DPO

Inštitút zodpovednej osoby nie je v práve na ochranu osobných údajov niečím novým. Slovenská republika inštitút zodpovednej osoby implementovala už zákonom č. 428/2002 Z. z. a neskôr zákonom č. 122/2013 Z. z..

The data protection officer u nás známa ako zodpovedná osoba. Túto službu poskytujeme našim klientom po dobu 6 mesiacov zadarmo, následne s mesačným paušálom.

Podľa GDPR môže byť zodpovednou osobou ten, kto má znalosti v oblasti práva a postupov v oblasti ochrany osobných údajov a je spôsobilý plniť úlohy v zmysle zákona.

Zodpovedná osoba môže byť zamestnancom prevádzkovateľa alebo sprostredkovateľa alebo môže plniť úlohy na základe zmluvy (externe). Skupina viacerých podnikov si môže určiť jednu zodpovednú osobu.

Nariadenie upravuje tento inštitút zodpovednej osoby v článkoch 37, 38 a 39 ako konkrétnu úpravu určenia, postavenia a úloh zodpovednej osoby.

Kedy je potrebné si určiť zodpovednú osobu?

Článok 37 – určenie zodpovednej osoby.

a) spracúvanie vykonáva orgán verejnej moci alebo verejnoprávny subjekt s výnimkou súdov pri výkone ich súdnej právomoci.

b) hlavnými činnosťami prevádzkovateľa alebo sprostredkovateľa sú spracovateľské operácie, ktoré si vzhľadom na svoju povahu, rozsah a/alebo účely vyžadujú pravidelné a systematické monitorovanie dotknutých osôb vo veľkom rozsahu,

Prevádzkovateľ a sprostredkovateľ je povinný určiť zodpovednú osobu, ak sú kumulatívne splnené všetky  tri podmienky. Avšak, ak má prevádzkovateľ alebo sprostredkovateľ pochybnosti, či si určiť zodpovednú osobu,  je vhodné si ju určiť. Dobrovoľné určenie zodpovednej osoby môže byť vyhodnotené dozorným orgánom ako poľahčujúca okolnosť pri rozhodovaní o uložení správnej pokuty.

Nariadenie sa bližšie nešpecifikuje, čo sa rozumie pod spracovateľskými operáciami, ktoré si vzhľadom na svoju povahu, rozsah a/alebo účely spracúvania vyžadujú pravidelné a systematické monitorovanie dotknutých osôb a zároveň nedefinuje ani pojem pravidelné a systematické monitorovanie dotknutých osôb, ani vo veľkom rozsahu.

Pod pravidelným monitorovaním si môžeme predstaviť:

  • stále, nepretržite alebo sa v určených intervaloch opakujúce sa.

Pod systematickým monitorovaním:

  • je vopred plánované, organizované.

Nariadenie nedefinuje ani pojem spracúvanie vo veľkom rozsahu. Určenie veľkého rozsahu bude vždy závisieť od okolností daného prípadu. Nie je teda dané jasné číslo, kedy pôjde o spracúvanie osobných údajov vo veľkom rozsahu. Prevádzkovateľ a sprostredkovateľ by mali brať do úvahy geografický rozmer (spracúvanie osobných údajov iba v danom regióne, danom štáte, členských štátoch)  v objeme spracúvania osobných údajov, kategórie osobných údajov, kategórie dotknutých osôb.

c) hlavnými činnosťami prevádzkovateľa alebo sprostredkovateľa je spracúvanie osobitných kategórií údajov vo veľkom rozsahu alebo spracúvanie osobných údajov týkajúcich sa uznania viny za trestné činy a priestupky,

d) to vyžaduje v práve Únie alebo v práve členského štátu.

2.   Skupina podnikov môže určiť jednu zodpovednú osobu, ak je zodpovedná osoba ľahko dostupná z každej prevádzkarne.

Pojem „skupina podnikov“ je riadiaci podnik a ním riadené podniky definované v čl. 4 bod  19 GDPR.  

Zodpovedná osoba nemusí byť fyzicky dostupná v každej prevádzkarni, ale musí byť reálne schopná komunikovať so zodpovednými osobami, s príslušnými dozornými orgánmi.

3.   Ak je prevádzkovateľom alebo sprostredkovateľom orgán verejnej moci alebo verejnoprávny subjekt, pre viaceré takéto orgány alebo subjekty sa môže určiť jedna zodpovedná osoba, pričom sa zohľadní ich organizačná štruktúra a veľkosť.

4.   V iných prípadoch, ako sú prípady uvedené v odseku 1, zodpovednú osobu môže určiť alebo, ak sa to vyžaduje v práve Únie alebo v práve členského štátu, určí prevádzkovateľ alebo sprostredkovateľ alebo združenia a iné subjekty zastupujúce kategórie prevádzkovateľov alebo sprostredkovateľov. Zodpovedná osoba môže konať v mene takýchto združení a iných subjektov zastupujúcich prevádzkovateľov alebo sprostredkovateľov.

