Menovanie zodpovednej osoby podľa GDPR

19/01/2019

Potrebujeme vymenovať zodpovednú osobu? Môžem to byť aj ja? Prečo nie? Koľko to bude stáť? Toto sú najčastejšie otázky podnikateľov a riaditeľov firiem. Ak odpovede hľadáte aj vy, možno vám pomôžu nasledujúce riadky. 

Povinné menovanie zodpovednej osoby

Nie každá spoločnosť, teda prevádzkovateľ, je povinný menovať zodpovednú osobu, hoci WP 29 (bývalá pracovná skupina v EP, ktorá podávala odporúčania, ako GDPR implementovať prakticky) to vyslovene odporúča. Menovaniu sa však nevyhnete, ak:

  • Vašimi hlavnými činnosťami sú také spracúvateľské operácie, ktoré vyžadujú pravidlené a systematcké monitorovanie dotknutých osôb vo veľkom rozsahu
  • Hlavnými činnosťami je spracúvanie osobitných kategórii osobných údajov vo veľkom rozsahu
  • Ide o spracúvanie osobných údajov týkajúcich sa uznania viny za trestné činy alebo priestupky

Čo sú to hlavné činnosti?

To sú také hlavné operácie, ktoré sú nevyhnutné na to, aby prevádzkovateľ alebo sprostredkovateľ dosiahol svoj cieľ, a to vrátane činnosti, pri ktorých spracúvanie osobných údajov tvorí neoddeliteľnú súčasť tejto činnosti prevádzkovateľa alebo sprostredkovateľa.

  • krajíčrska dielňa s 50 zamestnancami má hlavnú operáciu podnikania šitie
  • obchod s 200 zamestnancami má hlavnú operáciu predaj
  • penzión s ubytovacou kapacitou 25 ľudí má hlavnú operáciu poskytovanie ubytovacích služieb

Ktoré z týchto hlavných činností vyžadujú systematické a pravidelné monitorovanie?

Čo je to veľký rozsah?

WP 29 odporúča pri určovaní, či ide alebo nejde o spracúvanie vo veľkom rozsahu, osobitne zohľadniť:

  • počet dotknutých osôb – či už vymedzený ako konkrétne číslo alebo pomerom k príslušnému obyvateľstvu
  • objem údajov alebo rozsah rôznych položiek údajov, ktoré sa spracúvajú
  • trvanie, alebo stálosť (trvácnosť) spracovateľskej činnosti
  • geografický rozsah

V prípade zamestnávateľov je hranicou počet 250 a viac zamestnancov. Môže sa však stať, že zákonná povinnosť sa bude vzťahovať aj na zamestnávateľov, ktorí síce zamestnávajú menej zamestnancov, ale spracúvajú veľké množstvo údajov vrátane profilácie dotknutých osôb. Títo prevádzkovatelia majú povinnosť vymenovať zodpovednú osobu (DPO). 

Čo je to systematické a rozsiahle monitovanie?

  • všetky formy sledovania (tracking) a profilovania na internete, vrátane toho, keď sa vykonáva na účely cielenej (behaviorálnej) reklamy
  • pravidelné = priebežne alebo v konkrétnych intervaloch v konkrétnej dobe sa vyskytujúce, opakujúce sa alebo opakované v stanovených časoch, nepretržite alebo pravidelne uskutočňované
  • systematické = vyskytujúce sa podľa systému, vopred naplánované, organizované alebo metodické, uskutočňované ako súčasť všeobecného plánu získavania údajov, vykonávajúce sa ako súčasť stratégie

Pokiaľ náš obchodník s predajňami, ktorý zamestnáva 100 predajcov, inštaloval do prevádzok kamerový sytém, ide o systematické a rozsiahle monitorovanie. Pokiaľ má zavedený nejaký vernostný systém pre zákazníkov, tak tiež. V prípade, že disponuje helpdeskom, zákazníckou linkou s nahrávanými hovormi, tak tiež má povinnosť vymenovať DPO.

A čo krajčírska dielňa? Ak monitoruje dochádzku zamestnancov cez elektronický systém, prípadne má inštalované kamery pri vchode či na hale, alebo ak obchodní zástupcovia spoločnosti majú vozidlá vybavené GPS systémom, tak tiež ide o systematické a rozsiahle monitorovanie.

