Eksterno Lice za zaštitu podataka (DPO)

Ostale oblasti IT prava

Ako obrađujete lične podate u velikom obimu, redovno pratite ponašanje korisnika (npr. analitika, profilisanje) ili ste organ vlasti, imenovanje Lica za zaštitu podataka (DPO) je obavezno. Dobra vest: DPO ne mora biti zaposleni – pravo dozvoljava angažovanje eksternog DPO-a putem ugovora o uslugama. Tako dobijate senior ekspertizu, nezavisnost i kontinuitet bez opterećenja interne organizacije.

Zunic Law pruža uslugu eksternog DPO-a koja kombinuje pravno znanje, procesnu disciplinu i razumevanje tehnologije. Pokrivamo zahteve GDPR-a/EU i ZZPL-a (Srbija), obezbeđujemo nezavisnost, direktan pristup upravi i operativnu isporuku: od DPIA i obuka do odgovora na zahteve lica, nadzora nad incidentima i saradnje sa Poverenikom i drugim nadzornim telima.

Kada je DPO obavezan i zašto je „eksterno“ rešenje često bolje?

Obaveza imenovanja DPO-a postoji, između ostalog, kada:

(1) obrađujete podatke kao organ vlasti;

(2) osnovne aktivnosti uključuju redovno i sistematsko praćenje lica u velikom obimu; ili

(3) u osnovnim aktivnostima obrađujete posebne kategorije podataka ili podatke o krivičnim osudama u velikom obimu.

Eksterni DPO je dozvoljen i može obavljati funkciju na osnovu ugovora o uslugama.

U Srbiji, ZZPL propisuje obavezu imenovanja Lica za zaštitu podataka u uporedivim slučajevima i bliže razrađuje njegovu ulogu i kvalifikacije. Praktične smernice nadzornog organa pomažu u odluci da li ste obveznik i kako organizovati funkciju.

Zašto eksterno? Nezavisnost i izbegavanje konflikta interesa (npr. IT/marketing rukovodioci često ne mogu biti DPO), senior ekspertiza on-demand, kontinuitet i pokrivenost tokom odmora/bolovanja i ekspanzije na EU tržišta, troškovna efikasnost uz SLA i merljive rezultate.

Šta pravo traži od DPO-a (i kako mi to isporučujemo)?

Pozicija i garancije: DPO je uključen pravovremeno u sva pitanja privatnosti; ima pristup podacima, procesima i rukovodstvu; ne prima instrukcije o načinu izvršavanja zadataka; ne sme biti kažnjen ili smenjen zbog vršenja zadataka; dužan je poverljivosti.

Glavne dužnosti: savetovanje o obavezama iz GDPR/ZZPL i internih politika; praćenje usklađenosti i podizanje svesti/obuke; savetovanje i praćenje DPIA; saradnja s nadzornim organom i uloga kontakt tačke; uvažavanje rizika, prirode, obima, konteksta i svrhe obrada pri radu.

Način imenovanja i transparentnost: DPO može biti interni ili eksterni (ugovor o uslugama). Kontakt DPO-a mora biti objavljen i dostavljen nadzornom organu. Jedan DPO može služiti grupi povezanih društava ako je lako dostupan.

Ko ne može da bude DPO (sukob interesa)?

DPO ne sme imati funkciju koja mu omogućava da određuje svrhe i sredstva obrade, niti da sam kontroliše sopstveni rad.

Praksa nadzornih organa i sudova prepoznaje sledeće tipične nespojive uloge:

najviši menadžment i pozicije koje određuju strategiju obrade: generalni direktor, izvršni direktor/COO, finansijski direktor/CFO, direktor operative, direktor filijale ili uprave

rukovodioci funkcija koje rutinski odlučuju o obradi podataka: rukovodilac IT/CIO, rukovodilac marketinga/CMO i digitala, rukovodilac prodaje, rukovodilac ljudskih resursa/HR, rukovodilac proizvodnje ili logistike kada se oslanjaju na masovnu obradu podataka

bezbednosne/tehničke uloge koje postavljaju politike i odlučuju o kontrolama obrade: rukovodilac informacione bezbednosti/CISO, šef data analitike ili data platforme, vlasnici proizvoda koji odlučuju o telemetry/praćenju

drugi „vlasnici procesa“ koji definišu svrhe i sredstva obrade (npr. product lead, head of compliance ako istovremeno odlučuje o obradi u poslovnim procesima)

osobe čiji bonusi/zadaci zavise od ciljeva koji su u koliziji sa zaštitom podataka (npr. agresivni marketing KPI-ji zasnovani na profilisanju bez adekvatnih osnova)

u pravilu, nije preporučljivo da ista osoba istovremeno bude DPO i predstavnik za EU/RS, zbog moguće kolizije uloga (predstavnik postupa po instrukcijama rukovaoca kao „glasnik“, dok DPO mora biti nezavisan)

Brzi test sukoba interesa: Da li ova osoba definiše „zašto“ i „kako“ se podaci obrađuju? Da li upravlja budžetom i izborom alata za obradu? Da li će morati da „audituje“ sopstvene odluke?

