Menovanie zodpovednej osoby podľa GDPR

Potrebujeme vymenovať zodpovednú osobu? Môžem to byť aj ja? Prečo nie? Koľko to bude stáť? Toto sú najčastejšie otázky podnikateľov a riaditeľov firiem. Tento článok prináša odpovede na tieto otázky. 

Povinné menovanie zodpovednej osoby

WP 29, bývalá pracovná skupina v EP, ktorá podávala odporúčania, ako GDPR implementovať prakticky, vyslovene odporúča menovať zodpovednú osobu každej organízácii. Avšak zákonná povinnosť vám vzniká až keď spĺňate tieto kritéria:

  • Vašimi hlavnými činnosťami sú také spracúvateľské operácie, ktoré vyžadujú pravidlené a systematcké monitorovanie dotknutých osôb vo veľkom rozsahu
  • Hlavnými činnosťami je spracúvanie osobitných kategórii osobných údajov vo veľkom rozsahu
  • Ide o spracúvanie osobných údajov týkajúcich sa uznania viny za trestné činy alebo priestupky

Hlavné činnosti

To sú také hlavné operácie, ktoré sú nevyhnutné na to, aby prevádzkovateľ alebo sprostredkovateľ dosiahol svoj cieľ, a to vrátane činnosti, pri ktorých spracúvanie osobných údajov tvorí neoddeliteľnú súčasť tejto činnosti prevádzkovateľa alebo sprostredkovateľa.

Veľký rozsah

WP 29 odporúča pri určovaní, či ide alebo nejde o spracúvanie vo veľkom rozsahu, osobitne zohľadniť:

  • počet dotknutých osôb – či už vymedzený ako konkrétne číslo alebo pomerom k príslušnému obyvateľstvu
  • objem údajov alebo rozsah rôznych položiek údajov, ktoré sa spracúvajú
  • trvanie, alebo stálosť (trvácnosť) spracovateľskej činnosti
  • geografický rozsah

V prípade zamestnávateľov je hranicou počet 250 a viac zamestnancov. Môže sa však stať, že zákonná povinnosť sa bude vzťahovať aj na zamestnávateľov, ktorí síce zamestnávajú menej zamestnancov, ale spracúvajú veľké množstvo údajov vrátane profilácie dotknutých osôb. Títo prevádzkovatelia majú povinnosť vymenovať zodpovednú osobu (DPO). 

Systematické a rozsiahle monitovanie

  • všetky formy sledovania (tracking) a profilovania na internete, vrátane toho, keď sa vykonáva na účely cielenej (behaviorálnej) reklamy
  • pravidelné = priebežne alebo v konkrétnych intervaloch v konkrétnej dobe sa vyskytujúce, opakujúce sa alebo opakované v stanovených časoch, nepretržite alebo pravidelne uskutočňované
  • systematické = vyskytujúce sa podľa systému, vopred naplánované, organizované alebo metodické, uskutočňované ako súčasť všeobecného plánu získavania údajov, vykonávajúce sa ako súčasť stratégie

Údaje osobitnej kategórie odhaľujú:

  • rasový alebo etnický pôvod
  • politické názory
  • náboženské alebo filozofické presvedčenie alebo členstvo v odborových organizáciách
  • genetické údaje
  • biometrické údaje slúžiace sa identifikáciu fyzickej osoby
  • údaje týkajúce sa zdravia
  • údaje týkajúce sa sexuálneho života alebo sexuálnej orientácie fyzickej osoby

Ak vám zo zákona táto povinnosť nevznikla

Ak ste sa nenašli ani približne v žiadnom vyššie opísanom bode, tak vám povinnosť menovať zodpovednú osobu nevznikla. Aby ste sa ale cítili v problematike správneho zavedenia GDPR a ochrany osobných údajov istejší, tak môžete menovať zodpovednú osobu dobrovoľne. V tom prípade sa na vašu spoluprácu s ňou budú vzťahovať rovnaké podmienky, akoby bola menovaná povinne. Čo to znamená v praxi?