Údaje osobitnej kategórie odhaľujú:

  • rasový alebo etnický pôvod
  • politické názory
  • náboženské alebo filozofické presvedčenie alebo členstvo v odborových organizáciách
  • genetické údaje
  • biometrické údaje slúžiace sa identifikáciu fyzickej osoby
  • údaje týkajúce sa zdravia
  • údaje týkajúce sa sexuálneho života alebo sexuálnej orientácie fyzickej osoby

Ak vám zo zákona táto povinnosť nevznikla

Ak ste sa nenašli ani približne v žiadnom vyššie opísanom bode, tak vám povinnosť menovať zodpovednú osobu nevznikla. Aby ste sa ale cítili v problematike správneho zavedenia GDPR a ochrany osobných údajov istejší, tak môžete menovať zodpovednú osobu dobrovoľne. V tom prípade sa na vašu spoluprácu s ňou budú vzťahovať rovnaké podmienky, akoby bola menovaná povinne. Čo to znamená v praxi?

Zodpovedná osoba má právomoc:

  • zúčastňovať sa porád vedenia spoločnosti
  • pripomienkovať rozhodnutia a firemné procesy z pohľadu ochrany osobných údajov
  • nahliadať do zmlúv, spisov a zložiek
  • dávať návrhy na opatrenia
  • auditovať dodávateľov v mene organizácie
  • zastupovať organizáciu voči dozornému orgánu

Z dôvodu možného konfliktu záujmov, zodpovednou osobou nemôže byť konateľ alebo štatutárny zástupca spoločnosti, ale ani iný manažér, ktorý priamo definuje interné procesy. 

Zodpovedná osoba má povinnosť:

  • podieľať sa na firemnej kultúry nastavenej na ochranu osobných údajov
  • pripraviť a aktualizovať zásady spracúvania osobných údajov
  • viesť záznamy o spracovateľských činnostiach
  • podieľať sa, tvoriť a monitorovať bezpečnostnú politiku spracúvania
  • oznamovať porušenie ochrany osobných údajov dozornému orgánu a dotknutej osobe

Pozor! V prípade, že vymenujete zodpovednú osobu ale neumožníte jej výkon právomocí a povinností, dochádza ku porušeniu vašich zákonných povinností. 

Zodpovedná osoba (DPO) 3x inak

Menovanie zodpovednej osoby vám pomáha zabezpečiť súlad s pravidlami ochrany osobných údajov a pre podnikateľov predstavuje konkurenčnú výhodu. Implementuje nástroje pre zodpovedné spracúvanie napríklad zabezpečením alebo vykonaním posúdenia vplyvov alebo auditov a vystupuje ako prostredník medzi dôležitými zainteresovanými stranami teda dozornými orgánmi, dotknutými osobami a obchodnými oddeleniami spoločností.

Menovaná povinne zo zákona (čl. 38)Dobrovoľne menovanáOdborný poradca
“Prevádzkovateľ a sprostredkovateľ zabezpečia, aby bola zodpovedná osoba riadnym spôsobom a včas zapojená do všetkých záležitostí, ktoré súvisia s ochranou osobných údajov.”Keď spoločnosť poverí zodpovednú osobu dobrovoľne, na jej určenie, postavenie a úlohy sa budú vzťahovať rovnaké požiadavky článku 37 až 39, ako keby bolo jej určenie povinné, a to vrátane oznámenia zodpovednej osoby dozornému orgánu.Nie je v pozícii zodpovednej osoby, nevzťahujú su na ňu požiadavky a povinnosti ako sú stanovené v čl. 37 – 39 Nariadenia
Ods. 2 “Organizácia musí podporiť zodpovednú osobu poskytnutím zdrojov potrebných na plnenie týchto úloh a poskytnutím prístupu k osobným údajom a spracovateľským operáciám, ako aj zdroje na udržiavanie jej odborných znalostí“.Môže byť zamestnanec alebo externý konzultant poverený úlohami, ktoré sa týkajú ochrany osobných údajov.
Ods. 3: Od prevádzkovateľov/ sprostredkovateľov sa predovšetkým očakáva, že zabezpečia, aby zodpovedná osoba „v súvislosti s plnením jej úloh nedostávala žiadne pokyny.Zodpovedné osoby, „či už sú alebo nie sú zamestnancami prevádzkovateľa, by mali mať možnosť vykonávať svoje povinnosti a úlohy nezávisle.“

