U svom nezavisnom djelovanju pokriva širok spektar odgovornosti od kojih su osnovne:
- kreira propise i mjere u svim dijelovima organizacije te prema njenim poslovnim partnerima
- uspostavlja procese proizašle direktno iz Opće uredbe poput evidencija obrade aktivnosti, prava ispitanika i povrede osobnih podataka
- provodi procjenu učinka na zaštitu osobnih podataka
- savjetuje organizaciju u pogledu zaštite osobnih podataka
- educira zaposlenike
- kontakt osoba u komunikaciji sa nadzornim tijelom i ispitanicima.
Premda službenici za zaštitu podataka (DPO) djeluju pod propisanim odgovornostima iz Opće uredbe, a u svom djelovanju koriste priznatu metodologiju, nerijetko se dogodi da se razina usklađenosti i primjene GDPR-a osjetno razlikuje u organizacijama. Ne ulazeći u različitost struktura, veličinu i procesnu kompleksnost samih organizacija te interne politike odlučivanja, postoje koncepti koji mogu postići veću važnost područja zaštite podataka u organizaciji. Cilj njihove primjene je podići razinu vidljivosti funkcije službenika za zaštitu podataka, kako bi područje zaštite podataka postiglo efikasniju primjenu na svim razinama tvrtke.
Prije svakog postupka kod uređenja organizacijskih mjera zaštite neophodno je prethodno osigurati odobrenje najviše razine upravljanja. Poznato je da određene tvrtke provode imenovanje DPO i njegovih odgovornosti prema opisu iz Uredbe formalnim aktima. Kako bi maksimalno stekao podršku za područje primjene GDPR-a unutar tvrtke, prednost je da Uprava ima maksimalno razumijevanje. Da bi u tome uspio, DPO će pored isticanja važnosti Opće uredbe iz kuta EU regulative, najviše pridonijeti ako svoje odgovornosti strukturira u jasne krovne procese na vremenskoj crti i objasni što to znači za tvrtku.
U određenim tvrtkama se za pojedine organizacijske mjere zaštite prije odobrenje iod strane Uprave iste prethodno moraju usaglasiti sa voditeljima poslovnih cjelina što zahtjeva dodatni angažman DPO-a ili njegovog organizacijskog nadređenog voditelja, ali se takvim aktom postiže konsenzus u praktičnoj primjeni GDPR.
Shvaćanje i prihvaćanje GDPR-a u tvrtkama ovisi i o vještini da DPO uspije biti jasan na svim razinama u tvrtki i konkretan sa aktivnostima koje su nužne radi provedbe i održavanja potrebne razine usklađenosti sa GDPR. To između ostalog može obuhvaćati:
- sposobnost strukturiranja svojih odgovornosti kreiranjem vlastitih procesa
- određivanjem vlastite role i točke aktivnosti u poslovnim procesima tvrtke (npr. kod novih procesa, promjene postojećih procesa, u postupku nabave, projektima itd).
- određivanja potrebnih, ali ostvarivih vremenskih ciljeva (mjesečni, kvartalni, godišnji)
- strukturiranjem odgovornosti kod GDPR aktivnosti na način tko je odgovoran za točnost predložene mjere, s kim se DPO mora konzultirati, koga treba informirati I tko je odgovoran za provedbu.
- Kreiranjem elemenata obveznog mjesečnog izvještaja za najvišu razinu upravljanja, ali i periodičnog sukladno definiranim vremenskim ciljevima
U razmatranju pozicije službenika za zaštitu podataka dobro je uzeti u obzir cilj djelovanja DPO, a to je postizanje potrebne razine usklađenosti cijele tvrtke. Opća uredba je ostavila dovoljno prostora da tvrtke mogu prilagoditi funkciju DPO u svoje organizacijske modele. U tom dijelu leži prilika za DPO-a da koristi mehanizme orgamizacije na način da postigne veću vidljivost i prepoznatljivost zaštite podataka u tvrtki, koja će ovisiti upravo o njegovoj sposobnosti da svoje aktivnosti strukturira, kvantificira i prilagodi “jeziku” organizacije jer prihvaćanje može u velikoj mjeri ovisiti o međusobnom razumijevanju.
Nerijetko se dogodi da aktivnost DPO-a u tvrtki se zadržava na publiciranju propisa koji ne postižu dovoljnu razinu primjene u tvrtki. S druge strane, primjeri dobre prakse najčešće obuhvaćaju slijedeće aktivnosti:
- Redoviti GDPR audit postojećih mjera usklađenosti
- GDPR revizija bar jednog poslovnog partnera godišnje
- Jasno određene točke sudjelovanja u projektima tvrtke od strane DPO
- Redovno izvještavanje najviše razine upravljanja
- Primjenjeni treninzi s realnim situacijama u poslovnim procesima tvrtke
Tvrtke čiji službenik za zaštitu podataka samostalno ili sa svojim timom obavlja navedene aktivnosti mogu biti naznaka da se GDPR u takvim tvrtkama redovito provodi i ažurira. Na drugoj strani, što i praksa zna pokazati, postoji značajan broj tvrtki koji imaju percepciju da su usklađene i da su riješile GDPR u svom poslovanju, ali godinama nisu u svojim strukturama provele nijednu od navedenih aktivnosti ili ekvivalentni proces koji će imati identičan učinak na primjenu GDPR.
Na prepoznatljivost područja primjene zaštite osobnih podataka u znatnoj mjeri mogu pridonijeti sami službenici za zaštitu podataka izgradnjom i dokumentiranošću vlastite uloge u organizacijskoj strukturi.