Zodpovedná osoba má právomoc:

  • zúčastňovať sa porád vedenia spoločnosti
  • pripomienkovať rozhodnutia a firemné procesy z pohľadu ochrany osobných údajov
  • nahliadať do zmlúv, spisov a zložiek
  • dávať návrhy na opatrenia
  • auditovať dodávateľov v mene organizácie
  • zastupovať organizáciu voči dozornému orgánu

Z dôvodu možného konfliktu záujmov, zodpovednou osobou nemôže byť konateľ alebo štatutárny zástupca spoločnosti, ale ani iný manažér, ktorý priamo definuje interné procesy. 

Zodpovedná osoba má povinnosť:

  • podieľať sa na firemnej kultúry nastavenej na ochranu osobných údajov
  • pripraviť a aktualizovať zásady spracúvania osobných údajov
  • viesť záznamy o spracovateľských činnostiach
  • podieľať sa, tvoriť a monitorovať bezpečnostnú politiku spracúvania
  • oznamovať porušenie ochrany osobných údajov dozornému orgánu a dotknutej osobe

Pozor! V prípade, že vymenujete zodpovednú osobu podľa čl. 37 – 39 GDPR ale neumožníte jej výkon právomocí a povinností, dochádza ku porušeniu vašich zákonných povinností. 

Zodpovedná osoba (DPO)

Aby bola v bezpečí vaša spoločnosť a údaje, ktoré spracúvate, potrebujete nielen zodpovednú osobu menovanú nielen formálne, ale musí spĺňať tieto kritérium odborných znalostí a kvalít ako aj osobnostých predpokladov a profesionálnej etiky.

Menovanie zodpovednej osoby vám pomáha zabezpečiť súlad s pravidlami ochrany osobných údajov a pre podnikateľov predstavuje konkurenčnú výhodu. Implementuje nástroje pre zodpovedné spracúvanie napríklad zabezpečením alebo vykonaním posúdenia vplyvov alebo auditov a vystupuje ako prostredník medzi dôležitými zainteresovanými stranami teda dozornými orgánmi, dotknutými osobami a obchodnými oddeleniami spoločností.

V praxi je častým problémom, že malé firmy používajú invazívne technológie na sledovanie zamestnancov, avšak nie sú ochotné investovať do dokumentácie a už vôbec nie do ďalších povinností súvisiacich s GDPR. Bohužiaľ, regulácia nástrojov a služieb na trackig neexistuje, a tak si hocikto môže kúpiť a inštalovať hocičo.

Aj obchodník s predajňami, ktorý zamestnáva do 100 predajcov, môže inštalovať do prevádzok kamerový sytém, čím sa začne vykonávať to, čo GDPR označuje ako systematické a rozsiahle monitorovanie. Pokiaľ má zavedený nejaký vernostný systém pre zákazníkov, tak tiež. V prípade, že disponuje helpdeskom, zákazníckou linkou s nahrávanými hovormi, tak mu tiež vzniká povinnosť vymenovať DPO.

A čo napríklad krajčírska dielňa? Ak monitoruje dochádzku zamestnancov cez elektronický systém, prípadne má inštalované kamery pri vchode či na hale, alebo ak obchodní zástupcovia spoločnosti majú vozidlá vybavené GPS systémom, tak tiež ide o systematické a rozsiahle monitorovanie.

Ako si vybrať dobre?

Veľa sa pýtajte a pozorne počúvajte, či odpovede dávajú zmysel. Pýtajte sa na konkrétne situácie z vašej praxe a neuspokojte sa so všeobecnými, vágnymi odpoveďami. Pýtajte sa doplňujúce otázky, na základe čoho odporúča či navrhuje nejaký postup. Čím konkrétnejšia odpoveď, tým lepšie.

A samozrejme, dajte aj na svoj inštinkt. Dôverujete mu alebo jej tak, že mu sprístupníte citlivé údaje o chode spoločnosti, zmluvy, informácie, kontakty? Čože, on nič také nepožaduje? Pošle vám nejaké súbory na základe krátkeho telefonátu alebo e-mailovej objednávky? Nie, takto sa GDPR naozaj nerobí.