Nadzorno tijelo za zaštitu podataka u Luksemburgu utvrdilo je prilikom nadzora da je neprofitna udruga pogrešno utvrdila da je obvezna imenovati Službenika za zaštitu podataka.
Naime, članak 37. GDPR-a utvrđuje tri kriterija koje su organizacije obvezne imenovati Službenika za zaštitu podataka:
(a) obradu provodi tijelo javne vlasti ili javno tijelo
(b) osnovne djelatnosti voditelja obrade ili izvršitelja obrade sastoje se od postupaka obrade koji zbog svoje prirode, opsega i/ili svrha iziskuju redovito i sustavno praćenje ispitanika u velikoj mjeri, ili
(c) osnovne djelatnosti voditelja obrade ili izvršitelja obrade sastoje se od opsežne obrade posebnih kategorija podataka i osobnih podataka u vezi s kaznenim osudama i kažnjivim djelima.
Bez obzira na pogrešnu procjenu udruge, do kršenja GDPR-a nije došlo, štoviše, udruga je napravila "dobro djelo".
Naime, organizacije, bez obzira nalazile li se u ulozi voditelja ili izvršitelja obrade, ako nisu obvezne imenovati Službenika za zaštitu podataka, mogu to učiniti ako pronađu osobu koja ispunjava sve potrebne uvjete za obavljanje takve složene uloge, o kojima smo pisali:
https://www.biconsult.hr/gdprcroatia/1377-sluzbenik-za-zastitu-podataka-dpo-tko-moze-obavljati-tu-ulogu
I AZOP blagonaklono gleda na mogućnost imenovanja Službenika za zaštitu podataka iako organizacija takvu obvezu nema:
https://azop.hr/cesto-postavljena-pitanja-sluzbenici-za-zastitu-podataka/
6. Što u slučajevima kada imenovanje službenika za zaštitu podataka nije obavezno? Može li se dobrovoljno imenovati službenik za zaštitu podataka?
U slučajevima kada imenovanje službenika za zaštitu podataka nije obvezno, za organizacije ponekad može biti korisno dobrovoljno imenovati službenika za zaštitu podataka te se čak i potiču takva dobrovoljna imenovanja.
Više o slučaju iz Luksemburga:
https://gdprhub.eu/index.php?title=CNPD_(Luxembourg)_-_D%C3%A9lib%C3%A9ration_n%C2%B043FR/2021&mtc=today
Photo by Andrea Piacquadio from Pexels
