Menovanie zodpovednej osoby podľa GDPR

Potrebujeme vymenovať zodpovednú osobu? Môžem to byť aj ja? Prečo nie? Koľko to bude stáť? Toto sú najčastejšie otázky podnikateľov a riaditeľov firiem. Ak odpovede hľadáte aj vy, možno vám pomôžu nasledujúce riadky. 

Povinné menovanie zodpovednej osoby

Nie každá spoločnosť, teda prevádzkovateľ, je povinný menovať zodpovednú osobu, hoci WP 29 to vyslovene odporúča. Menovaniu sa však nevyhnete, ak:

  • Vašimi hlavnými činnosťami sú také spracúvateľské operácie, ktoré vyžadujú pravidlené a systematcké monitorovanie dotknutých osôb vo veľkom rozsahu
  • Hlavnými činnosťami je spracúvanie osobitných kategórii osobných údajov vo veľkom rozsahu
  • Ide o spracúvanie osobných údajov týkajúcich sa uznania viny za trestné činy alebo priestupky

Čo sú to hlavné činnosti?

To sú také hlavné operácie, ktoré sú nevyhnutné na to, aby prevádzkovateľ alebo sprostredkovateľ dosiahol svoj cieľ, a to vrátane činnosti, pri ktorých spracúvanie osobných údajov tvorí neoddeliteľnú súčasť tejto činnosti prevádzkovateľa alebo sprostredkovateľa.

Čo je to veľký rozsah?

WP 29 odporúča pri určovaní, či ide alebo nejde o spracúvanie vo veľkom rozsahu, osobitne zohľadniť:

  • počet dotknutých osôb – či už vymedzený ako konkrétne číslo alebo pomerom k príslušnému obyvateľstvu
  • objem údajov/ alebo rozsah rôznych položiek údajov, ktoré sa spracúvajú
  • trvanie, alebo stálosť (trvácnosť) spracovateľskej činnosti
  • geografický rozsah

V prípade zamestnávateľov je hranicou počet 250 a viac zamestnancov. Môže sa však stať, že zákonná povinnosť sa bude vzťahovať aj na zamestnávateľov, ktorí síce zamestnávajú menej zamestnancov, ale spracúvajú veľké množstvo údajov vrátane profilácie dotknutých osôb. Títo prevádzkovatelia majú povinnosť vymenovať zodpovednú osobu (DPO). 

Čo je to systematicke a rozsiahle monitovanie?

  • všetky formy sledovania (tracking) a profilovania na internete, vrátane toho, keď sa vykonáva na účely cielenej (behaviorálnej) reklamy
  • pravidelné = priebežne alebo v konkrétnych intervaloch v konkrétnej dobe sa vyskytujúce, opakujúce sa alebo opakované v stanovených časoch, nepretržite alebo pravidelne uskutočňované
  • systematické = vyskytujúce sa podľa systému, vopred naplánované, organizované alebo metodické, uskutočňované ako súčasť všeobecného plánu získavania údajov, vykonávajúce sa ako súčasť stratégie

Údaje osobitnej kategórie odhaľujú:

  • rasový alebo etnický pôvod
  • politické názory
  • náboženské alebo filozofické presvedčenie alebo členstvo v odborových organizáciách
  • genetické údaje
  • biometrické údaje slúžiace sa identifikáciu fyzickej osoby
  • údaje týkajúce sa zdravia
  • údaje týkajúce sa sexuálneho života alebo sexuálnej orientácie fyzickej osoby

Ak vám zo zákona táto povinnosť nevznikla

Ak ste sa nenašli v žiadnom vyššie opísanom bode, tak vám povinnosť menovať zodpovednú osobu nevznikla. Aby ste sa ale cítili v problematike správneho zavedenia GDPR a ochrany osobných údajov istejší, tak môžete menovať zodpovednú osobu dobrovoľne. V tom prípade sa na vašu spoluprácu s ňou budú vzťahovať rovnaké podmienky, akoby bola menovaná povinne. Čo to znamená v praxi?

Zodpovedná osoba má právomoc:

  • zúčastňovať sa porád vedenia spoločnosti
  • pripomienkovať rozhodnutia a firemné procesy z pohľadu ochrany osobných údajov
  • nahliadať do zmlúv, spisov a zložiek
  • dávať návrhy na opatrenia
  • auditovať dodávateľov v mene organizácie
  • zastupovať organizáciu voči dozornému orgánu

Z dôvodu možného konfliktu záujmov, zodpovednou osobou nemôže byť konateľ alebo štatutárny zástupca spoločnosti, ale ani iný manažér, ktorý priamo definuje interné procesy. Menovanie interného zamestnanca môže prinášať isté nevýhody v porovnaní s externou zodpovednou osobu.

Zodpovedná osoba má povinnosť:

  • podieľať sa na firemnej kultúry nastavenej na ochranu osobných údajov
  • pripraviť a aktualizovať zásady spracúvania osobných údajov
  • viesť záznamy o spracovateľských činnostiach
  • podieľať sa, tvoriť a monitorovať bezpečnostnú politiku spracúvania
  • oznamovať porušenie ochrany osobných údajov dozornému orgánu a dotknutej osobe

Zodpovedná osoba (DPO) 3x inak

Menovanie zodpovednej osoby vám pomáha zabezpečiť súlad s pravidlami ochrany osobných údajov a pre podnikateľov predstavuje konkurenčnú výhodu. Implementuje nástroje pre zodpovedné spracúvanie napríklad zabezpečením alebo vykonaním posúdenia vplyvov alebo auditov a vystupuje ako prostredník medzi dôležitými zainteresovanými stranami teda dozornými orgánmi, dotknutými osobami a obchodnými oddeleniami spoločností.

