Pored tijela javne vlasti i javnih tijela, funkcija službenika za zaštitu podataka je obveza i za svaki subjekt čija se osnovna djelatnost sastoji od procesa i poslova koji uključuju sustavnu obradu I praćenje osobnih podataka ili ako se sastoji od opsežne obrade posebnih kategorija podataka (npr. spol, vjera, ponašanje, otisak prsta, videonadzor, podatak o zdravlju itd) ili osobnih podataka koji se odnose na kaznene osude i kažnjiva djela.
Tvrtke, koje nisu obvezne imenovati službenika za zaštitu podataka, trebaju imati dokumentirano zašto takvu obvezu imenovanja ne trebaju provesti.
Bez obzira da li je tvrtka dužna imenovati službenika za zaštitu podataka ili to nije dužna, i dalje postoji obveza za svaku tvrtku da posluje sukladno zahtjevima Opće uredbe.
Za tvrtke je većinom GDPR regulatorna obveza i tu nema puno dilema. One nastoje poslovati u skladu s GDPR zahtjevima sa minimalnim izravnim utjecajem na poslovanje i naravno, da je takav resurs što jeftiniji. S obzirom na vrstu i volumen poslovanja te organizacijski poslovni model, svaka tvrtka će takvu potrebu pokušati prilagoditi na način da joj se najbolje uklapa u poslovanje, a da ispuni potrebnu razinu usklađenosti.
IN-HOUSE – SLUZBENIK ZA ZAŠTITU PODATAKA
Ovaj model podrazumijeva obavljanje poslova službenika za zaštitu podataka od strane zaposlenika tvrtke ili češće, od strane tima unutar tvrtke. Takav DPO tim obično se sastoji od profesionalaca pravnog usmjerenja i stručnjaka informacijskih znanja. Prednost takvog službenika za zaštitu podataka koji se sastoji od cijelog tima je detaljno poznavanje poslovnih procesa i projekata te potrebe specifičnog poslovanja u kojem djeluje. On je obično preporuka kada govorimo o velikim tvrtkama i korporacijama.
Kada takvu funkciju obavlja jedna osoba unutar tvrtke tada nije rijetkost da poslove službenika za zaštitu podataka obavlja osoba koja ima i druge zadaće u tvrtki. Razlog tome je uglavnom u činjenici da fokus na GDPR nije dovoljno za ispunjenje punog radnog vremena. To nije u suprotnosti sa Općom uredbom, dok god može ispunjavati svoje redovne zadaće sukladno zahtjevima Opće uredbe (uključujući i istražne radnje i ostale poslove sukladno važećim Smjernicama, uputema i preporukama EU povjerenika za zaštitu podataka ) i dokle njegova funkcija u tvrtki nije u sukobu interesa sa funkcijom službenika za zaštitu podataka (npr. nije direktor, voditelj pravnih/kadrovskih i drugih poslova ili ne obnaša drugu funkciju koja može određivati prikupljanje i obradu osobnih podataka). Ovaj model načešće je zanimljiv tvrtkama koje trebaju imenovati službenika za zaštitu podataka ali ne žele angažirati vanjske resurse za to područje. Pri tome treba imati u vidu da je provedba Opće uredbe u poslovanju puno više od operativnih zadataka koji se provode u tvrtki i da zahtjeva imperativ trajnog usavršavanja.
VANJSKA GDPR USLUGA
Ovaj opći model obuhvaća nekoliko različitih vrsta po izboru tvrtke. Osnovna usluga uključuje vršenje funkcije Službenika za zaštitu podataka od strane profesionalaca koji se sastoji od tima stručnjaka.
Premda se takva usluga često naziva Vanjski DPO, Externi DPO i slično, ne mora nužno obuhvaćati obvezu imenovanja službenika za zaštitu podtaka. Najčešće tvrtka odlučuje angažirati takvog partnera kako bi u cijelosti brigu oko poslovanja u skladu sa zahtjevima Opće uredbe i druge regulative koja uređuje pitanje zaštite osobnih podataka i privatnosti prepustili profesionalcima.
Za tvrtku je glavna prednost vanjske usluge stručnost koja podrazumjeva visoki stupanj poznavanja zakonske regulative i inforamacijskih znanja, te veliko iskustvo u radu koje je često jedno od ključnih čimbenika kako bi se tvrtka adekvatno zaštitala od mogućih kazni i naknada šteta te stalna dostupnost takve funkcije, bez prekida izazvanih godišnjim odmorima, bolovanjima ili drugom vrstom izostanaka.
Trošak takve eksterne funkcije za tvrtku je u pravilu uvijek financijski povoljnjiji od stručnog zaposlenika-profesionalca na stalnoj plaći.
KRITERIJI PRI ODABIRU
Brojne su specifičnosti tvrtke i poslovanja koje mogu utjecati na odabir modela. Ne postoji točna uputa koji je model preporučljiv za određenu tvrtku ili poslovanje, ali postoje relacije koje mogu biti okvir za njihovu odluku.
Iako je postupanje u skladu s zahtjevima Opće uredbe stalna potreba svakog poslovanja, to ne znači da je ta potreba svakodnevna. Stoga je preporuka prethodno dobro procijeniti očekivanu potrebu za vršenjem poslova iz djelokruga službenika za zaštitu podataka u vlastitom poslovanju. S druge strane, kvalitetan stručnjak u stalnom radnom odnosu može predstavljati visok trošak. Već s takvim polazištima, za mala i dio srednjih poduzeća model vanjske usluge se može pokazati privlačnijim izborom.
Tvrtke sa kompleksnom organizacijskom strukturom, velikim brojem zaposlenika i djelatnostima koje uključuju velike količine osobnih podataka i obrada, područje zaštite podataka integriraju kao organizacijsku cjelinu u strukturu tvrtke. Zbog organizacijskog modela upravljanja i niza internih protokola takvim sustavima više odgovara izvršavanje funkcije zapošljavanjem kvalitetnih stručnjaka objedinjenih u DPO timu.
Bez obzira koji model tvrtke izaberu u prilagodbi poslovanja sa GDPR, u prvom redu je važno da ga trajno i redovito provode. To znači da potreba za primjenom GDPR u poslovanju ne završava s inicijalnom implementacijom. To je proces koji se primjenjuje svakodnevno u poslovanju tvrtke, te napose mijenja i dopunjuje u skladu s promjenama koje proizlaze iz relevantnih Smjernica i Preporuka EU povjernika i nacionalnog tijela za zaštitu podataka.
Autori: Ines i Marko Krečak, Službenik za zaštitu podataka Feralis
Naše kolumne:
SEEBiz.eu: Važnost GDPR sporazuma u poslovanju tvrtke
Glas Istre: Praktični vodič za politiku privatnosti web-stranice
Povezane teme:
Uloga DPO u organizacijama
Održavanje usklađenosti poslovanja tvrtki prema GDPR
Pregled poslovanja tvrtki kroz GDPR:Evidencija aktivnosti obrade
Povezane usluge:
Usklađivanje poslovanja s GDPR
Vanjska GDPR usluga za tvrtke i organizacije