Jug Puljizević

Čudnovati kljunaš ili Jack of all trades

Piše: Jug Puljizević

Pozicija službenika za zaštitu podataka (eng. Data Protection Officer – DPO) u Hrvatskoj postoji gotovo 15 godina, ali tek dolaskom GDPR-a doživljava svoj uzlet. U svojem istraživanju iz 2018. godine, International Association of Privacy Professionals (IAPP) tvrdi da će u narednim godinama (dakle sada), Europa i USA trebati gotovo 30.000 službenika za zaštitu podataka, dok će se ta brojka na globalnoj razini kretati oko 75.000.

U međuvremenu je Brazil donio svoj zakon o privatnosti, Indija aktivno radi na svojem, dok će onaj Kineski (tzv. PIPL) stupiti na snagu 1. studenoga. Isti je trend primjetan u nekolicini američkih saveznih država, tako da je za očekivati puno veću potražnju za kvalitetnim službenicima za zaštitu podataka.

Tko uopće može biti službenik za zaštitu podataka? GDPR daje smjernice pa tako predviđa da se službenika za zaštitu podataka imenuje „na temelju stručnih kvalifikacija, a osobito stručnog znanja o pravu i praksama u području zaštite podataka te sposobnosti izvršavanja zadaća“ propisanih GDPR-om.

Imenovanje službenika za zaštitu podataka obvezno je ako obradu provodi tijelo javne vlasti ili javno tijelo; ako se osnovne djelatnosti voditelja obrade sastoje od postupaka koji iziskuju redovito i sustavno praćenje ispitanika u velikoj mjeri i ako se osnovne djelatnosti voditelja obrade sastoje od opsežne obrade posebnih kategorija podataka ili osobnih podataka koji se odnose na kaznene osude i kažnjiva djela.

Kako to doista izgleda u praksi? U Hrvatskoj se službenika za zaštitu podataka najčešće imenuje između postojećih zaposlenika, umjesto novog zapošljavanja ili ugovaranja usluga vanjskog stručnjaka. Mislim da sam u ovoj godini vidio svega 2-3 oglasa za radno mjesto službenika za zaštitu podataka, a i to u većim tvrtkama.

U tijelima javne vlasti pozicija službenika se najčešće „uvali“ nekome (ipak su u obvezi), pri čemu navedeni kriteriji ne igraju nikakvu ulogu. Idealno, ako je „izabrana“ osoba već nekakav povjerenik u organizaciji ili je dio pravne službe (ako ne i jedini pravnik). Od takvih se službenika očekuje da ne zamaraju nadređene s prijedlozima kako unaprijediti zaštitu osobnih podataka (čast izuzecima) te da ne inzistiraju na edukacijama i usavršavanju. Ako slučajno izađu „van okvira“, gotovo je sigurno da ih nitko neće poslušati.

Posebna kategorija su tajnice, pogotovo one pravnog i upravnog obrazovanja. Gotovo da nema škole koja nije imenovala tajnicu, službenicom za zaštitu podataka. Doduše, 2018. godine nekoliko je velikih trgovačkih društava u državnom vlasništvu ili vlasništvu jedinica lokalne samouprave imenovalo (administrativne) tajnice uprave službenicama za zaštitu podataka, ali su u međuvremenu odustali od takve prakse.
Realni sektor, s druge strane, je u potpuno drugačijoj situaciji. Za početak, zakon priječi novčano kažnjavanje tijela javne vlasti tako da svako (ne)imenovanje službenika za zaštitu podataka predstavlja određeni rizik za poduzetnika. Isto vrijedi i za pro-forma imenovanja (vidi prethodne odlomke). Veliki sustavi ulažu u timove za zaštitu podataka, u kojima se uz „GDPR-ovce“ nalaze i stručnjaci za informatičku sigurnost, procjenu i upravljanje rizicima i sl. Srednji i mali poduzetnici su najčešće prepušteni sami sebi.

Otegotna okolnost je još uvijek niska svijest o potrebi zaštite osobnih podataka i GPDR-u kao korisnom alatu. Dobar dio ga vidi kao set (čitaj: hrpu) dokumenata, koji se spreme u neki registrator i pokažu inspekciji kada za to dođe vrijeme. Službenik za zaštitu podataka je u tom slučaju nepotrebni trošak.

Strateško promišljanje u tvrtkama i organizacijama koje obrađuju velike količine osobnih podataka gotovo bez izuzetka osvijesti potrebu za službenikom za zaštitu osobnih podataka. Iako su rješavanje zahtjeva ispitanika i suradnja s AZOP-om najvidljiviji aspekti njegovih zaduženja, upravo je njegova savjetodavna uloga dodatna vrijednost. Dodamo li tome složene procjene utjecaja na međunarodni prijenos osobnih podataka (eng. Transfer Impact Aessessment – TIA) i konstantno podizanje razine svijesti u organizaciji, uz izradu odgovarajućih protokola za različite situacije, počinje se nazirati područje djelovanja i odgovornosti kvalitetnog službenika za zaštitu podataka, koji uživa povjerenje poslodavca (ili klijenta).

U suprotnom se lako može zamisliti slučaj poput odbačenih obrazaca Splitske banke na kojima su se nalazili tajni podaci klijenata te banke, uključujući i preslike osobnih iskaznica . Jednako tako, postoje i kazne za one koji su dužni imenovati službenika za zaštitu podataka, a to ne učine. U Hrvatskoj takva još nije izrečena, ali je europski prosjek 15.000-20.000€.
Uostalom, posjetite https://www.enforcementtracker.com/ i osobno se uvjerite u dinamiku, visine i razloge GDPR kazni. Danas u EU – sutra kod nas.

You may also like

0 comments