Da li ste već imenovali DPO-a, lice za zaštitu podataka o ličnosti?
U svakom broju časopisa „Business & IT“ COMING se trudi da vas upozna i sa novostima iz oblasti zaštite podataka o ličnosti. Za ovaj broj odabrali smo temu koja među privrednim subjektima i dalje često predstavlja nepoznanicu, a koja podrazumeva obaveze koje po novom Zakonu o zaštiti podataka o ličnosti moraju biti ispunjene.
Naime, po uzoru na GDPR, Zakon o zaštiti podataka o ličnosti Republike Srbije uveo je u naš pravni sistem novi institut – lice za zaštitu podataka o ličnosti ili Data Protection Officer (DPO), kako GDPR naziva ovo lice. Svojim delovanjem u okviru kompanije ovo lice ima ključnu ulogu u obezbeđivanju usklađenosti poslovanja u ovoj oblasti.
Kome je neophodan DPO?
Zakon o zaštiti podataka o ličnosti predviđa da su rukovalac i obrađivač dužni da odrede lice za zaštitu podataka o ličnosti u sledećim slučajevima:
- Ako se obrada vrši od strane organa vlasti, osim ako se radi o obradi koju vrši sud u svrhu obavljanja njegovih sudskih ovlašćenja;
- Ukoliko se osnovne aktivnosti rukovaoca i obrađivača sastoje u radnjama obrade koje po svojoj prirodi, obimu, odnosno svrhama zahtevaju redovan i sistematski nadzor velikog broja lica na koja se podaci odnose;
- U slučaju da se osnovne aktivnosti rukovaoca ili obrađivača sastoje u obradi posebnih vrsta podataka o ličnosti ili podataka o ličnosti u vezi sa krivičnim presudama i kažnjivim delima, u velikom obimu.
U svim drugim slučajevima određivanje lica nije obavezno, ali je izrazito preporučljivo, zbog kompleksnosti poslovanja, visokog rizika da podaci budu kompromitovani, zbog obaveza koje kompanije imaju u vezi sa obradom podataka o ličnosti, ali i zbog toga što imenovanje DPO-a predstavlja odraz nivoa poslovne kulture jedne organizacije.
Za nepoštovanje obaveza koje se tiču određivanja lica za zaštitu podataka o ličnosti predviđena je kazna u visini od pedeset hiljada do dva miliona dinara. Iako novčane kazne koje ZZPL predviđa možda nisu u visini kazni koje predviđa GDPR, te se o njima ne priča sa toliko straha kao o kaznama u EU regulativi, gubitak reputacije i poverenja na tržištu mogu da dovedu do posledica fatalnih za poslovanje, kako u EU, tako i u Srbiji.
Ko može biti DPO?
Zakon pred rukovaoce i obrađivače stavlja samo načelni zahtev (na žalost, možda) da se lice za zaštitu podataka o ličnosti određuje na osnovu stručnih kvalifikacija i stručnog znanja i iskustva u oblasti zaštite podataka o ličnosti, kao i sposobnosti za izvršavanje obaveza koje ZZPL za tu dužnost predviđa, bez preciziranja koje bi to kvalifikacije i sposobnosti bile.
Položaj lica u poslovnoj hijerarhiji treba da bude takav da osigura nezavisnost u vršenju dužnosti, da obezbedi da DPO za rad odgovara direktno rukovodstvu kompanije, a lice zbog obavljanja posla ne može da bude kažnjeno, niti mu može biti otkazan ugovor o radu. Bitno je istaći i da se imenovanjem DPO-a odgovorno lice u pravnom licu ne oslobađa odgovornosti za zakonitost radnji obrade.
Nezavisan položaj lica za zaštitu podataka znači da, primera radi, tu dužnost ne bi mogao da obavlja rukovodilac marketinga, službe za ljudske resurse, rukovodilac službe za IT (što je u praksi čest slučaj), tj. niko čija pozicija podrazumeva da određuje svrhe i načine obrade podataka, da lice ne bi bilo u sukobu interesa, a uvek imajući u vidu specifičnosti organizacije.
