Često postavljena pitanja

Pošalji dokument na e-mail

E-mail pošiljaoca (*):
E-mail primaoca (*):
Komentar:


Kada je obavezno imenovati Službenika?

Imenovanje službenika obavezno je u četiri slučaja:

  • ako obradu provodi javni organ (bez obzira na to koji se podaci obrađuju), osim sudova kada postupaju u okviru sudske nadležnosti;
  • ako se osnovne djelatnosti kontrolora podataka sastoje od postupaka obrade koji zbog svoje prirode iziskuju redovno i sistemsko praćenje nosilaca podataka u velikom broju;
  • ako se osnovne djelatnosti kontrolora podataka ili obrađivača sastoje od opsežne obrade posebnih kategorija podataka ili ličnih podataka koji se odnose na krivičnu kažnjivost i krivična djela;
  • ako obradu provodi nadležni organ.

                   Koji organi spadaju u javne organe a koji u nadležne organe?

  • Javni organi u smislu Zakona, su zakonodavni i izvršni organi na svim nivoima vlasti počev od nivoa Institucija Bosne i Hercegovine, nivoa entiteta, kantona i opština.
  • Nadležni organi u smislu Zakona su policijski organi, tužilaštva i zatvorske jedinice.

                   Šta znači pojam „Osnovne djelatnosti“?

  •  Osnovne djelatnosti” obuhvataju sve one djelatnosti u kojima je obrada podataka neodvojiv dio djelatnosti kontrolora podataka ili obrađivača.

PRIMJER: Obrada podataka u zdravstvenom sektoru kao što su zdravstveni kartoni pacijenata, trebala bi se smatrati jednom od osnovnih djelatnosti svake bolnice, te su bolnice dužne imenovati Službenike.

  Šta znači „opsežna obrada“?

Pri utvrđivanju, provodi li se opsežna obrada, preporučuje se razmatranje sljedećih faktora:

  • broj predmetnih nosilaca ličnih podataka, odnosno njihov konkretan broj ili njihov udio u relevantnom stanovništvu,
  • obim podataka i/ili obim različitih stavki podataka koje se obrađuju,
  • trajanje ili trajnost aktivnosti obrade podataka,
  • geografska rasprostranjenost aktivnosti obrade.

PRIMJERI:

  • obrade podataka o pacijentu u okviru redovnog poslovanja bolnice,
  • obradu podataka o putovanjima pojedinaca koji se koriste u sistemu javnog gradskog prevoza (npr. praćenje pomoću putnih kartica),
  • obradu podataka o geografskoj lokaciji klijenata međunarodnog lanca brze hrane u stvarnom vremenu u statističke svrhe koju provodi obrađivač specijalizovan za te aktivnosti
  • obradu podataka o klijentima u okviru redovnog poslovanja osiguravajućeg društva ili banke,
  • obradu ličnih podataka u okviru internetskog pretraživača radi bihevioralnog oglašavanja,
  • obradu podataka (sadržaj, promet, lokacija) koju provode pružaoci telefonskih ili internetskih usluga.

 PRIMJERI OBRADE KOJA NIJE OPSEŽNA OBUHVATAJU: Obradu ličnih podataka o pacijentu koju obavlja doktor pojedinac, obradu ličnih podataka koji se odnose na krivičnu osuđivanost i krivična djela koju obavlja advokat pojedinac.

  Šta znači „redovno i sistemsko praćenje?“

Pojam redovno i sistemsko praćenje znači sve oblike praćenja i izrade profila na internetu, uključujući i praćenje njihovog ponašanja radi oglašavanja. Međutim, pojam praćenja nije ograničen samo na internetsko okruženje. 

„Redovno praćenje” tumači se na najmanje jedan od sljedećih načina:

  • praćenje koje je trajno ili se provodi u određenim intervalima u određenom razdoblju,
  • praćenje koje se ponavljano provodi ili ponavlja u tačno određeno vrijeme,
  • praćenje koje se provodi stalno ili periodično.

„Sistemsko praćenje” tumači se na najmanje jedan od sljedećih načina:

  • praćenje koje se provodi u skladu sa određenim sistemom,
  • praćenje koje je prethodno dogovoreno, organizovano ili metodično,
  • praćenje koje je dio opšteg plana za prikupljanje podataka,
  • praćenje koje se provodi kao dio strategije.

