- 03 pro 2025
- Dr.sc. Silvija Vig
- Uncategorized
- Comments: 0
U novom Prijedlogu Pravilnika o funkciji praćenja usklađenosti Ministarstva financija nalazi se odredba koja je kod pojedinih službenika za usklađenost izazvala nedoumicu. U članku 12., točka 10. propisano je da funkcija praćenja usklađenosti sudjeluje u izradi i ažuriranju politika i procedura koje pokrivaju ključne aspekte usklađenosti, uključujući zaštitu osobnih podataka i privatnosti, sigurnost i zaštitu informacija, ESG rizike, financijsko izvještavanje, sprječavanje pranja novca i druga područja od regulatornog značaja.
Na prvu, ovakva formulacija može djelovati kao da se funkcija praćenja usklađenosti proteže na različita specijalizirana područja i da preuzima dio odgovornosti stručnih nositelja, poput DPO-a, CISO-a, ESG stručnjaka ili AML specijalista. Međutim, upravo je suprotno, Prijedlog Pravilnika time ne proširuje ulogu funkcije praćenja usklađenosti na stručna područja, nego potvrđuje njezinu sustavnu ulogu.
Drugim riječima, funkcija praćenja usklađenosti ne preuzima sadržaj, nego nadzire okvir u kojem se sadržaj pravilno primjenjuje.
To možemo pojasniti na primjeru službenika za zaštitu podataka (DPO) koji je odgovoran za informiranje i savjetovanje voditelja i izvršitelja obrade te zaposlenika o njihovim obvezama, nadzor nad usklađenošću organizacije s GDPR-om, podršku u edukaciji zaposlenika, savjetovanje o transparentnosti obrade i sudjelovanje u procesima poput DPIA-e. Također prati aktivnosti obrade, procjenjuje usklađenost i pruža smjernice za postupanje sa zahtjevima ispitanika. DPO nije odgovoran za operativno provođenje politika i postupaka usklađenosti, niti za samo provođenje DPIA-e. Njegova je uloga savjetodavna i nadzorna, a ne izvršna.[1]
Upravo ta priroda uloge ključna je za razumijevanje razlike između DPO-a i funkcije praćenja usklađenosti. Dok DPO djeluje kao stručni nositelj sadržaja u području zaštite osobnih podataka, funkcija praćenja usklađenosti ima sustavnu i horizontalnu ulogu, ona osigurava da su politike svih stručnih područja pravilno uspostavljene, dokumentirane, komunicirane i integrirane u procese upravljanja rizicima usklađenosti. Drugim riječima, Compliance funkcija ne ulazi u stručnu interpretaciju GDPR-a, niti preuzima zadatke DPO-a, nego nadzire okvir u kojem se ti stručni zadaci provode. Time se izbjegava preklapanje i osigurava da DPO zadrži nezavisnu poziciju propisanu regulatornim zahtjevima.
Ako promatramo organizacije iz perspektive Modela tri linije (Institute of Internal Auditors), tradicionalno, a posebno u financijskom sektoru, DPO se često smatra dijelom druge linije. Nedavno godišnje izvješće IAPP-EY o upravljanju privatnošću za 2022. pružilo je opipljive dokaze ove prakse: u bankarskom i osiguravajućem sektoru polovica organizacija smjestila je funkcije zaštite osobnih podataka u drugu liniju, dok ih je 15 % pozicioniralo u prvu liniju, a tek 2 % u treću liniju. Ovakav trend potvrđuje da je DPO prvenstveno funkcija nadzora i savjetovanja, a ne operativnog izvršavanja.[2]
Razumijevanje položaja DPO-a zahtijeva i razumijevanje koncepta sukoba interesa unutar IIA modela (Model tri linije). Kako je DPO zadužen za praćenje usklađenosti s propisima o zaštiti podataka, sukob može nastati ako bi istovremeno imao ovlasti određivanja svrha i sredstava obrade. WP29 je to jasno formulirao: „službenik za zaštitu podataka ne može imati položaj unutar organizacije koji ga vodi do određivanja svrha i sredstava obrade osobnih podataka“. Isto je potvrdio i Sud EU u presudi iz veljače 2023. (C-453/21), navodeći da sukob interesa može nastati kada DPO „određuje ciljeve i metode obrade osobnih podataka“.[3]
Do sukoba interesa moglo bi doći i između DPO-a i funkcije praćenja usklađenosti kada bi Compliance preuzeo ovlasti ili odgovornosti koje su svojstvene DPO-u, primjerice informiranje i savjetovanje o obvezama iz GDPR-a, nadzor nad usklađenošću obrade, davanje smjernica o transparentnosti obrade, sudjelovanje u DPIA procesima ili procjenjivanje usklađenosti aktivnosti obrade. U takvom bi slučaju Compliance djelovao kao operativni ili stručni nositelj GDPR sadržaja, dok bi DPO istovremeno morao nadzirati pravilnost tih odluka čime bi bio stavljen u poziciju da nadzire rad funkcije koja djeluje umjesto njega. Upravo iz tog razloga uloga Compliance-a mora ostati sustavna i horizontalna, bez preuzimanja stručnih zadaća iz domene zaštite podataka.
Spomenuta sudska i regulatorna praksa dodatno naglašava zašto je važno razlikovati vertikalne stručne funkcije poput DPO-a, koje posjeduju specijalističko znanje, od horizontalnih nadzornih funkcija poput Compliance-a, koje osiguravaju jedinstven, strukturiran i neovisan okvir upravljanja usklađenošću. Upravo zato nema preklapanja jer svaka funkcija ima svoj jedinstvenu odgovornost, a zajedno čine komplementaran sustav upravljanja rizicima usklađenosti.