Što se tiče opisa dužnosti, zakon predviđa da lice za zaštitu podataka o ličnosti najmanje ima obavezu da:
- Daje mišljenja i savete vezane za zakonske obaveze;
- Prati primenu propisa kod rukovaoca i obrađivača, uključujući i pitanja podele odgovornosti i kontrole;
- Daje mišljenje o proceni uticaja na zaštitu podataka o ličnosti, tj. DPIA analizi;
- Sarađuje sa poverenikom za informacije od javnog značaja i zaštitu podataka o ličnosti i predstavlja kontakt tačku za saradnju sa tom institucijom.
Lice bi trebalo da bude dovoljno stručno da adekvatno razume nacionalni i evropski zakonodavni okvir koji se tiče zaštite podataka o ličnosti, da bude upućeno u savremene informacione tehnologije, da bude dovoljno stručno da razume šta znači sigurnost obrade podataka, kao i da razume poslovanje kompanije i poslovne procese u njoj.
Kako je lice dužno da sagledava i rizik koji se odnosi na radnje obrade, kao i da daje mišljenje o proceni uticaja, bilo bi dobro da poznaje i problematiku i mehanizme upravljanja rizicima. DPO je u praksi i prva tačka komunikacije sa licima čiji se podaci obrađuju, kao i ključna osoba u upravljanju incidentima koji se tiču podataka o ličnosti, te bi i ovi zadaci trebalo da budu uzeti u obzir prilikom izbora lica.
Zakon predviđa da lice za zaštitu podataka o ličnosti može obavljati ove poslove i na osnovu ugovora, te ove zahtevne aktivnosti možete poveriti saradniku van kompanije. U poveravanju ovih aktivnosti treba, takođe, poći od zahtevanih kompetencija lica, te od činjenice da lice za zaštitu podataka treba da bude utoliko potkovanije znanjem i iskustvom što je obrada kompleksnija, da bi moglo da se pouzdano brine o usaglašenosti.
Pojedinac ili tim stručnjaka?
Iako zakon ne precizira, tumačenjem odredaba gde se govori o „licu“ i posmatrajući obavezu nezavisnosti u vršenju dužnosti i vezanosti odgovornosti za najviši nivo rukovodstva (informacije sa web stranice poverenika: https://www.poverenik.rs/sr), zaključuje se da je lice za zaštitu podataka o ličnosti uvek isključivo jedna osoba, tj. jedno fizičko lice, čiji podaci se nakon imenovanja dostavljaju povereniku za informacije od javnog značaja i zaštitu podataka o ličnosti. Naravno, nije problem da na ovim poslovima bude angažovan tim stručnjaka, od kojih je jedno lice određeno kao lice za zaštitu podataka o ličnosti.
Kako DPO treba da poseduje raznovrsna stručna znanja i veštine, angažovanje tima saradnika može da bude i velika prednost.
COMING-ov tim ima iskustvo u oblasti zaštite podataka o ličnosti u finansijskom, proizvodnom, sektoru transporta i drugim sektorima, te može pružiti pouzdanu DPO uslugu. COMING DPO tim se sastoji od pravnika sa iskustvom u oblasti zaštite podataka o ličnosti, stručnjaka za poslovne procese i ISO standardizaciju, te jakog inženjerskog tima, sastavljenog od security, sistem i mrežnih inženjera.
Dinamičnost i kompleksnost oblasti zaštite podataka o ličnosti zahtevaju znanje, iskustvo i dodatno angažovanje već opterećenih kapaciteta, a COMING DPO as a Service koncept vam omogućava da se u poslovanju fokusirate na svoje osnovne aktivnosti, a da brigu o poslovima zaštite podataka o ličnosti prepustite stručnjacima.
Saradnja se zasniva na fleksibilnom modelu, gde se sa klijentom procenjuju potrebe i zahtevi organizacije, te se kroz spoj pravnog i IT znanja i iskustva i najsavremenijih praksi pravi plan rada koji bi obezbedio najbolje rezultate i usaglašenost poslovanja. Fleksibilan model podrazumeva da neko od članova našeg tima može da bude određen za lice za zaštitu podataka o ličnosti ili da se pruža stručna podrška licu koje je već određeno iz redova zaposlenih.
Višnja Crnogorac
COMING
0 komentara