AZOP je objavio rezultate EU projekta PRO-RES (Promoting integrity in the use of research results in evidence based policy: A focus on non-medical research) u sklopu kojeg je AZOP proveo anketu koja pokazuje da:

  • 54% službenika za zaštitu podataka nema nikakvo prethodno iskustvo u području zaštite osobnih podataka, iako GDPR propisuje da se službenik imenuje temeljem stručnog znanja o pravu i praksama u području zaštite podataka te sposobnosti izvršavanja zadaća iz članka 39. GDPR-a, a

 

  • čak 82% anketiranih Službenika za zaštitu podataka smatra kako im je potrebna dodatna edukacija iz područja zaštite osobnih podataka.

 

Više o EU projektu PRO-RES i nalazima AZOP-a:

https://azop.hr/u-sklopu-pro-res-projekta-azop-predstavio-rezultate-ankete-za-sluzbenike-za-zastitu-podataka/

 

 

Mi ćemo dodati:

Koje su potrebne vještine i stručnost koju Službenik za zaštitu podataka treba posjedovati?

- stručnost u pogledu nacionalnih i europskih zakona i praksi u području zaštite podataka, uključujući dubinsko razumijevanje Opće odredbe o zaštiti podataka,

- razumijevanje provedenih postupaka obrade,

- razumijevanje informacijskih tehnologija i sigurnosti podataka,

- poznavanje poslovnog sektora i organizacije,

- sposobnost promicanja kulture zaštite podataka unutar organizacije

 

Tako je zapisano u uputama AZOP-a na:

https://azop.hr/cesto-postavljena-pitanja-sluzbenici-za-zastitu-podataka/

 

AZOP je objavio niz detaljnih uputa o Službeniku za zaštitu podataka (DPO, Data Protection Officer) i dobar dio organizacija bi trebao pročitati te upute i provjeriti koliko njihov DPO i sama organizacija ispunjavaju tražene kriterije:

https://azop.hr/savjetodavna-zadaca-opcenito/

https://azop.hr/kontinuirano-ponavljanje-zadaca-1-3-i-4/

 

Na što se sve odnose savjetodavne zadaće?

Službenici moraju osigurati da se Uredba poštuje i savjetovati voditelje obrade o ispunjavanju njihovih obveza.

Službenik može stoga informirati, pružati savjete ili davati preporuke za praktično poboljšanje zaštite podataka od strane organizacije i/ili o pitanjima koja se tiču primjene odredbi o zaštiti podataka i za izmjene i ažuriranja politika (pravila) i praksi organizacije vezano za zaštitu podataka u svjetlu novih pravnih instrumenata, odluka, mjera ili smjernica.

 

Koji angažman se očekuje od službenika u tom pogledu?

Službenik bi trebao moći pažljivo pratiti zakonodavstvo i regulatorna događanja u područjima zaštite podataka, sigurnosti podataka itd., kako bi mogao alarmirati više rangiranu upravu i relevantnu niže rangiranu upravu o:

– nadolazećim novim EU instrumentima (kao što je Uredba o e-privatnosti,) ili

– nove izvršne ili sudske odluke na EU-razini (kao bilo koja relevantna odluka o “adekvatnosti” Europske komisije, koja se odnosi na treće zemlje u koje organizacija prenosi podatke, ili relevantne presude CJEU-a);

– nove smjernice na EU razini (bilo koja mišljenja ili preporuke, itd., koje izda Europski odbor za zaštitu podataka);

– i slični instrumenti, odluke, mjere ili smjernice koje su izdane u vlastitoj državi poslovnog nastana DPO-a (ili državama)

 

Što se očekuje od voditelja obrade?

Organizacija bi trebala osigurati, primjerice, da:

- službenik bude pozvan sudjelovati redovito na sastancima višeg i srednjeg menadžmenta.

- njegova/njena nazočnost se preporučuju kad se donose odluke s implikacijama za zaštitu podataka

- sve relevantne informacije se moraju prenijeti službeniku pravovremeno kako bi mu/joj se omogućilo da pruži adekvatan savjet.

- mišljenju službenika se uvijek mora dati težina. U slučaju neslaganja, preporučuje se, kao dobru praksu, dokumentirati razloge zbog propusta postupanja po savjetu službenika

- službenik se mora hitno tražiti savjet kada se pojavi povreda podataka ili drugi incident

 

Kojim se zaštitnim mjerama službeniku za zaštitu podataka omogućuje neovisno obavljanje zadataka?

Nekoliko je zaštitnih mjera kako bi se službeniku za zaštitu podataka omogućilo obavljanje zadaća na neovisan način:

- ne smiju im se davati upute o načinu rješavanja predmeta, na primjer, o ishodu koji bi trebalo ostvariti i načinu vođenja istrage o pritužbi ili o tomu treba li tražiti savjet nadzornog tijela

- ne smije ih se upućivati da zauzmu određeno stajalište o predmetu koji se odnosi na zakon o zaštiti podataka, (npr. na određeno tumačenje zakona)

- ne smije se službenika za zaštitu podataka razriješiti dužnosti ili kazniti zbog izvršavanja zadaća,

- ne smije postojati sukob interesa u odnosu na ostale moguće zadatke i dužnosti

 

Koja radna mjesta mogu biti u sukobu interesa?

Nepisano je pravilo da radna mjesta koja mogu biti u sukobu interesa u okviru organizacije mogu biti:

POLOŽAJI U VIŠEM RUKOVODSTVU (kao što su predsjednik uprave, direktor poslovanja, direktor financija, glavni medicinski službenik, voditelj odjela za marketing, voditelj ljudskih resursa ili voditelj odjela za informacijsku tehnologiju), ali i

NIŽE ULOGE U HIJERARHIJSKOJ STRUKTURI ORGANIZACIJE ako takvi položaji ili uloge podrazumijevaju utvrđivanje svrhe i načina obrade osobnih podataka.