Vertikalne funkcije predstavljaju usko specijalizirane stručne uloge koje dubinski pokrivaju jedno regulirano područje, poput zaštite podataka ili informacijske sigurnosti. Horizontalna funkcija, poput Compliance-a, djeluje kroz cijelu organizaciju, ne ograničava se na jedno specijalizirano područje, nego pokriva sve relevantne procese i osigurava da su pravila, kontrole i postupci usklađeni na razini cijelog sustava, tj. osigurava sustavni okvir usklađenosti neovisno o pojedinim stručnim područjima.
U međunarodnoj praksi jasno se razlikuje stručna i sustavna razina usklađenosti. Stručnu razinu čine funkcije poput zaštite osobnih podataka, informacijske sigurnosti, sprječavanja pranja novca, financijskog izvještavanja, ESG-a ili upravljanja sukobima interesa. One definiraju što je regulatorno ispravno, koje aktivnosti treba poduzeti i kako se specifični propisi tumače i implementiraju. One su nositelji sadržaja.
S druge strane, funkcija praćenja usklađenosti djeluje na sustavnoj razini. Ona osigurava da sve te stručne politike i procedure budu formalno uspostavljene, dokumentirane, integrirane u poslovne procese, pravilno komunicirane zaposlenicima i praćene kroz kontrole. Compliance je odgovoran za arhitekturu usklađenosti, a ne za njezin tehnički dizajn.
Dok funkcija praćenja usklađenosti osigurava horizontalni pregled nad time radi li se prema pravilima, postoje li kontrole i provode li se, ostale spomenute funkcije iako neovisne, predstavljaju vertikalne stručne nositelje.
Ovakav odnos nije slučajan. Međunarodni standardi, poput ISO 37301 Compliance Management Systems definira Compliance kao drugu liniju (obrane), odgovornu za okvir, ne za stručnu interpretaciju pojedinih propisa, a ISO 27701 Information security, cybersecurity and privacy protection traži jasnu neovisnost između DPO-a i operativnih funkcija. ISO 27001 Information Security Management System naglašava da sigurnosne politike mora oblikovati stručna funkcija, a ne nadzorna. OECD Smjernice za državna poduzeća i europski nadzorni standardi inzistiraju na razdvajanju stručnih i nadzornih uloga radi izbjegavanja sukoba interesa i osiguranja transparentnosti.
Zbog toga je „sudjelovanje funkcije praćenja usklađenosti u izradi politika“, kako navodi Prijedlog Pravilnika, nužno razumjeti u širem smislu upravljanja. Sudjelovanje znači osiguravanje sustavne konzistentnosti, formalne uspostave, pravilnog evidentiranja, redovitog ažuriranja i učinkovite provedbe. Ne znači preuzimanje stručnog sadržaja ili tehničkih analiza.
U velikim i složenim organizacijama, a posebice u državnim poduzećima od posebnog interesa za Republiku Hrvatsku, ova razlika postaje presudna. Stručne funkcije, poput DPO-a, CISO-a, AML-a ili ESG-a imaju dubinske i specifične uloge koji zahtijevaju stručno znanje. Funkcija praćenja usklađenosti ima ulogu koja nadilazi pojedina područja i gradi horizontalni nadzorni okvir koji povezuje sve te funkcije.
U takvoj organizacijskoj strukturi sve funkcije zadržavaju svoju neovisnost, ali istovremeno djeluju kao dio jedinstvenog sustava upravljanja rizicima usklađenosti. Compliance brine da organizacija vidi cijelu sliku. Stručne funkcije brinu da njezini sastavni dijelovi rade kako treba.
Za kraj, važno je istaknuti da prema normi ISO 37301 Compliance Management Systems sve aktivnosti navedene u članku 12., točka 10. predstavljaju samo dio šireg skupa obveza usklađenosti koje organizacija mora sustavno identificirati, dokumentirati i njima upravljati. Te obveze potrebno je evidentirati u registru obveza usklađenosti, čije održavanje i nadzor čini jednu od ključnih odgovornosti funkcije praćenja usklađenosti.
[1] PECB (2021.) Edukacija GDPR – Certified Dana Protection Officer. PECB, Canada
[2] Sullivan, M. (2023.) The Role of the Data Protection Officer (GDPR) in the Three Lines Model. Dostupno na: https://papers.ssrn.com/sol3/papers.cfm?abstract_id=5443574#:~:text=Because%20of%20its%20oversight%20nature%2C%20the%20DPO,a%20manner%20compliant%20with%20data%20protection%20laws.
[3] Ibid.
CODUPO Compliance – Vaš pouzdani partner u praćenju usklađenosti.
Vezano za Funkciju praćenja usklađenosti u ponudi imamo:
Usluge:
Implementacija i dizajn Compliance programa – programa usklađenosti
Provedba GAP analize i evaluacija Compliance programa
Eksternalizirana funkcija usklađenosti
Certifikaciju:
Certified ISO 37301 Compliance Management Systems – Lead Implementer
Edukacije:
Funkcija praćenja usklađenosti/ Compliance officer
Procjena i upravljanje rizicima usklađenosti
Dubinska analiza trećih strana
Praćenje i revizija usklađenosti
Sustav za prijavu nepravilnosti – ISO 37002 Whistleblowing Management Systems
Za dodatne informacije i zakazivanje konzultacija, slobodno nas kontaktirajte putem kontakt forme ili na telefon +385 1 3862 961.