Zodpovedná osoba v organizácii: Zamestnanec alebo externý expert?

By /

V dnešnej digitálnej dobe je ochrana osobných údajov kľúčovým aspektom fungovania každej organizácie. S rastúcim dôrazom na súkromie a bezpečnosť dát sa čoraz častejšie stretávame s pojmom "zodpovedná osoba" v kontexte ochrany osobných údajov, známa aj pod skratkou DPO (Data Protection Officer). Táto funkcia, ukotvená v Nariadení Európskeho parlamentu a Rady (EÚ) 2016/679, známejšom ako GDPR, je zodpovedná za dohľad nad dodržiavaním pravidiel ochrany osobných údajov v organizácii. Jednou z častých otázok, ktorá pritom vyvstáva, je, či môže túto pozíciu zastávať aj priamo zamestnanec organizácie, alebo či je nevyhnutné siahnuť po externom odborníkovi.

Osoba pracujúca pri počítači s ikonami ochrany údajov

Právne vymedzenie zodpovednej osoby podľa GDPR

GDPR vo svojich článkoch 37 až 39 definuje úlohy a požiadavky na zodpovednú osobu. Nariadenie však výslovne neprikazuje, aby bola táto osoba externou entitou. Naopak, článok 37 ods. 6 GDPR umožňuje vymenovanie internej zodpovednej osoby. Kľúčovou podmienkou je, aby mal zamestnanec potrebné odborné znalosti a bol schopný svoju funkciu plniť nezávisle. Táto nezávislosť je zásadná pre efektívny výkon povinností DPO.

Kto je zodpovedná osoba a kedy je povinná?

Zodpovedná osoba je špecialistom, ktorý dohliada nad spracúvaním osobných údajov v organizácii. Jej úlohou je poskytovať poradenstvo, monitorovať súlad s právnymi predpismi a spolupracovať s dozornými orgánmi. Povinnosť určiť zodpovednú osobu vzniká prevádzkovateľovi alebo sprostredkovateľovi v niekoľkých prípadoch:

  1. Orgány verejnej moci a verejnoprávne inštitúcie: Okrem súdov pri výkone ich súdnej právomoci sú tieto subjekty takmer vždy povinné ustanoviť DPO. Na Slovensku sa pod verejnú moc vykonávanú štátom prostredníctvom orgánov zákonodarnej, výkonnej a súdnej moci zaraďujú aj obce a mestá.
  2. Pravidelné a systematické monitorovanie vo veľkom rozsahu: Ak hlavné činnosti prevádzkovateľa zahŕňajú spracovateľské operácie, ktoré si vyžadujú pravidelné a systematické monitorovanie dotknutých osôb vo veľkom rozsahu. Príkladom sú banky, poisťovne alebo firmy vykonávajúce marketing s využitím profilovania zákazníkov.
  3. Spracúvanie osobitných kategórií údajov vo veľkom rozsahu: Ak hlavné činnosti prevádzkovateľa spočívajú v spracúvaní citlivých údajov (napr. údaje o zdravotnom stave, rasovom alebo etnickom pôvode, náboženskom vyznaní) vo veľkom rozsahu, alebo spracúvaní údajov týkajúcich sa uznania viny za trestné činy a priestupky.
  4. Vyžadovanie osobitným predpisom alebo medzinárodnou zmluvou: Ak tak ustanovuje špecifický zákon alebo medzinárodná dohoda.

Je dôležité rozlišovať medzi "hlavnými činnosťami" a "podpornými činnosťami". Podporné činnosti, ako napríklad správa miezd pre zamestnancov stavebnej firmy, zvyčajne nezakladajú povinnosť ustanoviť DPO.

Infografika zobrazujúca tri hlavné dôvody pre povinné ustanovenie zodpovednej osoby

Interná vs. Externá zodpovedná osoba: Výhody a nevýhody

V praxi sa organizácie často rozhodujú medzi poverením existujúceho zamestnanca alebo najatím externého odborníka.

