Članci

Šta radi službenik za zaštitu podataka (DPO)

11 maj 2018

Jedan od rezultata Opšte uredbe o zaštiti podataka (GDPR) koja stupa na snagu 25. maja je da će neke organizacije u EU morati da imenuju službenika za zaštitu podataka (DPO). Ali koje organizacije će to morati da urade i šta tačno radi DPO? Lizbet Svenson, DPO u Bisnode grupi, odgovara na ovo i na druga pitanja.

Koji su glavni zadaci službenika za zaštitu podataka?

DPO treba da osigura da obrađujemo podatke o ličnosti uz poštovanje zakona o zaštiti privatnosti i u skladu sa njima. To podrazumeva informisanje, savetovanje i nadziranje rada organizacije koji mora biti u skladu sa zakonima. DPO treba da osigura da organizacija ima uspostavljenu svu propisanu dokumentaciju i da je ista ažurirana. DPO je takođe glavni kontakt nadležni organ za zaštitu podataka.

Koje kvalifikacije i stručnost su potrebni za dobrog DPO-a?

Pre svega, od ključnog značaja je veoma dobro razumevanje pitanja zaštite privatnosti, što podrazumeva GDPR. Službenik za zaštitu podataka je uglavnom u kontaktu sa većinom odeljenja unutar organizacije tako da je dobro poznavanje poslovanja i mogućnost razumevanja s kolegama koji imaju različite opise radnih mesta. Drugim rečima, dobre komunikacijske veštine su takođe važne. Moje dosadašnje radno iskustvo je obimno i pokriva oblasti IT-a, prodaje, upravljanje projektima, upravljanje ljudima i podacima. To mi daje veoma dobru osnovu i smatram da je veoma bitna prednost.

Koje su vaše glavne odgovornosti u Bisnode-u?

Moja osnovna odgovornost je da osiguram da podatke o ličnosti zaštitimo i tretiramo u skladu sa zakonom. Trenutno sam veoma uključena u naš GDPR program i odgovaram na brojna pitanja iz različitih delova naše organizacije. Takođe se staram da imamo uspostavljene neophodne politike i procese i vodim računa da uzimamo u obzir pitanja zaštite privatnosti u našim projektima i sistemima. Zatim, veoma važan zadatak će biti da osiguramo da se privatnost poštuje i dalje pošto se ova priča ne završava 25. maja.

Koje kompanije bi trebalo da imaju DPO?

Zvanično, DPO mora biti imenovan za javne organe i tela, kao i za kompanije čije se osnovne delatnosti sastoje iz obimnog, redovnog i sistematskog nadgledanja lica na koje se podaci odnose ili obimne obrade posebnih kategorija podataka i podatka o ličnosti koji se odnose na krivične presude i prekršaje.

Međutim, moja je preporuka da svaka kompanija koja obrađuje podatke o ličnosti imenuje DPO – ili bar imenuje nekog ko je odgovoran za pitanja privatnosti, u zavisnosti od veličine preduzeća i količine podataka koji su dostupni.

Kako će izgledati vaši svakodnevni zadaci nakon 25. maja?

Nastaviću sa dosadašnjim radom, ali ću i početi da sprovodim reviziju našeg poslovanja kako bih osigurala dalju usaglašenost. Takođe, postoje brojna pitanja o našoj organizaciji i projektima koja nastaju na svakodnevnoj osnovi. Sigurna sam da će biti potrebno fino usaglašavanje nakon određenog perioda primene naših novih procesa. Konačno, nastaviću da podižem svest i obučavam ljude prema potrebi.

Da li Bisnode ima DPO-a u svakoj zemlji?

Bisnode je imenovao lokalne DPO, ali neki od njih predstavljaju više od jednog tržišta. Razlog je što DPO treba da bude lako dostupan i da razume lokalno zakonodavstvo. Poznavanje lokalnog jezika je takođe prednost. Nije međutim neophodno imati više DPO-a samo zato što je u pitanju međunarodna organizacija.

Šta vidite kao najveći izazov u svojoj ulozi?

Želim da se postaram da se u ranoj fazi razvojnog procesa DPO stalno konsultuje. Kao i uvek, lakše je dati dobar savet pre nego što se nešto napravi ili kupi i primeni.

Koje prilike vidite za kompaniju poput Bisnode-a nakon primene GDPR-a?

Naše poslovanje i prilike će ostati u velikoj meri iste nakon primene GDPR-a, ali je veoma važno da se postaramo da naši klijenti imaju prave informacije za ono čime se bave i da su njihovi podaci tačni i ažurirani.

Sporedni efekat GDPR programa je da će jedan deo urađenog posla pomoći da se ubrzaju procesi u drugim oblastima.

Šta mislite da su najveće zablude u pogledu GDPR-a?

Postoje tri stvari koje često čujem i u vezi s kojima dobijam pitanja:

Prvo, prenosivost podataka. Da, u nekim slučajevima možete da tražite da se vaši podaci prenesu drugom operateru. Ali to nije uvek moguće za sve vrste podataka.

Drugo, neki ljudi sada misle da je kompanijama uvek potreban pristanak za obradu podataka o ličnosti. To jednostavno nije tačno. Postoji šest pravnih osnova i pristanak je samo jedan od njih.

Treće, neki ljudi veruju da kompanije više ne mogu da zadrže podatke o ličnosti koji su im potrebni. Realnost je da, dok god imaju pravni osnov, kompanije mogu prema potrebi da zadrže podatke. Zakonski ne mogu da zadrže više podataka nego što im je potrebno i ne duže nego što im je potrebno i naravno moraju da osiguraju poštovanje prava pojedinaca.