Ako je odgovor „da“, uloga je verovatno nespojiva sa DPO.

Opseg usluge eksternog DPO-a (što radimo iz meseca u mesec)

Strategija, rizik i dokumentacija: mapiranje obrade (RoPA) i gap-analiza politike privatnosti, DPA, retention-a i osnova obrade; savetovanje o pravnim osnovima, interesima i balansiranju rizika, kao i o procenama uticaja (DPIA/LIA); usklađivanje sa specifičnim režimima (ePrivacy kolačići/marketing, sektor-specifična pravila).

Operativno usklađivanje i obuke: program obuka po ulogama (prodaja/marketing, proizvod/IT, HR, support, uprava); privacy by design u razvoju proizvoda (check-liste, štempla za feature review, release evidencije); metodologija za procenu i ublažavanje rizika (matrice i kriterijumi).

Zahtevi lica i prigovori (DSAR): procedure, rokovi i šabloni odgovora; vođenje složenih situacija (npr. konkurentski zahtevi, zloupotrebe prava); identifikacija i verifikacija tražilaca; izuzeci i ograničenja; jasna komunikacija.

Incidenti i povrede podataka: playbook za detekciju, procenu rizika i odlučivanje o prijavi; koordinacija sa IT/InfoSec i PR; priprema i podnošenje prijava nadležnima; komunikacija sa oštećenim licima kada je potrebno.

Dobavljači i prenosi podataka: ugovori sa obrađivačima (DPA), provera subprocesora, procena međunarodnih prenosa i standardnih ugovornih klauzula (SCC); usklađivanje kolačića, online oglašavanja i merenja učinka sa pravilima legitimnog interesa/pristanka.

Saradnja sa organima i audit readiness: komunikacija sa Poverenikom i drugim telima; priprema dokumentacije za nadzor; interni audit i izveštaji za upravu/odbor.
Napomena: kao DPO ne upravljamo vašim IT sistemima niti donosimo poslovne/tehničke odluke — mi monitorišemo, savetujemo i izveštavamo, kako i zakon predviđa. Operativne implementacije realizujemo kroz vaše timove ili specijalizovane dobavljače.

Kako izgleda saradnja sa Zunic Law (5 koraka)?

Onboarding i imenovanje: ugovor o uslugama + formalna odluka o imenovanju; definisanje kanala (dedikovana e-pošta, Service Desk), objava DPO kontakta i notifikacija nadležnom organu.

Rani „health-check“: brza gap-analiza (politike, RoPA, kolačići/marketing, dobavljači, prenosi, incidenti) i plan remedijacije sa rokovima i odgovornima.

Postavljanje procesa i obuka: DSAR tokovi, DPIA metodologija, incident playbook, TPRM/DPA standardi; inicijalne obuke po ulogama.

Kontinuirani DPO rad: savetovanje na inicijativama, review novih funkcionalnosti, učešće u sastancima upravljanja rizikom i nadzoru.

Izveštavanje i audit-priprema: kvartalni izveštaji upravi, KPI/OKR, priprema za nadzore i interne/eksterne revizije.

Šta tačno „eksterno“ Lice za zaštitu podataka o ličnosti znači u pravu?

DPO može biti eksterni: funkcija se obavlja na osnovu ugovora o uslugama. Jedan DPO može služiti grupi društava, pod uslovom dostupnosti. Kontakt DPO-a mora biti objavljen i dostavljen nadzornom organu.

DPO ne sme primati instrukcije o načinu rada i ne sme trpeti posledice zbog izvršavanja zadataka; mora imati resurse i pristup rukovodstvu.

Kako se razlikuje DPO od „predstavnika za Srbiju/EU“

DPO (interni ili eksterni) je nezavisna funkcija unutar organizacije (ili ugovoreni eksterno) koja savetuje, prati i koordiniše pitanja privatnosti; direktno sarađuje sa nadzornim organom kao kontakt tačka.

Predstavnik (EU/RS) je lokalna kontakt-tačka za komunikaciju sa nadzornim organom i licima čiji se podaci obrađuju kada organizacija nema sedište u toj jurisdikciji; ne donosi nezavisne odluke o usklađenosti. Ove uloge često koegzistiraju u istim kompanijama (npr. eksterni DPO + predstavnik za Srbiju/EU).

