V súčasnom digitálnom veku, kde sa osobné údaje stávajú stále cennejšou komoditou, nadobúda úloha zodpovednej osoby v kontexte ochrany osobných údajov kľúčový význam. Táto pozícia, často označovaná aj ako DPO (Data Protection Officer) v zahraničných zdrojoch, predstavuje špecialistu, ktorý dohliada nad zákonným a efektívnym spracúvaním osobných údajov v rámci organizácie. GDPR, všeobecné nariadenie o ochrane údajov, jasne definuje situácie, kedy je poverenie zodpovednej osoby povinné, ale zároveň ponecháva priestor aj na jej dobrovoľné ustanovenie.
Kedy je zodpovedná osoba povinná?
Legislatíva GDPR stanovuje presné kritériá, pri ktorých organizácia musí bezpodmienečne poveriť výkonom dohľadu nad ochranou osobných údajov zodpovednú osobu. Tieto situácie zahŕňajú tri hlavné kategórie:
Orgány verejnej moci a verejnoprávne subjekty: Keď spracúvanie osobných údajov vykonáva orgán verejnej moci alebo iný verejnoprávny subjekt, s výnimkou súdov pri výkone ich súdnej právomoci, je ustanovenie zodpovednej osoby obligatórne. V slovenskom kontexte sa verejná moc vykonáva štátom prostredníctvom zákonodarnej, výkonnej a súdnej moci, a za určitých podmienok aj inými subjektmi, čo si vyžaduje dôkladné posúdenie.
Pravidelné a systematické monitorovanie vo veľkom rozsahu: Ak hlavnými činnosťami prevádzkovateľa alebo sprostredkovateľa sú spracovateľské operácie, ktoré si vzhľadom na svoju povahu, rozsah a/alebo účely vyžadujú pravidelné a systematické monitorovanie dotknutých osôb vo veľkom rozsahu, potom je zodpovedná osoba nevyhnutná. Príkladom takýchto činností sú operácie bánk a poisťovní, ale aj firiem, ktoré sa venujú marketingovým aktivitám s využitím profilovania svojich zákazníkov. Tieto hlavné aktivity sa týkajú primárnych činností organizácie, ktoré sú nevyhnutné na dosiahnutie jej hlavného cieľa, a nezahŕňajú podporné alebo doplnkové činnosti.
Spracúvanie osobitných kategórií údajov vo veľkom rozsahu: Keď hlavnými činnosťami prevádzkovateľa alebo sprostredkovateľa je spracúvanie osobitných kategórií údajov vo veľkom rozsahu alebo spracúvanie osobných údajov týkajúcich sa uznania viny za trestné činy a priestupky, je ustanovenie zodpovednej osoby taktiež povinné. Medzi osobitné kategórie údajov patria napríklad údaje týkajúce sa rasového alebo etnického pôvodu, politických názorov, náboženského alebo filozofického presvedčenia, členstva v odborových organizáciách, genetické údaje, biometrické údaje na účely jedinečnej identifikácie fyzickej osoby, údaje týkajúce sa zdravia, sexuálneho života alebo sexuálnej orientácie fyzickej osoby.
Odborné predpoklady a profil zodpovednej osoby
Kľúčovým predpokladom pre výkon funkcie zodpovednej osoby sú dostatočné odborné znalosti. Mala by disponovať hlbokým porozumením v oblasti vnútroštátnej a európskej praxe a právnych predpisov na ochranu osobných údajov, vrátane dôkladnej znalosti všeobecného nariadenia o ochrane údajov (GDPR). Veľmi cenná je aj praktická skúsenosť v oblasti ochrany osobných údajov, ako aj pochopenie špecifického podnikateľského prostredia organizácie, v ktorej zodpovedná osoba pôsobí. Znalosti z oblasti informačných technológií a bezpečnosti osobných údajov sú taktiež dôležitým doplnkom jej kompetencií.
Pred 25. februárom 2018 bola povinná odborná skúška na Úrade na ochranu osobných údajov SR. Od 25. mája 2018 sa táto skúška už nevykonáva, čo len potvrdzuje, že na úroveň odborných kvalít zodpovednej osoby nie sú kladené žiadne konkrétne zákonné nároky, okrem celkového požiadavku na odborné znalosti.
Nezávislosť a konflikt záujmov
Jedným zo základných princípov, na ktorých stojí pozícia zodpovednej osoby, je jej nezávislosť. Táto nezávislosť je zabezpečená viacerými garanciami zakotvenými v GDPR. Zodpovedná osoba by v rámci organizácie nemala určovať účel a prostriedky spracúvania osobných údajov, pretože by to mohlo viesť k stretu záujmov. Aj keď zodpovedná osoba môže plniť aj iné úlohy, musia byť tieto úlohy vykonávané tak, aby nedochádzalo ku konfliktu záujmov. To znamená, že nemôže zastávať pozíciu, ktorá by jej umožňovala rozhodovať o tom, ako a prečo sa osobné údaje spracúvajú.