PRIMJERI:

  • upravljanje telekomunikacijskom mrežom, pružanje telekomunikacijskih usluga
  • preusmjeravanje elektronske pošte
  • marketinške aktivnosti zasnovane na podacima
  • izrada profila i ocjena radi procjene rizika (npr. radi ocjene kreditnog boniteta, određivanja premije osiguranja, sprječavanja prevara, otkrivanja pranja novca)
  • praćenje lokacije, na primjer  pomoću mobilnih aplikacija,
  • programi vjernosti
  • bihevioralno oglašavanje
  • praćenje podataka o opštem stanju organizma, fizičkoj kondiciji i zdravlju pomoću uređaja koji se nose na tijelu
  • televizija zatvorenog kruga
  • povezani uređaji, npr. pametna brojila, pametni automobili, automatizacija stanova itd.

                    Da li se može imenovati Službenik i ako ga  kontrolor podataka nije obavezan imenovati?

 

U slučajevima kada imenovanje službenika za zaštitu podataka nije obavezno, za kontrolora podataka može biti korisno dobrovoljno imenovati službenika za zaštitu podataka. U toj situaciji njegovi zadaci i poslovi su isti kao i kod kontrolora podataka koji su ga obavezni imenovati.

 Agencija preporučuje svim kontrolorima podataka i obrađivačima imenovanje Službenika.

   Mogu li kontrolori podataka imenovati zajedničkog Službenika?

Kontrolori podataka mogu imenovati zajedničkog Službenika.

Više privrednih subjekata mogu imenovati jednog Službenika, pod sljedećim uslovima:

  • da je Službenik „lako dostupan za svakog privrednog subjekta, te da je lako dostupan za nosioce podataka i za Agenciju, ali i sve zaposlene unutar svakog privrednog subjekta, putem telefonskog poziva, elektronske pošte, lično u poslovnim prostorijama ili  pomoću drugog sigurnog sredstva komunikacije.

Javni organi

  • Za nekoliko javnih organa može se imenovati jedan Službenik, uzimajući u obzir njihovu organizacionu strukturu i veličinu pod uslovom da mora biti lako dostupan kao što je prethodno opisano.

NAPOMENA za kontrolore podataka i obrađivače: moraju samostalno procijeniti da li jedan Službenik može obavljati svoje poslove i zadatke djelotvorno za više privrednih subjekata ili više javnih organa.

                   Može li imenovati za Službenika i lice koje nije zaposleno u kontroloru podataka/obrađivaču?

Poslovi i zadatke Službenika mogu se obavljati i na osnovu ugovora o djelu zaključnog sa licem ili organizacijom, van kontrolora podataka/obrađivača.

  • Važno je  da tako angažovan Službenik ne bude u sukobu interesa kao i da bude zaštićen odredbama Zakona (npr. da ne bude nepoštenog raskidanja ugovora za poslove Službenika)
  • Da se unutar organizacije (ako je organizacija angažovana) imenuje glavno lice za kontakt kao lice odgovorno za klijenta
  • Da se ugovorom o djelu jasno definišu prava i obaveze službenika

 Dužnosti kontrolora podataka /obrađivača su :

  • objaviti podatke za kontakt Službenika i
  • dostaviti informacije o imenovanju službenika Agenciji.

                       Koga imenovati za Službenika, koje vještine i kvalifikacije treba imati Službenik?

 

Službenik se imenuje se na osnovu stručnih kvalifikacija, a posebno stručnog znanja o pravu i praksama u području zaštite podataka, te sposobnosti izvršavanja njegovih zadataka.

 Zakonom nije propisana stručna sprema niti struka koju bi Službenik trebao imati. Dakle, nivo stručnosti nije strogo definisan, ali ista  mora biti srazmjerna osjetljivosti, složenosti i količini podataka koju kontrolor podataka /obrađivač obrađuje. Nužan nivo stručnog znanja trebao bi se utvrditi u odnosu na količinu ličnih podataka koju kontrolor podataka obrađuje, vrste obrade podataka, te na potrebnu zaštitu kako bi se osigurala sigurna obrada.

PRIMJER: Ako neki kontrolor podataka/obrađivač provodi postupke obrade podataka koji su posebno složeni ili ako obuhvata veliku količinu osjetljivih podataka (banka, bolnica i sl.), Službenik bi trebao imati i visoki stepen stručnosti i podrške.

NAPOMENA: Šta treba cijeniti kontrolor podataka?

Neke od potrebne vještina i stručnost podrazumijevaju:

  • stručnost u pogledu domaćih i evropskih zakona i praksi u području zaštite podataka, uključujući dubinsko razumijevanje Zakona i Opšte uredbe o zaštiti podataka (GDPR) sa kojom je Zakon usklađen,
  • razumijevanje provedenih postupaka obrade,
  • razumijevanje informacijskih tehnologija i sigurnosti podataka,
  • poznavanje organizacije kontrolora/podataka
  • sposobnost razvijanja kulture zaštite podataka u okviru kontrolora podataka /obrađivača.

