Islandski organ nadležan za pitanja zaštite podataka o ličnosti (Persónuvernd) je nedavno zauzeo stav da postoji sukob interesa u situaciji kada je lice za zaštitu podataka o ličnosti u kompaniji istovremeno i zastupnik, odnosno član organa upravljanja te kompanije.

Sprovođenje istrage

Navedena odluka doneta je nakon istrage sprovedene od strane pomenutog organa u pogledu postupanja jedne islandske kompanije za genetska istraživanja.

Naime, u okviru istrage, postupajući organ je od kompanije zatražio izvesne podatke radi ispitivanja kompatibilnosti položaja koji u kompaniji ima lice za zaštitu podataka o ličnosti (data protection officer) sa odredbama člana 38. GDPR.

Ishod postupka

Po sprovođenju odgovarajućeg postupka, tj. radnji, islandski organ za zaštitu podataka o ličnosti je zaključio da u konkretnom slučaju nisu povređene odredbe člana 37. GDPR koje se tiču obaveze da se imenuje lice za zaštitu podataka o ličnosti, kao ni odredbe 38(1) i 38(2) GDPR, shodno kojima navedeno lice mora biti blagovremeno i uredno upućeno u sva pitanja koja se tiču zaštite podataka o ličnosti, te mu na raspolaganje moraju biti stavljena odgovarajuća sredstva za izvršavanje njegovih obaveza.

Međutim, postupajući organ je našao da je u ovom slučaju došlo do povrede odredbe 38(3) GDPR, a koja se tiče nezavisnosti lica za zaštitu podataka o ličnosti, tj. koja propisuje da će rukovalac/obrađivač podataka o ličnosti obezbediti da navedeno lice ne dobija instrukcije u vezi sa vršenjem svojih zadataka, da te da usled navedenog neće biti sankcionisano, pri čemu izveštaje o svom radu podnosi direktno najvišem organu upravljanja rukovaoca/obrađivača.

Naime, lice za zaštitu podataka o ličnosti je u konkretnom slučaju, u trenutku sprovođenja istrage, istovremeno obavljalo funkciju zamenika izvršnog direktora predmetne kompanije, ali i člana upravnog odbora, na koji način se našlo u poziciji sukoba interesa.

Lice za zaštitu podataka o ličnosti u domaćem pravu

Položaj lica za zaštitu podataka o ličnosti uređen je odredbama članova 56-58. Zakona o zaštiti podataka o ličnosti (Sl. glasnik RS br. 87/2018) („Zakon“).

Shodno odredbi člana 57. stav 8. Zakona, lice za zaštitu podataka o ličnosti može da obavlja druge poslove i izvršava druge obaveze, a rukovalac ili obrađivač dužni su da obezbede da izvršavanje drugih poslova i obaveza ne dovede lice za zaštitu podataka o ličnosti u sukob interesa. Imajući u vidu različite organizacione strukture rukovaoca/obrađivača, okolnost da li postoji sukob interesa je neophodno ceniti, tj. o tome odlučivati na osnovu konkretnih okolnosti svakog pojedinačnog slučaja.

Inače, Zakon propisuje da rukovalac i obrađivač mogu da odrede lice za zaštitu podataka o ličnosti, s tim da su dužni da to učine ako se:

• obrada vrši od strane organa vlasti, osim ako se radi o obradi koju vrši sud u svrhu obavljanja njegovih sudskih ovlašćenja;
• osnovne aktivnosti rukovaoca ili obrađivača sastoje u radnjama obrade koje po svojoj prirodi, obimu, odnosno svrhama zahtevaju redovan i sistematski nadzor velikog broja lica na koje se podaci odnose;
• osnovne aktivnosti rukovaoca ili obrađivača sastoje u obradi posebnih vrsta podataka o ličnosti ili podataka o ličnosti u vezi sa krivičnim presudama i kažnjivim delima, u velikom obimu.

Slično kao GDPR, Zakon propisuje i da su rukovalac i obrađivač dužni da blagovremeno i na odgovarajući način uključe lice za zaštitu podataka o ličnosti u sve poslove koji se odnose na zaštitu podataka o ličnosti, da omoguće licu za zaštitu podataka o ličnosti izvršavanje njegovih obaveza obezbeđivanjem neophodnih sredstava za izvršavanje ovih obaveza, pristupa podacima o ličnosti i radnjama obrade, kao i njegovo stručno usavršavanje, te da obezbede nezavisnost lica za zaštitu podataka o ličnosti u izvršavanju njegovih obaveza. Takođe, rukovalac ili obrađivač ne mogu kazniti lice za zaštitu podataka o ličnosti, niti raskinuti radni odnos, odnosno ugovor sa njim zbog izvršavanja njegovih obaveza shodno Zakonu.

Lice za zaštitu podataka o ličnosti određuje se na osnovu njegovih stručnih kvalifikacija, a naročito stručnog znanja i iskustva u oblasti zaštite podataka o ličnosti, kao i sposobnosti za izvršavanje obaveza, pri čemu to lice može biti zaposleno kod rukovaoca ili obrađivača ili može obavljati poslove na osnovu ugovora. Za izvršavanje svojih Zakonom propisanih obaveza, lice za zaštitu podataka o ličnosti neposredno je odgovorno rukovodiocu rukovaoca ili obrađivača.

Rukovalac ili obrađivač dužan je da objavi kontakt podatke lica za zaštitu podataka o ličnosti i dostavi ih Povereniku za informacije od javnog značaja i zaštitu podataka o ličnosti, koji vodi evidenciju lica za zaštitu podataka o ličnosti.

Lice za zaštitu podataka o ličnosti ima najmanje obavezu da:

• informiše i daje mišljenje rukovaocu ili obrađivaču, kao i zaposlenima koji vrše radnje obrade o njihovim zakonskim obavezama u vezi sa zaštitom podataka o ličnosti;
• prati primenu odredbi Zakona, drugih zakona i internih propisa rukovaoca ili obrađivača koji se odnose na zaštitu podataka o ličnosti, uključujući i pitanja podele odgovornosti, podizanja svesti i obuke zaposlenih koji učestvuju u radnjama obrade, kao i kontrole;
• daje mišljenje, kada se to zatraži, o proceni uticaja obrade na zaštitu podataka o ličnosti i prati postupanje po toj proceni;
• sarađuje sa Poverenikom, predstavlja kontakt tačku za saradnju sa Poverenikom i savetuje se sa njim u vezi sa pitanjima koja se odnose na obradu, uključujući i obaveštavanje i pribavljanje mišljenja.

Ovaj članak je isključivo informativne prirode i ne predstavlja pravni savet. Ukoliko su Vam potrebne dodatne informacije, budite slobodni da nas kontaktirate.