Imenovanje službenika za zaštitu podataka i dan danas je dilema mnogih organizacija. Treba li biti imenovan službenik za zaštitu podataka, ako da tko bi se time bavio?
Osim polemike treba li biti imenovan službenik za zaštitu podataka od velike važnosti je i koga imenovati. Naime, vrlo lako može doći do imenovanja osobe koja posao ne zna obavljati, ne stigne i/ ili je pak u sukobu interesa.
U svjetlu pojačanih aktivnosti nadzornih tijela, osobito nakon koordinirane akcije nadzornih tijela i EDPB-a u nastavku ćemo razložiti nekoliko slučajeva iz kojih se može i puno toga naučiti, osobito izbjeći greške koje mogu dovesti do kažnjavanja radi sukoba interesa imenovanog službenika za zaštitu podataka.
Popunjavanje upitnika od strane službenika
Nadzorna tijela su diljem Europskog gospodarskog prostora u suradnji sa Europskim odborom za zaštitu podataka (EDPB) i Europskim nadzornikom za zaštitu podataka (EDPS) provodila koordiniranu provedbenu aktivnost za 2023. (Koordinirani provedbeni okvir – CEF 2023) na temu imenovanja i uloge službenika za zaštitu podataka. Sve organizacije morale su radi daljnjeg nadležnog postupanja Agenciji za zaštitu podataka dostaviti podatke odnosno odgovoriti na pitanja iz upitnika koji ste trebali zaprimiti putem e-poruke https://ec.europa.eu/eusurvey/runner/koordinirana-provedbena-akcija-azop, a odnose se na imenovanje i ulogu službenika za zaštitu podataka unutar vaše organizacije.
Nekoliko mjeseci nakon roka u kojem ste trebali dostaviti upitnike pokrenuti su i nadzori nad nekim organizacijama radi sadržaja samih upitnika, prvenstveno radi sumnje u sukob interesa imenovanog službenika za zaštitu podataka. No, krenimo redom…
Nesmetano i neovisno obavljanje zadaća službenika
Kako bi službenik mogao nesmetano obavljati svoje zadaće organizacija mora voditi računa da se imenovani službenik za zaštitu podataka, među ostalim, ne nalazi u sukobu interesa.
Nadzorna tijela su nakon pregleda dostavljenih upitnika utvrdila kako je niz organizacija na radnom mjestu službenika imenovalo osobu koja je zaposlena unutar organizacije te unutar iste organizacije možebitno donosi odluke o načinu i svrhama obrade osobnih podataka. Zbog navedenog nadzorna tijela su pozvala mnoge organizacije da dostave svoje očitovanje. Pokrenut je upravni nadzor.
Dakle, kao i druga nadzorna tijela postupio je i AZOP (Agencija za zaštitu podataka u RH). Koliko god je AZOP-ova aktivnost samo nastavak EDPB-ove koordinirane akcije u vezi s imenovanjem i položajem službenika za zaštitu osobnih podataka ("CEA 2023") utoliko su mnogi sada u strahu jesu li imenovali adekvatne osobe na mjesto službenika za zaštitu podataka. AZOP će iz upitnika procijeniti jesu li organizacije ispunile sve primjenjive zahtjeve prema člancima 37. – 39. GDPR-a (Opće uredbe za zaštitu podataka) i imaju li službenici potrebne resurse za obavljanje svojih zadataka.
GDPR (Opća uredba o zaštiti podataka i smjernice EDPB-a) - što piše u člancima?
Prema stavku 6. članka 38. Opće uredbe o zaštiti podataka službenik za zaštitu podataka može ispunjavati i druge zadaće i dužnosti. Voditelj obrade ili izvršitelj obrade osigurava da takve zadaće i dužnosti ne dovedu do sukoba interesa.
Smjernice o službenicima za zaštitu podataka radne skupine za zaštitu podataka iz članka 29. donesene 13. prosinca 2016. (WP 243 rev.01) navode da je nepostojanje sukoba interesa usko povezano s obvezom djelovanja na neovisan način. Konkretno, to podrazumijeva da službenik za zaštitu podataka ne može biti djelatnik organizacije čiju svrhu i načine obrade osobnih podataka mora utvrditi. Zbog posebne organizacijske strukture svake organizacije o tomu se mora odlučivati na pojedinačnoj osnovi.