Menovaná povinne zo zákona (čl. 38)Dobrovoľne menovanáOdborný poradca
“Prevádzkovateľ a sprostredkovateľ zabezpečia, aby bola zodpovedná osoba riadnym spôsobom a včas zapojená do všetkých záležitostí, ktoré súvisia s ochranou osobných údajov.”Keď spoločnosť poverí zodpovednú osobu dobrovoľne, na jej určenie, postavenie a úlohy sa budú vzťahovať rovnaké požiadavky článku 37 až 39, ako keby bolo jej určenie povinné, a to vrátane oznámenia zodpovednej osoby dozornému orgánu.Nie je v pozícii zodpovednej osoby, nevzťahujú su na ňu požiadavky a povinnosti ako sú stanovené v čl. 37 – 39 Nariadenia
Ods. 2 “Organizácia musí podporiť zodpovednú osobu poskytnutím zdrojov potrebných na plnenie týchto úloh a poskytnutím prístupu k osobným údajom a spracovateľským operáciám, ako aj zdroje na udržiavanie jej odborných znalostí“.Môže byť zamestnanec alebo externý konzultant poverený úlohami, ktoré sa týkajú ochrany osobných údajov.
Ods. 3: Od prevádzkovateľov/ sprostredkovateľov sa predovšetkým očakáva, že zabezpečia, aby zodpovedná osoba „v súvislosti s plnením jej úloh nedostávala žiadne pokyny.Zodpovedné osoby, „či už sú alebo nie sú zamestnancami prevádzkovateľa, by mali mať možnosť vykonávať svoje povinnosti a úlohy nezávisle.“

(Recitál 99)

Zabezpečiť jasné definovanie titulu, statusu, pozície a úloh.
Ods. 3: Prevádzkovateľ alebo sprostredkovateľ zodpovedné osoby „nesmú odvolať alebo postihovať za výkon /ich/ úloh“.Jasné odlíšenie od zodpovednej osoby, nesmú si ju zamestnanci prevádzkovateľa, ani jeho obchodní partneri zamieňať s DPO.
Ods. 6: Zodpovedné osoby môžu „plniť iné úlohy a povinnosti“, ak organizácia zabezpečí, že „žiadna z takýchto úloh alebo povinností neviedla ku konfliktu záujmov“.

Kritéria na výber zodpovednej osoby

Tak si to zhrňme. Aby bola v bezpečí vaša spoločnosť a údaje, ktoré spracúvate, potrebujete nielen zodpovednú osobu menovanú formálne, ale aby vami vybraný spolupracovní spĺňal tieto kritéria:

Úroveň odborných znalostí (Recitál 99):

  • nie je zákonom presne vymedzená, ale mala by zodpovedať citlivosti spracúvaných údajov, zložitosti a množstvu údajov, ktoré organizácia spracúva

Odborné kvality (Článok 39 GDPR, ods. 5):

  • odborné znalosti v oblasti vnútroštátneho aj európskeho práva o ochrane osobných údajov a jeho praktickej aplikácie a podrobnú znalosť nariadeni
  • znalosť sféry podnikania spoločnosti a organizácie spoločnosti prevádzkovateľa
  • dostatočné porozumenie realizovaným spracovateľským operáciám, ako aj informačným systémom a požiadavkám prevádzkovateľa na bezpečnosť údajov a ochranu osobných údajov

Schopnosť plniť úlohy zodpovednej osoby:

  • osobnostné kvality zodpovednej osoby, vrátane integrity a profesionálnej etiky
  • jej vedomosti
  • jej pozíciu v rámci organizácie
  • hlavným záujmom zodpovednej osoby by mal byť súlad s nariadením

Ak ste malá spoločnosť či podnikateľ s malým počtom informačných systémov, tak môžete siahnuť po predpripravených vzoroch. Je ale takmer isté, či bez aspoň dvoch konzultácií s odborníkom (pred a po príprave dokumentácie) prehliadnete či podceníte podstatné skutočnosti. Bohužiaľ, už som v praxi videla množstvo veľmi zle pripravených podkladov, ktoré v prípade kontroly celkom určite neobstoja.

Ak ste firma väčšia, máte veľa informačných systémov, prípadne spracúvate veľké množstvo osobných údajov, tak spoluprácu, prípadne vypracovanie GDPR na mieru odborníkom naozaj stojí za zváženie. Na jednej strane je tu neustále aktualizovaná legislatíva, metodické pokyny a odborné školenia, kde si zodpovedná osoba dopĺňa suchú literu zákona praktickými príkladmi. Na strane druhej zvažujte aj fakt, že situácií, ktoré pri vašich spracovateľských operáciách môžu nastať a definícia pojmov, čo je čo, je mimoriadne variabilná. Ako hovoria Angličania, „better safe than sorry“.

Zdroje:

  • GDPR: nariadenie EÚ o ochrane osobných údajov
  • Recitál: súčasť GDPR, rámec ku samotným nariadeniam
  • WP 29, t.j. je pracovná skupina, ktorá vypracúva odporúčania ku praktickým implementačným krokom GDPR, a ktorej usmernenia sú smerodajné
  • 18/2018 Z.z., t.j. Zákon o ochrane osobných údajov SR, platný od 18.5.2018

Autor: Martina Javůrková, MBA


Hľadáte školenie pre vašu organizáciu?

Spracúvanie osobných údajov zamestnanca

Vedenie hodnotiaceho rozhovoru

Profesionálne vedenie pracovného pohovoru

https://www.dimensions.sk/firemne-vzdelavanie/manazerske-zrucnosti/