5.   Zodpovedná osoba sa určí na základe jej odborných kvalít, a to najmä na základe jej odborných znalostí práva a postupov v oblasti ochrany údajov a na základe spôsobilosti plniť úlohy uvedené v článku 39 GDPR.

Nariadenie stanovuje, že prevádzkovateľ alebo sprostredkovateľ má určiť zodpovednú osobu na základe jej odborných kvalít a to:

  • nemusí mať právnické vzdelanie,
  • mala by mať znalosti z oblasti práva a postupov z ochrany osobných údajov,
  • mala by mať znalosti aj z oblasti IT a bezpečnosti,
  • výhodou môžu byť aj znalosti z predmetného podnikateľského sektora/pravidiel orgánov verejnej moci.

6.   Zodpovedná osoba môže byť členom personálu prevádzkovateľa alebo sprostredkovateľa, alebo môže plniť úlohy na základe zmluvy o poskytovaní služieb.

Prevádzkovateľ/sprostredkovateľ má možnosť rozhodnúť sa, či výkonom funkcie zodpovednej osoby ustanoví vlastného zamestnanca alebo externú osobu.

Externá osoba (subdodávateľ)

  • výkon činnosti na základe zmluvy o poskytovaní služieb alebo inej zmluvy,
  • zmluva by mala definovať aj požiadavky bezpečnosti (k akým osobným údajom bude mať prístup, k akým spracovateľským činnostiam, aké prijala bezpečnostné opatrenia atď.),
  • malé a stredné podniky, budú pravdepodobne využívať túto formu zodpovednej osoby

Interná osoba (zamestnanec)

  • presná definícia v pracovnej zmluve,
  • interného zamestnanca si skôr zvolia korporáty (banky, poisťovne, finančné inštitúcie...), zamestnanci majú znalosť  interných  procesov, lepšia komunikácia.

7.   Prevádzkovateľ alebo sprostredkovateľ zverejnia kontaktné údaje zodpovednej osoby a oznámia ich dozornému orgánu.

Prevádzkovateľ/sprostredkovateľ, ktorí si určili zodpovednú osobu, zverejnia jej kontaktné údaje a oznámili ich Úradu na ochranu osobných údajov. Nariadenie  nepredpisuje povinnú formu  zverejnenia.

Prevádzkovateľ/sprostredkovateľ zverejnia kontaktné údaje  zodpovednej osoby, tak aby boli verejnosti ľahko prístupné napr. na webovej stránke/na prevádzke. Dotknutá osoba je oprávnená obrátiť sa na zodpovednú osobu v akejkoľvek záležitosti týkajúcej sa ochrany osobných údajov.

Nariadenie nevyžaduje, aby bolo zverejnené konkrétne  meno a priezvisko zodpovednej osoby, avšak v prípade oznámenia kontaktných údajov dozornému orgánu je nevyhnutné, aby dozorné orgány vedeli, kto túto funkciu vykonáva.

Je potrebné uviesť špeciálne určenú e-mailovú adresu a/alebo telefónne číslo, poštovú adresu. K e-mailovej adrese by nemala mať prístup iná osoba ako zodpovedná osoba a kontaktná adresa pre dotknuté osoby by nemala byť zberná adresa organizácie, ktorá slúži na iné účely.

E-mailová adresa môže mať všeobecné označenie napr. zodpovednaosoba@nazovspolocnosti.sk alebo dpo@nazovspolocnosti.sk.

Prihlásenie zodpovednej osoby môžete urobiť prostredníctvom tohto linku: https://dataprotection.gov.sk/uoou/zo/register-zo

Postavenie zodpovednej osoby

1.   Prevádzkovateľ a sprostredkovateľ zabezpečia, aby bola zodpovedná osoba riadnym spôsobom a včas zapojená do všetkých záležitostí, ktoré súvisia s ochranou osobných údajov.

Prevádzkovateľ/sprostredkovateľ:

  • poskytne komplexný prehľad pôsobnosti činnosti spoločnosti,
  • mali by zodpovednú osobu zapájať do všetkých záležitostí týkajúcich sa ochrany osobných údajov,
  • mali by komunikovať aj v prípadoch, kedy zamýšľajú spustenie nových projektov, prípadne je avizovaná legislatívna zmena v tom konkrétnom podnikateľskom sektore, ktorá sa bude týkať osobných údajov,
  • zodpovedná osoba by sa mala zúčastňovať na zasadnutiach najvyššieho vedenia spoločnosti, ako aj na iných zasadnutiach, ktoré môžu mať vplyv na ochranu osobných údajov,

Zodpovedná osoba by mala mať možnosť sa k predmetným prijatým stanoviskám vyjadriť. V prípade, ak prevádzkovateľ/sprostredkovateľ s jej stanoviskami nesúhlasia, ale rozhodnú sa napriek tomu nepostupovať podľa odporúčania zodpovednej osoby, je potrebné aby zdokumentovali dôvody svojho konania.