Ovisno o djelatnostima, veličini i strukturi organizacije, za voditelje obrade ili izvršitelje u praksi bi moglo biti dobro sljedeće:
(a) utvrditi funkcije koje su nespojive s funkcijom službenika za zaštitu podataka,
(b )sastaviti interna pravila za tu svrhu kako bi se izbjegao sukob interesa,
(c) dodati i šire objašnjenje o sukobu interesa,
(d) izjaviti da njihov službenik za zaštitu podataka nije u sukobu interesa s obzirom na njegovu dužnost službenika za zaštitu podataka, što će pridonijeti podizanju svijesti o postojanju te obveze,
(e) u interna pravila organizacije uvrstiti zaštitne mjere i osigurati da je natječaj za radno mjesto službenika za zaštitu podataka ili ugovor o djelu dostatno precizan i iscrpan radi izbjegavanja sukoba interesa. U tom bi kontekstu trebalo imati na umu da se sukobi interesa mogu pojaviti u raznim oblicima, ovisno o tome je li službenik za zaštitu podataka već bio zaposlenik organizacije ili nije.
Radna mjesta koja su potencijalno u sukobu interesa u okviru organizacije mogu biti položaji u višem rukovodstvu (kao što su predsjednik uprave, direktor poslovanja, direktor financija, glavni medicinski službenik, voditelj odjela za marketing, voditelj ljudskih resursa, voditelj odjela za informacijsku tehnologiju, voditelj usklađenosti/ upravljanja rizicima i unutarnje revizije, voditelj odjela za upravljanje operativnim rizikom/ upravljanje informacijskim rizikom, CISO, MLRO, odvjetnik voditelja obrade ili izvršitelja obrade, zamjenik glavnog savjetnika, direktor podružnica unutar grupe i sl.), ali i niže uloge u hijerarhijskoj strukturi organizacije ako takvi položaji ili uloge podrazumijevaju utvrđivanje svrhe i načina obrade osobnih podataka.
Teret dokazivanja da službenik za zaštitu podataka nije u sukobu interesa je na voditeljima i/ili izvršiteljima obrade. Članak 38(6) GDPR ne smatra službenika osobno odgovornim. Odgovornost za neusklađenost sa GDPR-om snosi voditelj obrade/izvršitelj obrade.
Kako osigurati neovisnost službenika za zaštitu osobnih podataka
Kako bi osigurali neovisnost rada službenika za zaštitu podataka potrebno je minimalno sljedeće:
• Voditelj obrade treba ustanoviti radno mjesto službenika za zaštitu osobnih podataka. Službenik za zaštitu podataka može biti vanjski ili imenovan unutar organizacije. U svakom slučaju ukoliko imenujete službenika za zaštitu podataka unutar organizacije radno mjesto treba biti službeno priznato ( u sistematizaciji radnih mjesta) i to na razini uprave;
• Voditelj obrade treba imenovati službenika za zaštitu osobnih podataka na najduže moguće vrijeme. Stoga bi petogodišnje imenovanje trebala biti (minimalno) norma, osim ako to nije moguće u danim okolnostima;
• Službenik za zaštitu osobnih podataka imenovan unutar organizacije treba imati ugovor na neodređeno;
• Službenik za zaštitu osobnih podataka bi trebao moći posvetiti svoje vrijeme u cijelosti svojim zadaćama, posebno u slučaju velikih institucija i tijela, a kod manjih tijela – minimalno u inicijalnoj fazi implementacije zaštite podataka u poslovanje. Pravilna podrška u smislu resursa i infrastrukture trebala bi biti osigurana. Zadaće koje nisu u djelokrugu službenika za zaštitu osobnih podataka u slučaju službenika koji radi na nepuno radno vrijeme ne bi smjele dovoditi do sukoba interesa, čak niti do sumnje na sukob interesa;
• Službenik za zaštitu osobnih podataka u organizacijama gdje je obrada podataka osnovna djelatnost organizacije uobičajeno će trebati različite članove osoblja. Takav kapacitet osoblja treba biti osiguran;
• Trebaju postojati pravila unutar organizacije koja osiguravaju obvezu svih članova osoblja surađivati sa službenikom za zaštitu osobnih podataka, bez da je potrebno čekati nalog ili dozvolu njihovog nadređenog;
