Mario Jakša, mag. iur.

Opća uredba o zaštiti podataka s aspekta službenika za zaštitu podataka u odgojno –

obrazovnim ustanovama
General Data Protection Regulation ili Opća uredba o zaštiti podataka koja će se primjenjivati
u Republici Hrvatskoj od 25. svibnja 2018. unosi brojne novosti, a najznačajnije je da će
administrativno osoblje koje je zaposleno u odgojno-obrazovnim ustanovama biti zaduženo
novim obvezama i odgovornostima.
1. UVOD
Ubrzan razvoj tehnologije i inovativni načini obrade osobnih podataka iziskuju potrebu za
kvalitetnim definiranjem, normiranjem i zaštitom osobnih podataka kao fundamentalnog
prava svakog čovjeka1. Reforma pravila o zaštiti podataka započeta je s ciljem visoke i
univerzalne razine zaštite podataka u cijeloj Europskoj uniji te zamjene ranije direktive na
području zaštite podataka iz 1995. godine, koja je donijeta u samim početcima značajnijeg
digitalnog razvoja.
Nakon dugogodišnjeg rada i pregovaranja na razini Europske unije usvojena je Opća uredba
(EU) 2016/679 Europskog parlamenta i Vijeća o zaštiti pojedinaca u vezi s obradom osobnih
podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive
95/46/EZ (Opća uredba o zaštiti podataka) koja je stupila na snagu 25. svibnja 2016. i koja će
se primjenjivati u Republici Hrvatskoj od 25. svibnja 2018.
Opća Uredba o zaštiti podataka osigurava ujednačeno i jednoobrazno postupanje nadzornih
tijela oko zaštite osobnih podataka te jednaku razinu zaštite svih pojedinaca u Europskoj uniji.
Navedena se Uredba izravno primjenjuje na sve članice Europske unije (osim nekoliko
izuzetaka koji se mogu drugačije urediti nacionalnim zakonodavstvima članica Europske unije)
bez potrebe za donošenje dodatnog propisa kojim bi se Opća uredba o zaštiti podataka
implementirala u nacionalno zakonodavstvo 2.

1
Tako je Poveljom o temeljnim pravima Europske Unije 2010/C 83/01 u čl. 8. određeno:
1. Svatko ima pravo na zaštitu svojih osobnih podataka.
2. Takvi podatci moraju se obrađivati pošteno u za to utvrđene svrhe, na temelju pristanka osobe o kojoj je riječ
ili na nekoj drugoj legitimnoj osnovi, utvrđenoj zakonom. Svatko ima pravo na pristup prikupljenim podacima
koji se na njega ili nju odnose i pravo na njihovo ispravljanje.
Također, čl. 16. Ugovora o funkcioniranju Europske Unije određeno je:
1. Svatko ima pravo na zaštitu svojih osobnih podataka.
2. Europski parlament i Vijeće, odlučujući u skladu s redovnim zakonodavnim postupkom, utvrđuju pravila o
zaštiti pojedinaca s obzirom na obradu osobnih podataka u institucijama, tijelima, uredima i agencijama Unije te
u državama članicama kad obavljaju svoje aktivnosti u području primjene prava Unije i pravila o slobodnom
kretanju takvih podataka. Poštovanje tih pravila podliježe nadzoru neovisnih tijela.
Pravila usvojena na temelju ovog članka ne dovode u pitanje posebna pravila utvrđena u članku 39. Ugovora o
Europskoj uniji.
2
U Republici Hrvatskoj je trenutno na snazi Zakon o zaštiti osobnih podataka (Narodne novine br. 106/12.,
pročišćeni tekst) te je u pripremi Zakon o provedbi Opće uredbe o zaštiti podataka, ali do pisanja ovog teksta isti
nije usvojen od strane zakonodavca pa je nepoznat konačni prijedlog te mogući izuzetci u primjeni Opće Uredbe
o zaštiti osobnih podataka.

Stranica 1 od 4
Opća uredba o zaštiti podataka uvodi brojna nova i/ili drugačija pravila i procese koji se
odnose na:
- privolu – jasan pristanak na obradu osobnih podataka od strane ispitane osobe koji se
na njega odnose
- pravo na ispravak podataka
- pravo na zaborav (brisanje)
- pravo na prenosivost podataka
- obavijest ispitaniku o povredi osobnih podataka
- uređivanje biometrijskih i genetskih podataka
- osiguranje da su pravila o privatnosti jasno i razumljivo objašnjena
- nadzor i kažnjavanje ako se prekrše pravila koja Opća uredba o zaštiti podataka
regulira
- službenika za zaštitu podataka itd.
-
2. Službenik za zaštitu podataka (Data Protection Officer – DPO)
Opća uredba o zaštiti podataka definira uvjete i kriterije prema kojima pravne osobe moraju
odrediti svog službenika za zaštitu podataka (Data Protection Officer – DPO).
Voditelj obrade i izvršitelj obrade imenuju službenika za zaštitu podataka u svakom slučaju u
kojem:

a) obradu provodi tijelo javne vlasti ili javno tijelo, osim za sudove koji djeluju u okviru
svoje sudske nadležnosti
b) osnovne djelatnosti voditelja obrade ili izvršitelja obrade sastoje se od postupaka
obrade koji zbog svoje prirode, opsega i/ili svrha iziskuju redovito i sustavno praćenje
ispitanika u velikoj mjeri
c) osnovne djelatnosti voditelja obrade ili izvršitelja obrade sastoje se od opsežne
obrade posebnih kategorija podataka na temelju članka 9. i osobnih podataka u vezi s
kaznenim osudama i kažnjivim djelima iz članka 10.3

