Да ли сте именовали лице за заштиту података о личности? Ако нисте, време је

По узору на ГДПР, актуелни Закон о заштити података о личности Републике Србије је у наш правни систем увео нови институт, лице за заштиту података о личности, или како ГДПР ово лице назива - „Data Protection Officer“.

Својим деловањем у оквиру компаније, ово лице има кључну улогу у обезбеђивању усклађености пословања у овој области.

Закон о заштити података о личности предвиђа да су руковалац и обрађивач дужни да одреде лице за заштиту података о личности у случајевима да се обрада врши од стране органа власти, осим ако се ради о обради коју врши суд у сврху обављања његових судских овлашћења.

Уколико се основне активности руковаоца и обрађивача састоје у радњама обраде које по својој природи, обиму, односно сврхама захтевају редован и систематски надзор великог броја лица на које се подаци односе.

Или у случају да се основне активности руковаоца или обрађивача састоје у обради посебних врста података о личности или података о личности у вези са кривичним пресудама и кажњивим делима, у великом обиму.

У свим другим случајевима, одређивање лица није обавезно, али је изразито препоручљиво, због комплексности пословања, високог ризика да подаци буду компромитовани, због обавеза које компаније имају везано за обраду података о личности, али и због тога што именовање ДПО-а представља одраз нивоа пословне културе једне организације.

Законска регулатива: Високе казне за непоштовање обавеза

За непоштовање обавеза које се тичу одређивања лица за заштиту података о личности предвиђена је казна у висини од педесет хиљада до два милиона динара.

Иако новчане казне које ЗЗПЛ предвиђа можда нису у висини казини које предвиђа ГДПР, те се о њима не прича са толико страха као о казнама у ЕУ регулативи, губитак репутације и поверења на тржишту могу да доведу до последица фаталних за пословање, како у Европској Унији тако и у Србији.

Закон пред руковаоце и обрађиваче ставља само начелни захтев да се лице за заштиту података о личности одређује на основу стручних квалификација и стручног знања и искуства у области заштите података о личности.

Као и способности за извршавање обавеза које ЗЗПЛ за ту дужност предвиђа, без прецизирања које би то квалификације и способности биле.

Положај лица у пословној хијерархији треба да буде такав да осигура независност у вршењу дужности, да обезбеди да ДПО за рад одговара директно руководству компаније, а лице због обављања посла не може да буде кажњено нити му може бити отказан уговор о раду.

Битно је истаћи и да се именовањем ДПО-а одговорно лице у правном лицу не ослобађа одговорности за законитост радњи обраде.

Независан положај лица за заштиту података значи да, нпр. ту дужност не би могао да обавља руководилац маркетинга, службе за људске ресурсе, руководилац службе за ИТ (што је учестало у пракси), тј. нико чија позиција подразумева да одређује сврхе и начине обраде података, да лице не би било у сукобу интереса, а увек имајући у виду специфичности организације.

Обавезе ДПО-а

Што се тиче описа дужности, закон предвиђа да лице за заштиту података о личности најмање има обавезу да даје мишљења и савете везане за законске обавезе, прати примену прописа код руковаоца и обрађивача, укључујући и питања поделе одговорности и контроле и да даје мишљење о процени утицаја на заштиту података о личности, тј. о „ДПИА“ анализи.

Такође треба да сарађује са повереником за информације од јавног значаја и заштиту података о личности и представља контакт тачку за сарадњу са том институцијом.

Лице би требало да буде довољно стручно да адекватно разуме национални и европски законодавни оквир који се тиче заштите података о личности, да буде упућено у савремене информационе технологије, да буде довољно стручно да разуме шта значи сигурност обраде података, као и да разуме пословање компаније и пословне процесе у њој.

Kако је лице дужно да сагледава и ризик који се односи на радње обраде, као и да даје мишљење о процени утицаја, било би добро да познаје и проблематику и механизме управљања ризицима.

ДПО је у пракси и прва тачка комуникације са лицима чији се подаци обрађују, као и кључна особа у управљању инцидентима који се тичу података о личности, те би и ови задаци требало да буду узети у обзир приликом избора лица.

Закон предвиђа да лице за заштиту података о личности може обављати ове послове и на основу уговора, те ове захтевне активности можете поверити сараднику ван компаније.

У поверавању ових активности треба такође поћи од захтеваних компетенција лица, те од чињенице да, што је комплекснија обрада, лице за заштиту података треба да буде поткованије знањем и искуством да би могло да се поуздано брине о усаглашености.

Иако закон не прецизира, тумачењем одредби где се говори о лицу и посматрајући обавезу независности у вршењу дужности и везаности одговорности за највиши ниво руководства, закључује се да је лице за заштиту података о личности увек искључиво једна особа, тј. једно физичко лице.

Његови подаци се након именовања достављају поверенику за информације од јавног значаја и заштиту података о личности. Наравно, није проблем да на овим пословима буде ангажован тим стручњака, од којих је једно лице одређено као лице за заштиту података о личности.

„Динамичност и комплексност области заштите податакао личности захтевају знање, искуство и додатно ангажовање већ оптерећених капацитета, те бригу о пословима заштите података о личности препустите стучњацима“, каже ИТ стручњак, Роберто Полето.