Zašto Zunic Law za eksternog DPO-a

Regulatorna sigurnost: rad prema tekstu GDPR/ZZPL i važećim smernicama o ulozi i nezavisnosti DPO-a. Industrijska ekspertiza: SaaS, e-commerce/marketing, fintech i plaćanja, zdravstvo/istraživanja, proizvodnja i logistika.

Operativna isporuka: dokumenti, procedure, obuke i stalna komunikacija — ne samo „policy na papiru“. Skaliranje na više tržišta: kros-border koordinacija sa EU/UK predstavnicima i lokalnim advokatima. Merljivost: KPI/OKR, SLA i kvartalni izveštaji upravi.

Sledeći korak

Pošaljite nam kratak opis vaših obrada, industrije i tržišta na kojima poslujete. Odmah ćemo predložiti model eksternog DPO-a, kalendar aktivnosti za narednih 90 dana i set prioriteta (DSAR, DPIA, incidenti, dobavljači) — tako da vaša organizacija brzo i efikasno ispuni obaveze i podigne zrelost privatnosti.

Tijana Žunić Marić

Jelena Đukanović

Najčešće postavljena pitanja

Da li DPO mora biti zaposlen kod nas?

Ne. Pravo dozvoljava eksternog DPO-a koji funkciju obavlja po ugovoru o uslugama.

Ko odlučuje o budžetu i prioritetima?

Uprava. DPO savetuje i prati, ali ne sme primati instrukcije o izvršavanju zadataka i mora imati dovoljne resurse i pristup.

Može li jedan DPO pokrivati više naših društava/grupa?

Da, ako je DPO lako dostupan svakoj organizacionoj jedinici/grani poslovanja.

Gde objavljujemo kontakt DPO-a i kome ga prijavljujemo?

Kontakt DPO-a se objavljuje (npr. u politici privatnosti/kontakt strani) i komunicira nadležnom nadzornom organu.

Da li DPO vodi evidencije (RoPA) i popunjava prijave sam?

DPO može pomoći i nadgledati, ali organizacija ostaje odgovorna za usklađenost; DPO je savetnik i nadglednik, ne operativni „controller“.

Šta ako smo već imenovali „predstavnika“ za Srbiju/EU?

Predstavnik i DPO su različite uloge — često su obe potrebne (npr. entitet izvan EU/RS koji cilja ta tržišta + obrađuje podatke u velikom obimu).

Kako obezbeđujete nezavisnost kada ste i pravni savetnici?

Ugovorom i procesom:

DPO linija izveštava direktno upravi/odboru;
„firewall“ prema prodaji/projektima;
dokumentovan pristup i eskalacije u skladu sa pravilima o nezavisnosti DPO-a.

Blogovi iz zaštite podataka o ličnosti

Privatnost i zaštita podataka

Blog i vesti

Vlog i podkast

Brošure

Eksterno Lice za zaštitu podataka (DPO)

Ostale oblasti IT prava

Kada je DPO obavezan i zašto je „eksterno“ rešenje često bolje?

Šta pravo traži od DPO-a (i kako mi to isporučujemo)?

Ko ne može da bude DPO (sukob interesa)?

Opseg usluge eksternog DPO-a (što radimo iz meseca u mesec)

Kako izgleda saradnja sa Zunic Law (5 koraka)?

Šta tačno „eksterno“ Lice za zaštitu podataka o ličnosti znači u pravu?

Kako se razlikuje DPO od „predstavnika za Srbiju/EU“

Zašto Zunic Law za eksternog DPO-a

Sledeći korak

Tijana Žunić Marić

Jelena Đukanović

Najčešće postavljena pitanja

Blogovi iz zaštite podataka o ličnosti

Kontrole Poverenika za GDPR – hoteli predviđeni među prioritetima u 2025. godini

Tijana Žunić Marić

Tijana Žunić Marić imenovana za predstavnika za zaštitu podataka za Pathalys Pharma Inc.

Zunic Law

Doznake za bolovanje putem elektronskog sistema od marta 2025. godine

Zunic Law

Zaštita privatnosti korisnika, ali samo uz naknadu: Da li je dozvoljen „Pay or Okay“ Model?

Jelena Đukanović

RTL Hrvatska imenovala Tijanu Žunić Marić za Predstavnika za zaštitu podataka u Srbiji

Zunic Law

Google protiv Evropske komisije: Tehnološki div (barem trenutno) uzvraća udarac

Zunic Law

Kako se uskladiti sa EU Regulativom o veštačkoj inteligenciji?

Jelena Đukanović

Da li vaša kompanija mora da imenuje predstavnika za zaštitu podataka za Srbiju?

Jelena Đukanović

Zašto ne treba kopirati tuđe uslove korišćenja i politiku privatnosti

Jelena Đukanović