Službenik za zaštitu podataka obavlja najmanje sljedeće zadaće:

a) informiranje i savjetovanje voditelja obrade ili izvršitelja obrade te zaposlenika koji

obavljaju obradu o njihovim obvezama iz Opće uredbe o zaštiti podataka te drugim
odredbama Europske unije ili države članice o zaštiti podataka
b) praćenje poštovanja Opće uredbe o zaštiti podataka te drugih odredaba Europske
unije ili države članice o zaštiti podataka i politika voditelja obrade ili izvršitelja obrade
u odnosu na zaštitu osobnih podataka, uključujući raspodjelu odgovornosti, podizanje
svijesti i osposobljavanje osoblja koje sudjeluje u postupcima obrade te povezane
revizije

3
Članak 37. Opće uredbe o zaštiti podataka

Stranica 2 od 4
 c) pružanje savjeta, kada je to zatraženo, u pogledu procjene učinka na zaštitu podataka
i praćenje njezina izvršavanja u skladu s člankom 35. Opće uredbe o zaštiti podataka
d) suradnja s nadzornim tijelom
e) djelovanje kao kontaktna točka za nadzorno tijelo o pitanjima u pogledu obrade, što
uključuje i prethodno savjetovanje iz članka 36. Opće uredbe o zaštiti podataka te
savjetovanje, prema potrebi, o svim drugim pitanjima. 4

Službenik za zaštitu podataka pri obavljanju svojih zadaća vodi računa o riziku povezanom s
postupcima obrade i uzima u obzir prirodu, opseg, kontekst i svrhe obrade. 5
Službenik za zaštitu podataka imenuje se na temelju stručnih kvalifikacija, a osobito stručnog
znanja o pravu i praksama u području zaštite podataka te sposobnosti izvršavanja gore
navedenih zadaća.6

Iz navedenog proizlazi da službenik za zaštitu podataka mora biti neovisni stručnjak s

multidisciplinarnim znanjem, odlični poznavatelj Opće uredbe o zaštiti podataka, stručnjak u
području informacijske sigurnosti, dobar poznavatelj europske regulative i dobar poznavatelj
poslovnih procesa u ustanovi u kojoj (ili za koju) obavlja poslove službenika za zaštitu
podataka. Takva osoba ne smije biti u sukobu interesa i na to se mora posebno paziti.
Smanjuju se i pojednostavljuju pojedine administrativne obveze voditelja zbirke osobnih
podataka, ali je sada njegova odgovornost puno veća nego je to bilo ranije.

3. Stav Sindikata administrativno-tehničkog osoblja u školama i učeničkim domovima

na temu oko imenovanja službenika za zaštitu podataka

Sindikat administrativno-tehničkog osoblja u školama i učeničkim domovima (dalje u tekstu:

Sindikat ATOS) obratio se s konkretnim pitanjima Ministarstvu znanosti i obrazovanja (dalje u
tekstu: MZO) oko implementacije i primjene Opće uredbe o zaštiti podataka. Nas zanima koje
rješenje predlaže MZO, zašto se do sada čekalo i zašto se o navedenoj temi šuti, tko će
poslove koji proizlaze iz Opće uredbe o zaštiti podataka obavljati te tko će i koliko to platiti
službenicima za zaštitu podataka.
Naš prijedlog sastoji se u tome da se zaposle novi ljudi (na puno ili nepuno radno vrijeme –
ovisno o broju škola i složenosti poslova) koji će te poslove obavljati za više odgojno-
obrazovnih ustanova. Za škole s manjim brojem učenika i radnika predlažemo da se navedeni
poslovi plate kroz prekovremeni rad ako su radnici suglasni s imenovanjem i funkcijom
službenika za zaštitu podataka. Jedno od rješenja je i da se navedenim pitanjem pozabave
osnivači odgojno-obrazovnih ustanova i imenuju službenika za zaštitu podataka iz svojih
redova.
Kao što se vidi iz opisa poslova koje obavlja službenik za zaštitu podataka, traže se
sofisticirana znanja te se radi o vrlo odgovornim i delikatnim poslovima. Uz navedeno,
propisane su Općom uredbom o zaštiti podataka vrlo veliki iznosi novčanih kazni za koje su
4
Članak 39. stavak 1. Opće uredbe o zaštiti podataka
5
Članak 39. stavak 2. Opće uredbe o zaštiti podataka
6
Članak 37. stavak 5. Opće uredbe o zaštiti podataka

Stranica 3 od 4
odgovorne odgojno-obrazovne ustanove, ali i radnici koji obavljaju poslove službenika za
zaštitu osobnih podataka.
Ne postoji mogućnost nametanja dužnosti službenika za zaštitu podataka niti jednom radniku
u odgojno-obrazovnim ustanovama te se radnici mogu uvijek pozivati na to da nemaju
stručne kvalifikacije, a osobito stručno znanje o pravu i praksama u području zaštite podataka
te da su nekompetentni za cjelovito izvršavanje svih obveza iz članka 39. Opće uredbe o
zaštiti podataka. Sindikat ATOS već sada pruža pravnu pomoć svojim članovima u sprečavanju
nametanja poslova službenika za zaštitu podataka te savjetuje svim tajnicima da ne
prihvaćaju navedene funkcije dok se ne očituje MZO o pitanjima i zahtjevima koje smo im
uputili.

Stranica 4 od 4