2.   Prevádzkovateľ a sprostredkovateľ podporujú zodpovednú osobu pri plnení úloh uvedených v článku 39, a to tak, že jej  poskytujú zdroje potrebné na plnenie týchto úloh a prístup k osobným údajom a spracovateľským operáciám, ako aj zdroje na udržiavanie jej odborných znalostí.

Prevádzkovateľ/sprostredkovateľ je povinný podporovať zodpovednú osobu a poskytnúť jej súčinnosť nielen zo strany vedenia, ale aj zo strany zamestnancov a ostatných oddelení napr. IT, ľudské zdroje, marketingové oddelenie, právne oddelenie. Je to dôležité z hľadiska získania vysvetlení, nastavených procesov v spoločnosti atď.

3.   Prevádzkovateľ a sprostredkovateľ zabezpečia, aby zodpovedná osoba v súvislosti s plnením týchto úloh nedostávala žiadne pokyny. Prevádzkovateľ ani sprostredkovateľ ju nesmú odvolať alebo postihovať za výkon jej úloh. Zodpovedná osoba podlieha priamo najvyššiemu vedeniu prevádzkovateľa alebo sprostredkovateľa.

Zodpovedná osoba by mala postupovať nezávisle a autonómne, to je  jeden z predpokladov výkonu funkcie zodpovednej osoby. Prevádzkovateľ/sprostredkovateľ nemôžu zodpovednej osobe  ukladať pokyny, ako by mala postupovať pri riešení ochrany osobných údajov. 

Zodpovedná osoba nie je osobne zodpovedná za nesúlad s nariadením. Jej vymenovaním sa prevádzkovateľ, ako ani sprostredkovateľ nezbavuje svojej zodpovednosti, ako ani povinnosti vedieť súlad s nariadením dozornému orgánu preukázať.

Prevádzkovateľ alebo sprostredkovateľ nemusia s názorom a stanoviskom zodpovednej osoby vždy súhlasiť a postupovať v súlade s ním. Zodpovedná osoba musí mať však vždy možnosť svoje nesúhlasné stanovisko vyjadriť a odôvodniť najvyššiemu vedeniu (prípadne osobám prijímajúcim rozhodnutie), pričom  jej stanovisku by sa mala vždy prikladať náležitá váha. V prípade, ak prevádzkovateľ alebo sprostredkovateľ s názorom zodpovednej osoby nesúhlasí  a rozhodne sa podľa neho nepostupovať, je žiaduce, aby v súlade so zásadou zodpovednosti zdokumentoval dôvody, pre ktoré sa rozhodol stanovisko zodpovednej osoby neakceptovať.

Prevádzkovateľ ani sprostredkovateľ nesmú zodpovednú osobu odvolať ani postihovať za výkon jej úloh. Zodpovednej osobe je tak poskytnutá ochrana nezávislého výkonu jej funkcie.

4.   Dotknuté osoby môžu kontaktovať zodpovednú osobu v súvislosti so všetkými otázkami týkajúcimi sa spracúvania ich osobných údajov a uplatňovania ich práv podľa tohto nariadenia.

Zodpovedná osoba plní úlohu kontaktného miesta pre dozorný orgán, ako aj pre dotknuté osoby. Dotknuté osoby majú právo a sú oprávnené obracať sa na ňu so všetkými otázkami, ktoré sa týkajú spracúvania ich osobných údajov, ako aj uplatňovania ich práv podľa Nariadenia. Zodpovedná osoba predstavuje pre dotknuté osoby kontaktné miesto aj v prípade, ak prevádzkovateľ oznámi dotknutej osobe porušenie ochrany osobných údajov. Dotknuté osoby majú možnosť kontaktovať aj priamo prevádzkovateľa/sprostredkovateľa so svojou žiadosťou.

5.   Zodpovedná osoba je v súvislosti s výkonom svojich úloh viazaná povinnosťou zachovávať mlčanlivosť alebo dôvernosť informácií v súlade s právom Únie alebo s právom členského štátu.

Zodpovedná osoba je v súvislosti s výkonom svojich úloh viazaná povinnosťou mlčanlivosti (§79 ods. 2 zákona 18/2018 Z. z.)  alebo dôvernosti informácií v súlade s právom Únie alebo s právom členského štátu.

