Da budemo precizniji, GDPR člankom 37. propisuje obvezno imenovanje Službenika za zaštitu podataka u sljedećim slučajevima:
- kada obradu podataka provodi tijelo javne vlasti ili javno tijelo
- kada se osnovne djelatnosti voditelja obrade ili izvršitelja obrade sastoje od postupaka obrade koji iziskuju redovito i sustavno praćenje ispitanika u velikoj mjeri
- kada se osnovne djelatnosti voditelja obrade ili izvršitelja obrade sastoje od opsežne obrade posebnih kategorija podataka ili osobnih podataka koji se odnose na kaznene osude i kažnjiva djela.
Najbolje tumačenje svih navedenih slučajeva dobili smo u Smjernicama o službenicima za zaštitu podataka koje je izdala Radna skupina za zaštitu podataka iz članka 29., a naknadno ih je podržao i Europski odbor za zaštitu podataka. Dok definiciju tijela javne vlasti ostavljaju nacionalnom pravu, Smjernice nam daju detaljnija objašnjenja o tome što to podrazumijevaju pojmovi “osnovne djelatnosti”, “opsežna obrada” te “redovito i sustavno praćenje”. Budući da se vaše pitanje odnosi na “opsežnu obradu”, fokusirat ćemo se na taj pojam, a ostatak objašnjenja možete provjeriti u javno dostupnim smjernicama.
Prije svega, ističu da nije moguće brojkom koja bi bila primjenjiva u svim situacijama precizno odrediti količinu podataka koji se obrađuju ili broj pojedinih ispitanika potrebnih da bi obrada bila opsežna. Radna skupina iz članka 29. preporučuje da se, kad se bude utvrđivalo provodi li se opsežna obrada, posebno u obzir uzmu sljedeći čimbenici:
- broj predmetnih ispitanika, odnosno njihov konkretan broj ili njihov udio u relevantnom stanovništvu,
- obujam podataka i/ili opseg različitih podatkovnih stavki koje se obrađuju,
- trajanje ili trajnost aktivnosti obrade podataka,
- zemljopisni razmjer aktivnosti obrade.
Primjeri opsežne obrade obuhvaćaju:
- obradu podataka o pacijentu u okviru redovnog poslovanja bolnice,
- obradu podataka o putovanjima pojedinaca koji se koriste sustavom javnog gradskog prijevoza (npr. praćenje s pomoću putnih kartica),
- obradu podataka u stvarnom vremenu u pogledu zemljopisne lokacije klijenata međunarodnog lanca brze hrane u statističke svrhe koju provodi izvršitelj obrade specijaliziran za te aktivnosti,
- obradu podataka o klijentima u okviru redovnog poslovanja osiguravajućeg društva ili banke,
- obradu osobnih podataka u okviru internetske tražilice radi bihevioralnog oglašavanja,
- obradu podataka (sadržaj, promet, lokacija) koju provode pružatelji telefonskih ili internetskih usluga.
Primjeri obrade koja nije opsežna obuhvaćaju:
- obradu podataka o pacijentu koju obavlja liječnik pojedinac,
- obradu osobnih podataka koji se odnose na kaznene osude i kažnjiva djela koju obavlja odvjetnik pojedinac
Ponovno bih naglasio da čak i kada nije obvezno, imenovanje Službenika za zaštitu podataka pokazuje da poslovni subjekt ozbiljno pristupa zaštiti osobnih podataka - budući da stručan i neovisan službenik osigurava da je zaštita osobnih podataka prioritet u poslovanju. Službenik za zaštitu podataka može biti unutarnji (djelatnik poslovnog subjekta) ili vanjski. Nekoliko je razloga zašto smatramo da je vanjski suradnik na toj funkciji bolji odabir – provjerite koji su u našem članku o funkciji vanjskog službenika za zaštitu podataka.
Duje Kozomara
Konzultant za zaštitu osobnih podataka | Osnivač tvrtke Consent
www.consent.hr