• Službenik za zaštitu osobnih podataka bi trebao podnositi izvještaje voditelju organizacije odnosno najvišim rukovodećim razinama. Preporuka je da se izvješća podnose osobi unutar organizacije koja bi trebala biti odgovorna za njegovo praćenje, kao što je utvrđeno GDPR-om. Osoba odgovorna za praćenje službenika za zaštitu podataka treba biti osjetljiva na potrebu službenika da zauzme snažno stav, što ostali unutar organizacije možda neće cijeniti. Tijelo/ odgovorna osoba/e koje/a ga je imenovalo/la bi trebalo osigurati da on/a ostvare barem “uobičajeno” profesionalno napredovanje u karijeri (kada govorimo o službenicima imenovanim unutar organizacije). Kod ocjenjivanja radnog učinka, ocjenjivač treba biti oprezan kako ne bi ukorio službenika zbog zauzimanja nepopularnih pozicija niti treba razmatrati zahtjeve za zaštitu podataka kao administrativni teret. Za službenika koji radi skraćeno radno vrijeme, ispunjavanje zadaća treba biti jednake težine u usporedbi s ispunjavanjem zadaća koje nisu u djelokrugu službenika;
• Službenik za zaštitu osobnih podataka bi trebao imati svoj proračun, postavljen sukladno relevantnim pravilima i procedurama pojedine organizacije; zahtjevi službenika za bilo kojim daljnjim resursima trebaju podlijegati odobrenju administrativnog voditelja. Drugi su aranžmani prihvatljivi ako osiguravaju resurse koji su mu/joj potrebni za ispunjenje njegove/njene zadaće na neovisan način;
• Službenik treba imati ovlasti za potpisivanje korespondencije koja se tiče zaštite podataka;
• Ako dođe do donošenja iznimno važne odluke u vezi s osobnim podacima u kontekstu druge/ih uloge/a službenika za zaštitu podataka, voditelj obrade bi trebao delegirati zaposlenika odgovarajućeg staža da donese odluku u njihovo ime (i dokumentirati da su to učinili);
• U slučaju povrede osobnih podataka službenik za zaštitu podataka bi trebao prisustvovati sastancima o incidentu i pružiti stav i/ili mišljenje, ali ne bi trebao biti jedina strana (osoba) koja utvrđuje rizik od povrede i/ili ako voditelj obrade treba obavijestiti relevantno nadzorno tijelo;
• Prilikom imenovanja službenika, predlaže se mapiranje postojeće odgovornosti potencijalnih imenovanih osoba kako bi se utvrdilo uključuju li neke od njih donošenje odluke o obradi osobnih podataka i mogu li se ublažiti ili prenijeti. Ovdje bi trebao pomoći pregled Evidencija o aktivnostima obrade vaše organizacije;
• Odluke o imenovanju bi trebale sadržati dovoljno pojedinosti u vezi sa zadacima ili odgovornostima koje bi predstavljale "konfliktnu" poziciju. Izjava službenika da nema sukoba također može biti prikladna i u određenim slučajevima primjenjiva.
Primjeri kazni
Europski sud pravde (CJEU) C-453/ X-FAB Dresden GmbH & CO. KG v FC (9. veljače 2023.)
FC, zaposlenik X-FAB Dresden GmbH, bio je predsjednik radničkog vijeća i potpredsjednik središnjeg radničkog vijeća za Grupu kojoj je pripadao. U lipnju 2015. tvrtka odnosno njezina matica i druge podružnice Grupe zasebno su imenovale FC za svog službenika za zaštitu osobnih podataka. Na zahtjev nadležnog nadzornog tijela, razriješili su FC-a dužnosti službenika za zaštitu osobnih podataka zbog sukoba interesa u njegovim ulogama. To je bilo zbog činjenice da je FC morao izravno izvještavati najvišu razinu upravljanja voditelja obrade ili izvršitelja obrade, tj. radničko vijeće čiji je FC bio predsjednik i potpredsjednik.
CJEU je utvrdio da je državama članicama dopušteno uvesti dodatnu zaštitu protiv otpuštanja službenika za zaštitu osobnih podataka, ali takve zaštite ne mogu ugroziti postizanje ciljeva GDPR-a. To se može dogoditi ako se službenik ne može otpustiti kada više ne posjeduje profesionalne kvalitete potrebne za obavljanje svojih zadataka
Osim toga, CJEU je utvrdio da bi bilo kakva povećana zaštita službenika za zaštitu podataka koja bi spriječila njihovo otpuštanje u slučaju da više nisu u poziciji djelovati neovisno, zbog sukoba interesa, potkopala ciljeve GDPR-a.
CJEU je smatrao da nije u skladu s potrebnom neovisnošću uloge službenika da ista osoba savjetuje tvrtku o njezinoj usklađenosti sa zaštitom podataka, dok također donosi odluke o tome kako izvršiti aktivnosti obrade. Ključni dio uloge službenika je neovisno preispitivanje ciljeva i metoda obrade, a to nije moguće ako je službenik također osoba koja donosi konačnu odluku. Postojanje sukoba interesa mora se procijeniti od slučaja do slučaja, uzimajući u obzir sve relevantne okolnosti, uključujući organizacijsku strukturu voditelja obrade ili njegovog izvršitelja obrade, te sva druga primjenjiva pravila, uključujući sve relevantne politike voditelja obrade.