Ako postupovať v prípade porušenia GDPR? | ochrana osobných údajov | securion
GDPR článok 38 ods. 3 explicitne stanovuje, že prevádzkovateľ a sprostredkovateľ nesmú zodpovednej osobe prideľovať žiadne pokyny týkajúce sa výkonu jej úloh. To znamená, že jej nemožno predpisovať, ako má riešiť konkrétne situácie, aký výsledok má dosiahnuť, ako má prešetriť sťažnosť alebo či má konzultovať vec s dozorným orgánom. Podobne jej nemožno nariadiť, aké stanovisko má zaujať k otázkam výkladu právnych predpisov na ochranu osobných údajov.
Avšak, autonómia zodpovednej osoby neznamená, že disponuje rozhodovacími právomocami presahujúcimi rámec jej stanovených úloh. Prevádzkovateľ alebo sprostredkovateľ zostáva primárne zodpovedný za súlad s právnymi normami na ochranu osobných údajov a musí byť schopný tento súlad preukázať. V prípade, ak prevádzkovateľ prijme rozhodnutie, ktoré je v rozpore s nariadením a s odporúčaním zodpovednej osoby, musí byť zodpovednej osobe umožnené, aby svoje nesúhlasné stanovisko ozrejmila tým, ktorí rozhodnutie prijali.
Zapojenie zodpovednej osoby do procesov
Článok 38 Nariadenia GDPR zdôrazňuje dôležitosť včasného a riadneho zapojenia zodpovednej osoby do všetkých záležitostí súvisiacich s ochranou osobných údajov. Toto zapojenie by malo byť ideálne čo najskôr, najmä pri posudzovaní vplyvov spracovateľských operácií na ochranu osobných údajov. Prevádzkovateľ by sa mal so zodpovednou osobou radiť, keď vykonáva posúdenia vplyvu, čím sa zabezpečí súlad s nariadením a aplikácia prístupu "privacy by design" (ochrana súkromia už od návrhu).
Zodpovedná osoba by mala byť v organizácii vnímaná ako partner v dialógu a mala by byť súčasťou pracovných skupín zodpovedných za spracovateľské činnosti. Je dôležité, aby bola pravidelne pozývaná na stretnutia manažmentu, najmä v prípadoch, keď sa prijímajú rozhodnutia s dopadom na ochranu osobných údajov. Všetky relevantné informácie by mali byť zodpovednej osobe poskytované včas, aby mohla poskytnúť náležité poradenstvo. Stanovisku zodpovednej osoby sa musí prikladať patričná váha. V prípade nesúhlasu s jej odporúčaniami sa odporúča zaznamenať dôvody, prečo sa nepostupovalo podľa jej stanoviska.
V prípade akéhokoľvek porušenia ochrany osobných údajov alebo iného incidentu je nevyhnutné bezodkladne konzultovať so zodpovednou osobou. Prevádzkovateľ alebo sprostredkovateľ môže tiež vypracovať interné usmernenia alebo programy pre situácie, kedy je potrebné konzultovať so zodpovednou osobou.
Potrebné zdroje a podpora
Na zabezpečenie efektívneho výkonu úloh zodpovednej osoby je nevyhnutné, aby organizácia poskytla dostatočné zdroje. To zahŕňa prístup k osobným údajom a spracovateľským operáciám, ako aj zdroje na udržiavanie a aktualizáciu jej odborných znalostí.
Kľúčové aspekty podpory zodpovednej osoby zahŕňajú:
- Podpora zo strany najvyššieho vedenia: Aktívna podpora funkcie zodpovednej osoby zo strany najvyššieho vedenia, napríklad na úrovni predstavenstva, je zásadná.
- Dostatočný čas: Zodpovedná osoba musí mať zabezpečený dostatočný čas na plnenie svojich úloh. Toto je obzvlášť dôležité v prípadoch, keď je pozícia zodpovednej osoby vykonávaná na čiastočný úväzok alebo v rámci iných pracovných povinností. Odporúča sa určiť percento pracovného času vyhradeného pre túto funkciu a stanoviť primeranú úroveň priority úlohám zodpovednej osoby.
- Finančné a infraštruktúrne zdroje: Poskytnutie náležitej podpory v zmysle finančných zdrojov, infraštruktúry (priestory, zariadenia, vybavenie) a personálu je nevyhnutné tam, kde je to vhodné.
- Interná komunikácia: Oficiálne oznámenie o ustanovení zodpovednej osoby všetkým zamestnancom zabezpečí povedomie o jej existencii a funkcii.
- Prístup k ďalším oddeleniam: Zodpovedná osoba by mala mať prístup k ďalším službám v organizácii, ako sú ľudské zdroje, IT alebo bezpečnosť, aby od nich získala potrebnú podporu, vstupy a informácie.
- Sústavné vzdelávanie: Organizácia by mala zabezpečiť zodpovednej osobe príležitosti na aktualizáciu jej znalostí prostredníctvom tréningových kurzov, workshopov a účasti na fórach týkajúcich sa ochrany súkromia a osobných údajov.