(Recitál 99)

Zabezpečiť jasné definovanie titulu, statusu, pozície a úloh.
Ods. 3: Prevádzkovateľ alebo sprostredkovateľ zodpovedné osoby „nesmú odvolať alebo postihovať za výkon /ich/ úloh“.Jasné odlíšenie od zodpovednej osoby, nesmú si ju zamestnanci prevádzkovateľa, ani jeho obchodní partneri zamieňať s DPO.
Ods. 6: Zodpovedné osoby môžu „plniť iné úlohy a povinnosti“, ak organizácia zabezpečí, že „žiadna z takýchto úloh alebo povinností neviedla ku konfliktu záujmov“.

Kritéria na výber zodpovednej osoby

Tak si to zhrňme. Aby bola v bezpečí vaša spoločnosť a údaje, ktoré spracúvate, potrebujete nielen zodpovednú osobu menovanú formálne, ale aby vami vybraný spolupracovní spĺňal tieto kritéria:

Úroveň odborných znalostí (Recitál 99):

  • nie je zákonom presne vymedzená, ale mala by zodpovedať citlivosti spracúvaných údajov, zložitosti a množstvu údajov, ktoré organizácia spracúva

Odborné kvality (Článok 39 GDPR, ods. 5):

  • odborné znalosti v oblasti vnútroštátneho aj európskeho práva o ochrane osobných údajov a jeho praktickej aplikácie a podrobnú znalosť nariadeni
  • znalosť sféry podnikania spoločnosti a organizácie spoločnosti prevádzkovateľa
  • dostatočné porozumenie realizovaným spracovateľským operáciám, ako aj informačným systémom a požiadavkám prevádzkovateľa na bezpečnosť údajov a ochranu osobných údajov

Schopnosť plniť úlohy zodpovednej osoby:

  • osobnostné kvality zodpovednej osoby, vrátane integrity a profesionálnej etiky
  • jej vedomosti
  • jej pozíciu v rámci organizácie
  • hlavným záujmom zodpovednej osoby by mal byť súlad s nariadením

Ako si vybrať zodpovednú osobu

Bohužiaľ, už som v praxi videla množstvo veľmi zle pripravených podkladov, ktoré v prípade kontroly celkom určite neobstoja. Pred úradom však za dodržanie zákonných povinností zodpovedá prevádzkovateľ. Ako si teda vybrať dobre?

Veľa sa pýtajte a pozorne počúvajte, či odpovede dávajú zmysel. Pýtajte sa na konkrétne situácie z vašej praxe a neuspokojte sa so všeobecnými, vágnymi odpoveďami. Pýtajte sa doplňujúce otázky, na základe čoho odporúča či navrhuje nejaký postup. Čím konkrétnejšia odpoveď, tým lepšie.

A samozrejme, dajte aj na svoj inštinkt. Viete si predstaviť dlhodobú spoluprácu s človekom, s ktorým hovoríte, Viete si predstaviť, že mu dôverujete tak, že mu sprístupníte citlivé údaje o chode spoločnosti?

Čože, on nič také nepožaduje? Pošle vám čosi na základe krátkeho telefonátu alebo e-mailovej objednávky? Nie, takto sa GDPR naozaj nerobí.

Zdroje:

  • GDPR: nariadenie EÚ o ochrane osobných údajov
  • Recitál: súčasť GDPR, rámec ku samotným nariadeniam
  • WP 29, t.j. je pracovná skupina, ktorá vypracúva odporúčania ku praktickým implementačným krokom GDPR, a ktorej usmernenia sú smerodajné
  • 18/2018 Z.z., t.j. Zákon o ochrane osobných údajov SR, platný od 18.5.2018

Autor: Martina Javůrková, MBA