Zašto je uloga DPO-a važna
Službenik za zaštitu podataka je ključna figura u GDPR okviru usklađenosti. Za razliku od tradicionalnih compliance uloga, DPO mora biti neovisan — ne smije primati upute o tome kako obavljati svoje zadatke i ne smije biti kažnjen ili otpušten zbog obavljanja svog posla. S rastom složenosti obrade podataka kroz AI, oblak računalstvo i prekogranične operacije, DPO uloga postaje jedna od najtraženijih pozicija u području privatnosti.
Kada je DPO obavezan
Članak 37. GDPR-a zahtijeva imenovanje DPO-a kada:
- Organizacija je tijelo javne vlasti ili javno tijelo (osim sudova u okviru njihove sudske funkcije)
- Osnovne aktivnosti uključuju redovito i sustavno praćenje ispitanika na velikoj razini (npr. praćenje ponašanja, profiliranje)
- Osnovne aktivnosti uključuju obradu posebnih kategorija podataka na velikoj razini (zdravstveni, biometrijski, kazneni podaci)
U Hrvatskoj mnoge organizacije imenuju DPO-a i kada to zakonom nije obvezno, kao dobru praksu.
Ključne odgovornosti
- Pratiti usklađenost s GDPR-om i drugim zakonima o zaštiti podataka
- Savjetovati organizaciju o procjenama učinka na zaštitu podataka (DPIA)
- Surađivati s AZOP-om
- Biti kontaktna točka za ispitanike koji ostvaruju svoja prava
- Educirati osoblje koje sudjeluje u obradi podataka
- Izvještavati izravno najvišu razinu upravljanja — ne putem posrednika
Neovisnost i zaštita
DPO ne smije primati upute o načinu obavljanja svojih zadataka (Članak 38.). Ne smije biti otpušten ili kažnjen zbog obavljanja svojih dužnosti. Organizacija mu mora osigurati resurse potrebne za obavljanje funkcija i održavanje stručnog znanja.
Ključna regulativa
- GDPR Članci 37–39 — imenovanje, položaj i zadaće DPO-a
- EDPB Smjernice o DPO-u (WP 243) — detaljno tumačenje
- AZOP — registar službenika za zaštitu podataka u Hrvatskoj