U posljednje vrijeme svjedočimo neočekivano visokim kaznama nadzornih tijela organizacijama koje su propustile imenovati Službenika za zaštitu podataka unatoč postojanju takve obveze ili su imenovale Službenika za zaštitu podataka koji ne ispunjava određene kriterije.
 
Ukratko, ne mora svaka organizacija, tvrtka ili udruga imenovati Službenika za zaštitu podataka. Štoviše, nije bitno koliko je organizacija velika i koliki broj zaposlenih ima, već je ključno čime se bavi.
 
Ako se pak radi o javnoj ustanovi, jedinici lokalne ili regionalne ili državne uprave, dječjem vrtiću, školi, fakultetu i sl., obveza definitivno postoji.
 
 
Kriteriji za postojanje takve obveze su ako:
 
(a) se radi o tijelu javne vlasti ili javnom tijelu,
 
(b) se osnovna djelatnosti sastoji od postupaka obrade koji iziskuju redovito i sustavno praćenje ispitanika u velikoj mjeri,
 
(c) se osnovna djelatnost sastoji od opsežne obrade posebnih kategorija podataka i osobnih podataka u vezi s kaznenim osudama i kažnjivim djelima.
 
 
1. Kazna od 50.000 EUR za neimenovanje Službenika za zaštitu podataka
 
- izrečena je ovih dana u Španjolskoj, tvrtki koja se bavi tehničkom zaštitom i upravljanjem sustavima video nadzora pri čemu redovito i sustavno prati fizičke osobe u velikoj mjeri:
 
https://gdprhub.eu/index.php?title=AEPD_-_PS/00251/2020
 
 
2. Kazna od 50.000 EUR za nepoštivanje kriterija za odabir Službenika za zaštitu podataka
 
- izrečena je u Belgiji zbog činjenice da je za tu poziciju imenovan direktor interne revizije, procjene rizika i usklađenosti, čime je, kako nadzorno tijelo tvrdi, ta osoba u sukobu interesa iz članka 38. stavka 6. GDPR-a. Mi se baš ne slažemo s ovakvom ocjenom nadzornog tijela niti iznosom kazne, ali opreza nikad dovoljno:
 
https://edpo.com/news/dpo-and-conflict-of-interest-50-000e-fine-by-the-belgian-dpa/
 
 
Važno je odabrati pravu osobu za takvu ulogu u organizaciji, koja nije u sukobu interesa, koja nije pod ničijim utjecajem i koja odlično poznaje regulativu o zaštiti osobnih podataka, informacijsku sigurnost, osnove IT-a, nacionalno i EU pravo, i koja može svojim utjecajem i autoritetom usmjeriti cijelu organizaciju na poštivanje GDPR-a.