu podataka mora imati pristup osobnim podacima ispitanika radi pripreme odgovora i komunikacije s njim.
 
Prilikom određivanja određenog subjekta kao Voditelja ili Izvršitelja obrade prvenstveno se uzima u obzir kriterij utvrđivanja svrhe predmetne obrade osobnih podataka i esencijalnih načina obrade.
 
Da li je netko Voditelj ili Izvršitelj obrade, određuje se putem ovih pitanja:
 
- tko određuje razlog obrade pojedinih osobnih podataka,
- tko određuje tko ima pristup podacima,
- tko određuje kada će podaci biti izbrisani,
- tko određuje koja je uloga povezanih subjekata obrade te
- u svakom slučaju postoji li zakonita osnova za obradu sukladno članku 6. Uredbe.
 
Službenik za zaštitu podataka u okviru svojih zadaća i u konkretnim slučajevima određuje iz kojeg razloga ima uvid u pojedini osobne podatke, određuje tko će imati pristup tim podacima, određuje kada će ih izbrisati iz svojih evidencija s obzirom na postupak obrade koji provodi i svoju obradu podataka temelji na obvezi ispunjenja svojih zadaća, odnosno, na pravnoj osnovi iz članka 6. GDPR-a, točnije, prema članku 38. stavku 2. GDPR-a i prema članku 29. GDPR-a, jer mu isto nalaže pravo EU - GDPR.
 
Stoga, Službenik za zaštitu podataka nije Izvršitelj obrade