Lice za zaštitu podataka o ličnosti odnosno DPO (Data Protection Officer) je ovlašćeno lice koje je odgovorno za zaštitu podataka o ličnosti prema GDPR direktivi Evropske unije i prema odredbama člana 56. Zakona o zaštiti podataka o ličnosti („Sl. glasnik RS“ br. 87/2018). Rukovalac i obrađivač podataka o ličnosti dužni su da odrede lice za zaštitu podataka o ličnosti – DPO, u sledećim situacijama:
- Ako se obrada vrši od strane organa vlasti, osim ako se radi o obradi koju vrši sud u svrhu obavljanja njegovih sudskih ovlašćenja.
- Ako se osnovne aktivnosti rukovaoca ili obrađivača sastoje u radnjama obrade koje po svojoj prirodi, obimu, odnosno svrhama zahtevaju redovan i sistematski nadzor velikog broja lica na koje se podaci odnose;
- Ukoliko se osnovne aktivnosti rukovaoca ili obrađivača sastoje u obradi posebnih vrsta podataka o ličnosti (podaci o ličnosti čijom se obradom otkriva rasno ili etničko poreklo, političko mišljenje, versko ili filozofsko uverenje ili članstvo u sindikatu, kao i obrada genetskih podataka, biometrijskih podataka u cilju jedinstvene identifikacije lica, podataka o zdravstvenom stanju ili podataka o seksualnom životu ili seksualnoj orijentaciji fizičkog lica), ili u obradi podataka o ličnosti koji se odnose na krivične presude, kažnjiva dela i mere bezbednosti, uz dodatni uslov, da se obrada navedena u ovoj tački – vrši u velikom obimu.
Rukovaoci i obrađivači koji su dužni da odrede lice za zaštitu podataka o ličnosti, ukoliko to ne učine, čine prekršaj za koji je zaprećena novčana kazna u rasponu od 5.000 do 2.000.000 dinara u zavisnosti od toga da li rukovalac, odnosno obrađivač imaju svojstvo pravnog lica, preduzetnika ili fizičkog lica, pri čemu se za prekršaj kažnjava i odgovorno lice u pravnom licu.
DPO mora biti nezavisno lice koje vodi računa da organizacija koja ga je imenovala i koja obrađuje podatke o ličnosti svojih klijenata, partnera, posetilaca, zaposlenih i svih ostalih fizičkih lica, postupa u skladu sa važećim ZZPL odnosno GDPR.
Pored navedenog DPO je u obavezi da informiše i sprovodi obuku za sve ključne činioce u organizaciji (menadžment, rukovodstvo, zaposleni) o svim segmentima zaštite podataka o ličnosti, daje mišljenje o proceni uticaja na zaštitu podataka i predstavlja kontakt osobu za saradnju sa kancelarijom Poverenika i sa licima čiji se podaci obrađuju.
Znači, DPO je lice koje savetuje Vašu organizaciju i brine o tome da ste svoje poslovanje uskladili sa obavezama koje nameće ZZPL / GDPR.
Praksa je pokazala da je veoma pozitivna i efikasna mogućnost formiranja tima stručnjaka za zaštitu podataka koji bi iz organizacionih ili nekih drugih praktičnih razloga, pružali podršku licu određenom za zaštitu podataka o ličnosti. Odluka o formiranje jednog ovakvog tima mora predstavljati rezultat prethodne procene rukovaoca ili obrađivača, tokom koje će se uzeti u obzir obim i vrste obrade podataka o ličnosti, obim i složenost ukupnih poslovnih procesa, broj zaposlenih, složenost organizacione strukture, finansijske mogućnosti itd. U svakom slučaju, ukoliko se opredelite za formiranje tima za pružanje podrške, uloge i odgovornosti njegovih članova (koji nisu lica za zaštitu podataka o ličnosti) trebalo bi jasno odrediti, upravo kao što ZZPL i Opšta uredba to čine u odnosu na lice za zaštitu podataka, odnosno na DPO (Data Protection Officer).
Šta više, kada grupa privrednih subjekata odredi zajedničko lice za zaštitu podataka o ličnosti (na šta ima pravo pod uslovom da je ovo lice jednako dostupno svakom članu grupe), opet je to JEDNO fizičko lice, kao i u slučaju kada rukovaoci ili obrađivači kao organi vlasti ili nadležni organi procene da je celishodno da odrede zajedničko, JEDNO lice za zaštitu podataka o ličnosti, uzimajući u obzir organizacionu strukturu i veličinu tih organa vlasti.
Svi oni koji ODREDE lice za zaštitu podataka, uključujući i one koje ZZPL na to ne obavezuje, DUŽNI SU : 1) da OBJAVE kontakt podatke lica za zaštitu podataka o ličnosti i 2) DOSTAVE ih Povereniku. Ukoliko to ne učine, čine prekršaj za koji je zaprećena novčana kazna od 20, 50 ili 100.000 dinara, u zavisnosti od istih kriterijuma koji su navedeni u vezi sa prekršajem usled neodređivanja lica za zaštitu podataka o ličnosti.