   Uloga kontrolora podataka /obrađivača u pogledu pružanja podrške i uslova za rad Službenika 

Zavisno od prirode postupaka obrade, te djelatnosti i veličini kontrolora podataka Službeniku je za rad potrebno pružiti sljedeće:

  • Aktivnu podršku rukovodstva kontrolora podataka/obrađivača funkciji Službenika,
  • Dodatno vrijeme kako bi Službenik ispunio svoje dužnosti,
  • Primjerenu podršku u pogledu finansijskih sredstava, infrastrukture (prostori, objekti, oprema) i, prema potrebi, osoblja,
  • Osigurati da se zaposlenima dostavi službeno obavještenje o imenovanom Službeniku,
  • Omogućiti nužan pristup ostalim službama u okviru organizacije kako bi Službenik Mogao primiti nužnu podršku, doprinose ili informacije od tih službi,
  • Omogućiti kontinuirano osposobljavanje.

Dodatne preporuke za kontrolore podataka /obrađivače za koje bi se trebali pobrinuti:

  • Da Službenik učestvuje na redovnim sastancima visokog i srednjeg rukovodstva,
  • Da se preporuči prisustvo Službenika kad se donose odluke koje se mogu odraziti na zaštitu podataka. Sve se relevantne informacije službeniku moraju proslijediti blagovremeno kako bi mogao pružiti odgovarajući savjet,
  • Da se mišljenje Službenika uvijek uzme u obzir. U slučaju neslaganja, smatra se dobrom praksom i preporučuje da se zabilježe razlozi zbog kojih se nije uvažio savjet službenika,
  • Da se savjetovanje sa Službenikom provede odmah nakon što je došlo do povrede podataka ili do nekog drugog incidenta.

                       Kojim se zaštitnim mjerama omogućava da Službenik obavlja svoje poslove na nezavisan način?

 Nekoliko je zaštitnih mjera kako bi se Službeniku omogućilo obavljanje zadataka na nezavisan način:

  • Ne smiju im se davati upute o načinu rješavanja predmeta, na primjer, o ishodu koji bi trebalo ostvariti i načinu vođenja istrage o pritužbi ili o tome treba li tražiti savjet Agencije,
  • Ne smije ih se nagovarati da zauzmu određeni stav o predmetu koji se odnosi na Zakon, (npr. na određeno tumačenje zakona)
  • Ne smije se Službenik razriješiti dužnosti ili kazniti zbog izvršavanja poslova,
  • Ne smije postojati sukob interesa u odnosu na ostale moguće zadatke i dužnosti

                      Zašto je važno da službenik ne bude u „sukobu interesa“?

 To znači da Službenik  ne može biti zaposleni u kontroloru podataka/obrađivaču koji mora odrediti svrhu i način obrade ličnih podataka.

Službenicima se ne smiju davati upute o načinu rješavanja predmeta (npr. o ishodu koji bi trebalo ostvariti, načinu vođenja istrage o prigovoru ili o tome treba li tražiti savjet Agencije).

Ako kontrolor podataka/obrađivač donese odluke nespojive sa Zakonom i savjetom Službenika, trebao bi omogućiti Službeniku da svoje suprotno mišljenje jasno dâ do znanja najvišem rukovodećem nivou, te onima koji donose odluke

Nepisano je pravilo da radna mjesta koja mogu biti u sukobu interesa u okviru organizacije su:

POLOŽAJI U VIŠEM RUKOVODSTVU (Kao što su predsjednik uprave, direktor poslovanja, direktor finansija, glavni medicinski službenik, voditelj odsjeka za marketing, voditelj ljudskih resursa ili voditelj odjela za informacijsku tehnologiju), te analogno ovome i položaji u okviru zakonodavnih izvršnih i sudskih organa (javnog organa i nadležnog organa).

NIŽE ULOGE U HIJERARHIJSKOJ STRUKTURI ORGANIZACIJE: Ako takvi položaji ili uloge podrazumijevaju utvrđivanje svrhe i načina obrade ličnih podataka.

DODATNO: Sukob interesa može nastati, na primjer, ako se od vanjskog Službenika zatraži da pred sudovima predstavlja kontrolora podataka /obrađivača u slučajevima koji uključuju pitanja zaštite podataka.