V závislosti od veľkosti a štruktúry organizácie môže byť potrebné vytvoriť pre zodpovednú osobu tím. V takýchto prípadoch je dôležité jasne stanoviť vnútornú štruktúru tímu, ako aj úlohy a zodpovednosti jeho členov.
Odvolanie a postihy
GDPR článok 38 ods. 3 tiež zakazuje prevádzkovateľovi alebo sprostredkovateľovi odvolať alebo postihovať zodpovednú osobu za výkon jej úloh. Táto požiadavka posilňuje autonómiu zodpovedných osôb a zaisťuje, že budú konať nezávisle a s dostatočnou mierou ochrany. Postihy sú zakázané, ak sú ukladané za výkon úloh zodpovednej osoby, napríklad ak zodpovedná osoba odporučí vykonať posúdenie vplyvu, s ktorým prevádzkovateľ nesúhlasí.
Postihy môžu mať rôzne formy, priame aj nepriame, ako napríklad odmietnutie povýšenia alebo znemožnenie kariérneho postupu. Dôležité je, že hrozba postihu je rovnako zakázaná ako jeho reálne uplatnenie. Zodpovedná osoba však môže byť odvolaná z iných, zákonných dôvodov, ktoré sa vzťahujú aj na iných zamestnancov alebo zmluvných partnerov, napríklad v prípade závažného pochybenia.
Dobrovoľné ustanovenie zodpovednej osoby
Aj keď zákonné podmienky pre povinné ustanovenie zodpovednej osoby sú pomerne prísne, organizácie majú možnosť ustanoviť si zodpovednú osobu aj dobrovoľne. Ak spracovateľské operácie spoločnosti vyžadujú zvýšenú obozretnosť pri spracovaní osobných údajov, je vhodné vyhľadať vhodnú osobu, ktorá bude plniť úlohy zodpovednej osoby. V takom prípade však organizácii pribúdajú povinnosti spojené s touto pozíciou.
Externá zodpovedná osoba: riešenie pre mnohé organizácie
V praxi sa mnoho organizácií stretáva s dilemou, či poveriť výkonom dohľadu vlastného zamestnanca, alebo využiť služby externého poskytovateľa. Odpoveď závisí od konkrétnych podmienok firmy, jej veľkosti, náročnosti spracovateľských procesov a množstva spracúvaných osobných údajov.
V prípadoch, keď organizácia dennodenne rieši otázky spracúvania osobných údajov, môže byť výhodnejšie poveriť výkonom dohľadu vlastného zamestnanca. Avšak, pre mnohé menšie a stredné podniky, ako aj pre tie, ktoré nemajú interné kapacity alebo špecializované znalosti, predstavuje externá zodpovedná osoba ideálne riešenie. Firmy špecializujúce sa na ochranu osobných údajov, ako napríklad DATA PROTECTION s.r.o., ponúkajú služby externej zodpovednej osoby (DPO) alebo asistenta zodpovednej osoby (DPA). Títo odborníci zabezpečujú prvotriednu podporu, dohľad nad spracúvaním osobných údajov, komunikáciu s Úradom na ochranu osobných údajov SR, ako aj plnenie úloh kontaktného miesta pre dotknuté osoby. Okrem toho externí poskytovatelia často zabezpečujú aj výkon odborného školenia zamestnancov, audity spracúvania osobných údajov a vypracovanie či aktualizáciu povinnej dokumentácie.
Externá zodpovedná osoba často disponuje rozsiahlymi skúsenosťami získanými prácou s klientmi z rôznych oblastí a veľkostí, pričom sa zameriava na služby šité na mieru. Využívanie služieb externej zodpovednej osoby môže byť pre mnohé organizácie cenovo efektívnejšie ako budovanie vlastného interného tímu, najmä ak zvážime mesačný paušál, ktorý sa pohybuje v závislosti od veľkosti organizácie. Je však dôležité rozlišovať medzi skutočnou potrebou externého DPO a marketingovými ponukami, ktoré môžu presviedčať organizácie o ich povinnosti ustanoviť zodpovednú osobu aj v prípadoch, keď nespĺňajú zákonné podmienky.
Zodpovednosť za dodržiavanie GDPR
Je dôležité si uvedomiť, že zodpovedná osoba síce dohliada na dodržiavanie ochrany osobných údajov, avšak primárnu zodpovednosť za dodržiavanie GDPR nesie prevádzkovateľ. Zodpovedná osoba pôsobí skôr ako poradný orgán a dohľadový mechanizmus, ktorý pomáha organizácii dosiahnuť a udržiavať súlad s nariadením.
V konečnom dôsledku je úloha zodpovednej osoby kľúčová pre zabezpečenie dôveryhodnosti a legálnosti spracovateľských operácií v každej organizácii. Jej správne ustanovenie, nezávislé pôsobenie a adekvátna podpora sú základnými predpokladmi pre efektívnu ochranu osobných údajov v súlade s modernými legislatívnymi požiadavkami.
tags: #zodpovedna #osoba #nemusi #byt #gdpr