Interná zodpovedná osoba:

  • Výhody:
    • Nižšie priame náklady: Nevyžaduje sa dodatočná zmluva o poskytovaní služieb, čo môže byť cenovo výhodnejšie, najmä pre menšie organizácie.
    • Hlbšia znalosť organizácie: Interný zamestnanec má často lepšie porozumenie procesom, štruktúre a kultúre organizácie, čo môže uľahčiť integráciu pravidiel ochrany osobných údajov.
    • Rýchlejšia reakcia: V prípade potreby môže interný zamestnanec reagovať promptnejšie na vzniknuté situácie.
  • Nevýhody:
    • Potenciálny konflikt záujmov: Zamestnanec s inými pracovnými povinnosťami, najmä na riadiacich pozíciách, môže čeliť konfliktu záujmov. Napríklad vedúci IT oddelenia alebo personalista by nemali byť zároveň zodpovednou osobou, pretože určujú účely a prostriedky spracúvania osobných údajov.
    • Obmedzená nezávislosť: Hoci GDPR vyžaduje nezávislosť, interný zamestnanec môže byť pod tlakom nadriadených alebo vedenia, čo môže ovplyvniť jeho rozhodovanie.
    • Nedostatok špecializovaných znalostí: Bežný zamestnanec nemusí mať dostatočné a aktuálne odborné znalosti v oblasti ochrany osobných údajov, najmä ak sa tejto problematike venuje len popri svojej hlavnej agende.

Externá zodpovedná osoba:

  • Výhody:
    • Garantovaná nezávislosť: Externý poskytovateľ služieb nemá pracovný vzťah s organizáciou, čím je zaručená jeho objektívita a nezávislosť.
    • Špecializované odborné znalosti: Externé spoločnosti sa profesionálne venujú ochrane osobných údajov a ich zamestnanci disponujú hlbokými a aktuálnymi znalosťami legislatívy a praxe.
    • Objektívny pohľad: Externý odborník prináša svieži a objektívny pohľad na procesy organizácie z pohľadu ochrany údajov.
    • Široké spektrum služieb: Mnohé externé spoločnosti ponúkajú balík služieb, ktorý zahŕňa vypracovanie dokumentácie, školenia zamestnancov a audit.
  • Nevýhody:
    • Vyššie priame náklady: Zvyčajne ide o mesačný paušál, ktorý môže byť pre niektoré organizácie finančne náročnejší.
    • Potenciálne pomalšia reakcia: Komunikácia s externým poskytovateľom môže v niektorých prípadoch trvať dlhšie ako s interným zamestnancom.
    • Nutnosť budovania vzťahu: Organizácia musí s externým poskytovateľom vybudovať efektívny komunikačný kanál.

Konflikt záujmov | Definícia etiky

Podmienky pre internú zodpovednú osobu

Ak sa organizácia rozhodne poveriť funkciou zodpovednej osoby vlastného zamestnanca, je nevyhnutné splniť niekoľko kľúčových podmienok:

  • Odborné znalosti: Zamestnanec musí disponovať dostatočnými odbornými znalosťami práva a postupov v oblasti ochrany osobných údajov, ako aj dôkladným porozumením GDPR. Hoci zákon nekondenzuje presnú úroveň týchto kvalifikácií, je vhodné, aby mal zamestnanec relevantné vzdelanie, certifikácie alebo praktické skúsenosti. V minulosti bola vyžadovaná odborná skúška na Úrade na ochranu osobných údajov, avšak od 25. mája 2018 táto povinnosť odpadla.
  • Nezávislosť: Toto je najkritickejší aspekt. Zamestnanec nesmie byť podriadený v otázkach plnenia svojich úloh ako DPO. Nesmie dostávať pokyny, ktoré by mohli ovplyvniť jeho nezávislé rozhodovanie. Jeho pozícia by mala byť priamo podriadená vrcholovému manažmentu (napr. generálnemu riaditeľovi), aby sa zabezpečila jeho nezávislosť od oddelení, ktoré spracúvajú osobné údaje.
  • Žiadny konflikt záujmov: Zamestnanec, ktorý by mohol mať zodpovednosť za určovanie účelov a prostriedkov spracúvania osobných údajov, nemôže byť zároveň DPO. To zahŕňa napríklad členov štatutárneho orgánu (konateľov), vedúcich IT alebo personálnych oddelení.
  • Možnosť vykonávať aj iné úlohy: GDPR síce umožňuje DPO vykonávať aj iné úlohy, ale tieto nesmú byť v rozpore s výkonom jeho primárnych povinností v oblasti ochrany údajov. Obzvlášť dôležité je to pri interných zamestnancoch, ktorých hlavná pracovná náplň môže viesť ku kolízii záujmov.