Povinnosť mlčanlivosti neplatí, ak je to nevyhnutné na plnenie úloh súdu a orgánov činných v trestnom konaní podľa osobitného zákona.  V prípade, ak je zodpovednou osobou externá právnická osoba, viazaní mlčanlivosťou sú jej zamestnanci a to aj po skončení pracovného pomeru alebo obdobného pomeru. Informácie, ktoré sa dozvedeli  pri výkone činnosti nesmú použiť pre vlastnú potrebu. Porušenie tejto povinnosti  má trestnoprávne následky (napr. o trestný čin neoprávneného nakladania s osobnými údajmi).

6.   Zodpovedná osoba môže plniť iné úlohy a povinnosti. Prevádzkovateľ alebo sprostredkovateľ zabezpečia, aby žiadna z takýchto úloh alebo povinností neviedla ku konfliktu záujmov.

Zodpovedná osoba môže vykonávať aj iné úlohy a povinnosti, ktoré nesúvisia s výkonom a funkciou zodpovednej osoby, a to iba v tom prípade, že nedôjde ku konflikte záujmov.

Medzi konfliktné pozície môžu patriť aj seniorské pozície (vedúce pozície, vedúci HR, výkonný riaditeľ, člen predstavenstva, konateľ spoločnosti ...atď.). Je vhodné aby prevádzkovateľ/sprostredkovateľ  definovali v interných predpisoch, ktoré pozície sú v spoločnosti konfliktné.  Je potrebné posudzovať v každej spoločnosti samostatne jednotlivé pozície.

Úlohy zodpovednej osoby

1.   Zodpovedná osoba má aspoň tieto úlohy:

  1. poskytovanie informácií a poradenstva prevádzkovateľovi alebo sprostredkovateľovi a zamestnancom, ktorí vykonávajú spracúvanie, o ich povinnostiach podľa tohto nariadenia a ostatných právnych predpisov Únie alebo členského štátu týkajúcich sa ochrany údajov;
  2. monitorovanie súladu s týmto nariadením, s ostatnými právnymi predpismi Únie alebo členského štátu týkajúcimi sa ochrany osobných údajov a s pravidlami prevádzkovateľa alebo sprostredkovateľa v súvislosti s ochranou osobných údajov vrátane rozdelenia povinností, zvyšovania povedomia a odbornej prípravy personálu, ktorý je zapojený do spracovateľských operácií, a súvisiacich auditov;
  3. poskytovanie poradenstva na požiadanie, pokiaľ ide o posúdenie vplyvu na ochranu údajov a monitorovanie jeho vykonávania podľa článku 35; 
  4. spolupráca s dozorným orgánom; 
  5. plnenie úlohy kontaktného miesta pre dozorný orgán v súvislosti s otázkami týkajúcimi sa spracúvania vrátane predchádzajúcej konzultácie uvedenej v článku 36 a podľa potreby aj konzultácie v akýchkoľvek iných veciach.

2.   Zodpovedná osoba pri výkone svojich úloh náležite zohľadňuje riziko spojené so spracovateľskými operáciami, pričom berie na vedomie povahu, rozsah, kontext a účely spracúvania.

Úlohy zodpovednej osoby:

  • poskytovanie informácií a poradenstvo prevádzkovateľovi alebo sprostredkovateľovi a zamestnancom,
  • zvyšovanie povedomia, odborná príprava personálu prevádzkovateľa, sprostredkovateľa (a to napríklad formou organizovania školení, workshopov, on-line vzdelávaním, prípravou e-learningov, brožúr a iných materiálov, pričom jednotlivé vzdelávacie aktivity môžu byť spojené aj so záverečným testom),
  • poradenstvo zamestnancom pri riešení konkrétnych prípadov pri ochrane osobných údajov,
  • monitorovanie súladu so zákonmi a inými právnymi predpismi (reporty na mesačnej, štvrťročnej báze),
  •  poskytovanie  poradenstva (na požiadanie), ak ide o posúdenie vplyvu na ochranu osobných údajov a monitorovanie jeho vykonávania,
  • Spolupráca  s úradom pri plnení svojich úloh,
  • plnenie úlohy kontaktného miesta pre úrad v súvislosti s otázkami týkajúcimi sa spracúvania osobných údajov,
  • zodpovedná osoba nie je osobne zodpovedná za nesúlad spracúvania s Nariadením.  Túto zodpovednosť ponecháva zákonodarca prevádzkovateľovi a sprostredkovateľovi, ktorí sú zároveň povinní dozornému orgánu v prípade kontroly súlad s Nariadením preukázať.

Zdroj:

https://dataprotection.gov.sk

Nariadenie o ochrane fyzických osôb pri spracúvaní osobných údajov-GDPR - Veľký komentár - Irena Hudecová; Anna Cyprichová; Ivan Makatura, 2018

Nariadenia Európskeho parlamentu  Rady (EÚ)2016/679 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov