Službenik za zaštitu podataka - DPO

Eksternalizacija funkcije službenika za zaštitu podataka - DPO

Eksternalizacija

Službenik za zaštitu podataka (DPO) osoba je koju organizacija mora imenovati u slučaju:

  • da je organizacija javno tijelo ili javno tijelo (isključujući sudove)
  • da se glavne aktivnosti organizacije sastoje od postupaka obrade koji zbog svoje prirode, opsega ili svrhe zahtijevaju redovito i sustavno praćenje pojedinaca u velikoj mjeri, ili
  • da se temeljne aktivnosti organizacije sastoje u opsežnoj obradi određenih kategorija podataka

Tko može biti službenik za zaštitu podataka?

S obzirom na zadaće propisane Općom uredbom o zaštiti podataka (GDPR), službenik za zaštitu podataka trebao bi biti stručnjak koji bi trebao posjedovati znanja i iskustva iz sljedećih područja:

  • Poznavanje GDPR uredbe, zakonskih i podzakonskih akata koji reguliraju zaštitu osobnih podataka – Osobni podaci moraju se obrađivati u skladu s Općom uredbom o zaštiti podataka (GDPR) te ostalim zakonskim i podzakonskim aktima koji reguliraju zaštitu osobnih podataka.
  • Poznavanje novih tehnologija – Različita tehnološka rješenja donose različite prijetnje u pogledu informacijske sigurnosti, a samim time i zaštite osobnih podataka. Kvalitetan DPO trebao bi poznavati tehnologiju u dovoljnoj mjeri kako bi mogao nadzirati postojeća rješenja i savjetovati kod uvođenja novih.
  • Poznavanje informacijske sigurnosti – Potrebno je uspostaviti i provesti odgovarajuću zaštitu podataka. Službenik za zaštitu podataka trebao bi biti dovoljno upoznat s informacijskom sigurnošću i tehnologijom da bi mogao nadzirati postojeće sigurnosne mjere i savjetovati o uvođenju novih.
  • Snalaženje kod povrede osobnih podataka (data breach) – Ukoliko dođe do uništenja, gubitka, neovlaštenog pristupa ili izmjene informacija, službenik mora biti svjestan svih koraka koje mora poduzeti. Odnosno, on mora znati kada i zašto se određeni incident dogodio, te kada i koga mora obavijestiti
  • Upravljanje rizicima – Kako bi se osobni podaci mogli kvalitetno zaštititi potrebno je obraditi rizike koji se odnose na same informacije kao i na resurse za obradu informacija.
  • Može pružiti savjete kod procjene učinka na zaštitu osobnih podataka – Procjena učinka na zaštitu osobnih podataka (DPIA) je proces za sustavno analiziranje, identifikaciju i smanjenje rizika u organizacijskim projektima i planovima. Ona pomaže procijeniti kako i u kojoj mjeri se pridržavate obveza zaštite podataka.
  • Može educirati osoblje – Službenik za zaštitu podataka zadužen je za informiranje i obuku osoblja koje obrađuje osobne podatke.

Pripazite na sukob interesa

Službenik za zaštitu podataka može biti zaposlenik organizacije i može obavljati druge zadatke i zadatke pod uvjetom da takvi zadaci i dužnosti ne dovode do sukoba interesa. Drugim riječima, ova funkcija mora biti neovisna o bilo kojoj funkciji koja odlučuje i upravlja obradom osobnih podataka i stoga velik broj organizacija ima problem s imenovanjem službenika zbog nedostatka osobe koja nije u sukobu interesa.

„Nepisano je pravilo da poslovi koji mogu biti u sukobu interesa unutar organizacije mogu biti viša rukovodeća mjesta (kao što su izvršni direktor, poslovni direktor, direktor nancija, glavni liječnik, šef marketinga, šef ljudskih resursa ili šef odjel za informacijsku tehnologiju), ali i niže uloge u hijerarhijskoj strukturi organizacije ako takve pozicije ili uloge podrazumijevaju određivanje svrhe i načina obrade osobnih podataka “ (AZOP)

Zašto eksternalizirati funkciju službenika za zaštitu podataka (DPO)?

Organizacije se odlučuju eksternalizirati funkciju najčešće zbog:

  • Nedostatak stručnog osoblja – nedostatak dovoljno stručnog osoblja u organizaciji ili na tržištu rada. S obzirom na to da je funkcija službenika za zaštitu podataka izuzetno tražena, velik broj stručnjaka već je zaposlen u drugim organizacijama ili više ne u Hrvatskoj.
  • Sukob interesa – u većini organizacija zaposlenici koji bi bili dovoljno stručni za obavljanje funkcije službenika za zaštitu podataka već su uključeni u druge zadatke koji ih dovode do sukoba interesa.

Organizacije putem eksternalizacije mogu riješiti iznad navedene probleme angažiranjem vanjskog stručnjaka. Eksternalizacijom funkcije osigurali ste stručnost i izbjegli mogući sukob interesa.

Naši stručnjaci imaju međunarodno iskustvo u pogledu zadataka službenika za zaštitu podataka, kao i prilagodbe organizacija GDPR-u. Također imamo veliko iskustvo u uspostavi i održavanju sustava informacijske sigurnosti i obrazovanju. Obratite nam se s povjerenjem!