Konflikt záujmov v praxi

Konflikt záujmov je jednou z najväčších prekážok pri ustanovení internej zodpovednej osoby. V kontexte verejnej správy to môže znamenať, že starosta obce, vedúci oddelenia IT alebo personalista by nemali byť poverení touto funkciou. Títo jednotlivci často rozhodujú o účeloch a prostriedkoch spracúvania osobných údajov, čo je v priamom rozpore s požiadavkou nezávislosti DPO. Zabezpečenie nezávislého prístupu k vedeniu a ochrana pred postihom sú kľúčové pre dôveryhodnosť výkonu funkcie.

Komunikácia a spolupráca

Zodpovedná osoba, či už interná alebo externá, musí byť schopná efektívne komunikovať so všetkými zainteresovanými stranami. To zahŕňa nielen zamestnancov a vedenie organizácie, ale aj dotknuté osoby, ktoré si uplatňujú svoje práva, a predovšetkým s dozornými orgánmi, ako je Úrad na ochranu osobných údajov SR. Komunikácia by mala prebiehať v zrozumiteľnom jazyku a v prípade potreby aj v jazykoch dozorných orgánov.

Zodpovednosť za dodržiavanie GDPR

Je dôležité si uvedomiť, že zodpovedná osoba nie je tou, ktorá nesie konečnú zodpovednosť za dodržiavanie GDPR v organizácii. Táto zodpovednosť leží primárne na prevádzkovateľovi alebo sprostredkovateľovi. DPO síce dohliada a radí, ale prevádzkovateľ musí prijať primerané technické a organizačné opatrenia a zabezpečiť súlad spracúvania osobných údajov s nariadením. V prípade porušenia zákona a udelenia pokuty nesie zodpovednosť prevádzkovateľ, nie DPO.

Praktické príklady a odporúčania

V prípade nadnárodných spoločností s viacerými dcérskymi spoločnosťami na Slovensku, ktoré majú právnu subjektivitu a zamestnávajú viac ako 50 zamestnancov, vzniká pre každú dcérsku spoločnosť povinnosť určiť vlastnú zodpovednú osobu. Bežnou praxou je zmluvné zabezpečenie služieb externej zodpovednej osoby z materskej spoločnosti, avšak nie je to vždy preferovaná forma.

V budúcnosti sa očakávajú zmeny v legislatíve, ktoré by mohli obmedziť počet klientov, ktorým môže externá zodpovedná osoba poskytovať služby. Napríklad, novela zákona o ochrane oznamovateľov protispoločenskej činnosti navrhuje, aby externé zodpovedné osoby mohli mať vo svojom portfóliu len jednu právnickú osobu s 250 a viac zamestnancami.

Diagram organizačnej štruktúry s vyznačenou pozíciou zodpovednej osoby

V prípade, ak organizácia nespadá pod povinnosť ustanoviť DPO, ale napriek tomu si uvedomuje dôležitosť ochrany osobných údajov, môže si zodpovednú osobu ustanoviť dobrovoľne. Toto rozhodnutie môže priniesť organizácii zvýšenú obozretnosť a lepšie riadenie rizík spojených so spracúvaním osobných údajov.

Pri výbere zodpovednej osoby, či už interného zamestnanca alebo externého poskytovateľa, je nevyhnutné dôkladne zvážiť špecifické potreby, veľkosť a povahu spracovateľských operácií organizácie. Vždy je dôležité zabezpečiť, aby bola funkcia DPO vykonávaná nezávisle a s potrebnou odbornosťou, čím sa minimalizujú riziká a zabezpečí súlad s platnou legislatívou.

tags: #musi #byt #zodpovedna #osoba #zamestnancom

Populárne príspevky:

  • Všetko o vyúčtovaní nákladov na bývanie
  • Rodinné sídla Tibora Gašpara
  • Samuel Jurica – realitný expert
  • Prečo je škrabadlo pre mačky nevyhnutné
  • Nový stavebný zákon a jeho dopady