AEPD (Spain) - EXP202201681 (PS/00345/2022)
Španjolsko nadzorno tijelo (Agencia Española de Protección de Datos) je voditelju obrade, Visokoj školi arhitekture izreklo kaznu od 5.000,00 eura zbog sukoba interesa u kojem je bio njihov službenik za zaštitu podataka. U konkretnom slučaju, DPA je utvrdio da je položaj osobe imenovane za službenika nespojiv s obavljanjem tih poslova jer bi mogao dovesti do utvrđivanja svrhe i sredstava obrade podataka. Stoga je utvrdio povredu članka 38. stavka 6. GDPR-a.
BlnBDI (Berlin) (rujan 2022.)
U navedenoj odluci određuje se kazna od 525.000,00 eura protiv podružnice Grupe za e-trgovinu sa sjedištem u Berlinu. Prema mišljenju nadzornog tijela sukob interesa postojao je u slučaju službenika za zaštitu podataka jer je ista osoba bila istovremeno i direktor dviju uslužnih tvrtki koje su obrađivale osobne podatke u ime iste tvrtke za koju je obnašao dužnost službenika za zaštitu podataka. Ove uslužne tvrtke također su dio Grupe; pružaju korisničku uslugu i izvršavaju narudžbe.
Prilikom odmjeravanja kazne, nadzorno tijelo je uzelo u obzir troznamenkasti milijunski promet grupe za e-trgovinu u prethodnoj poslovnoj godini te veliki broj zaposlenika i kupaca. Također je uzeto u obzir namjerno ponovno imenovanje službenika za zaštitu podataka na gotovo godinu dana unatoč već izrečenom upozorenju.
Belgijsko nadzorno tijelo (28.04.2020.)
Belgijsko nadzorno tijelo za zaštitu podataka kažnjava voditelja obrade podataka s 50.000,00 eura zbog imenovanja službenika za zaštitu osobnih podataka koji je također bio unutar voditelja obrade imenovan odnosno raspoređen na radno mjesto voditelja usklađenosti, revizije i rizika.
Službenik za zaštitu osobnih podataka je imao neprimjeren utjecaj na aktivnosti obrade podataka, budući da je kao voditelj usklađenosti, rizika i revizije bio odgovoran za donošenje odluka o obradi podataka u mnogim kritičnim aktivnostima.
Kazna je primjerena s obzirom na sljedeće: koncept službenika nije nov i postoji dugi niz godina; temeljna djelatnost društva je obrada osobnih podataka u velikom opsegu, uključujući podatke osjetljive prirode trajanje prekršaja koji je započeo u svibnju 2018. godine i trajao do veljače 2020. godine.
Belgijsko nadzorno tijelo (16. prosinac 2021.)
Nadzorno tijelo je izreklo banci kaznu od 75.000,00 eura jer je njezin službenik za zaštitu podataka bio i voditelj triju odjela s ovlastima za donošenje odluka u vezi s obradom osobnih podataka što je dovelo do sukoba interesa.
Banka je tvrdila da voditelj tih službi nije imao ovlast odlučivanja za određivanje svrha i sredstava obrade osobnih podataka, već isključivo savjetodavnu i nadzornu ulogu. Nadzorno tijelo je povrgnulo argument banke, navodeći da ta uloga nije "isključivo savjetodavna i nadzorna" i da službenik za zaštitu podataka i dalje može utvrditi sredstva i svrhe obrade osobnih podataka. To je dodatno dokazala i bankovna Evidencija o aktivnostima obrade, u kojoj je naveden znatan broj kategorija osobnih podataka koje ti odjeli obrađuju.
AZOP (26.09.2023.)
Imenovanjem voditelja hotela za službenika za zaštitu podataka, voditelj obrade postupio je protivno odredbama članka 38. stavka 6. Opće uredbe o zaštiti podataka. Iz opisa poslova voditelja hotela vidljivo je kako je isti velikom mjerom odgovaran za donošenje upravljačkih odluka na razini obrade osobnih podataka, dok je s druge strane kao službenik za zaštitu podataka dužan pratiti usklađenost poslovanja u obradi osobnih podataka s propisima kojima je regulirana zaštita osobnih podataka.
Ukupna novčana kazna za navedenu povredu i još 4 utvrđene GDPR-a iznosila je 15.000,00 eura.
Što reći na kraju…
Ukoliko sagledamo sve kazne, sve okolnosti slučajeva koji su doveli do kažnjavanja radi sukoba interesa službenika za zaštitu podataka, ali i činjenicu koliko je njegova uloga važna u ispunjavanju regulatornih zahtjeva, najbolje je zaključiti kako treba odmah provjeriti tko je u vašim organizacijama imenovan na poziciju službenika za zaštitu podataka te jeste li ispunili imenovanjem minimalne zahtjeve koje navodimo u ovom blogu.
Putem kontakt obrasca zatražite besplatan Priručnik za službenike za zaštitu osobnih podataka (Douwe Korff & Marie Georges Cambridge/Paris, Lipanj 2019) na 267 strana.
