SK

Čo je zodpovedná osoba podľa GDPR?

Všeobecné nariadenie EÚ o ochrane údajov (GDPR) nadobudne účinnosť 25. mája 2018. Ak ste sa už začali pripravovať na jeho implementáciu vo vašej firme, určite ste natrafili na otázku, či od mája 2018 budete potrebovať zodpovednú osobu na ochranu osobných údajov. Zodpovedná osoba bude kľúčovým hráčom, ktorý pomôže firmám zabezpečiť súlad s GDPR. V článku vám priblížime, aké úlohy plní a kedy GDPR vyžaduje zodpovednú osobu povinne vymenovať.

Čo je zodpovedná osoba podľa GDPR?

Úlohou zodpovednej osoby na ochranu údajov je pomôcť prevádzkovateľom a sprostredkovateľom dodržiavať Nariadenie GDPR a vyhnúť sa rizikám pri spracúvaní osobných údajov.

Zodpovedná osoba je odborník na ochranu údajov, v rámci firmy či organizácie pomáha zabezpečiť súlad s GDPR a tvorí prepojenie s verejnosťou aj so zamestnancami v súvislosti so spracúvaním osobných údajov.

Zodpovedná osoba musí konať nezávisle

Aby sme pochopili nezávislú úlohu zodpovednej osoby, je potrebné vysvetliť definíciu prevádzkovateľa a sprostredkovateľa podľa GDPR.

Prevádzkovateľ podľa GDPR je fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt, ktorý sám alebo spoločne s inými určí účely a prostriedky spracúvania osobných údajov.

V praxi to znamená, že firma je zodpovedná za rozhodovanie o osobných údajoch. Napríklad banka môže zhromažďovať údaje svojich klientov pri otvorení účtu.

Sprostredkovateľ podľa GDPR je fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt, ktorý spracúva osobné údaje v mene prevádzkovateľa.

Typickými príkladmi sú poskytovatelia služieb, ktorí prevádzkovateľovi poskytujú outsourcingové služby, ako napríklad marketingové, účtovné a personálne služby. Pritom spracúvajú alebo uchovávajú osobné údaje v súlade s pokynmi prevádzkovateľa.

Zodpovedná osoba nie je osobne zodpovedná v prípade, že sa vyskytne nesúlad s Nariadením. Nariadenie GDPR v článku ods. 1 jasne stanovuje, že prevádzkovateľ alebo sprostredkovateľ prijme vhodné technické a organizačné opatrenia, aby zabezpečil a bol schopný preukázať, že spracúvanie sa realizuje v súlade s ustanoveniami Nariadenia.

Zodpovedná osoba musí mať dostatočnú mieru ochrany pri vykonávaní svojich úloh v súvislosti s ochranou osobných údajov, a nemožno ju postihnúť za výkon úloh zodpovednej osoby. Môže ju vykonávať zamestnanec prevádzkovateľa alebo sprostredkovateľa alebo to môže byť aj externá fyzická alebo právnická osoba na základe zmluvy o poskytovaní služieb. Podlieha najvyššiemu vedeniu prevádzkovateľa alebo sprostredkovateľa.

Príklad:

Zodpovedná osoba navrhne vedeniu spoločnosti, aby vykonalo posúdenie vplyvu vzhľadom na vysoké riziko pri spracúvaní určitých osobných údajov v jej informačnom systéme. Vedenie spoločnosti vyhodnotí toto odporúčanie ako neopodstatnené a rozhodne, že posúdenie vplyvu sa robiť nebude. Pri následnej kontrole dozorným orgánom je zistené porušenie čl. 35 GDPR a v správnom konaní je udelená prevádzkovateľovi pokuta. V tomto prípade spoločnosť nemôže zodpovednú osobu postihnúť, ani vymáhať od nej náhradu vzniknutej škody.

GDPR tiež stanovuje, že zodpovedná osoba na ochranu údajov musí mať k dispozícii všetky zdroje a informácie potrebné na vykonávanie svojej činnosti. Pri výkone činnosti je viazaná mlčanlivosťou a dôvernosťou informácií v súlade s platnou legislatívou. Pokiaľ vykonáva aj iné funkcie a činnosť pre prevádzkovateľa alebo sprostredkovateľa, musí byť zabezpečené, aby nedochádzalo ku konfliktu záujmov.

Aké sú požiadavky na zodpovednú osobu podľa GDPR?

V článku 37 Nariadenia GDPR sa uvádza, aké sú požiadavky na zodpovednú osobu: „Zodpovedná osoba sa určí na základe jej odborných kvalít, a to najmä na základe jej odborných znalostí práva a postupov v oblasti ochrany údajov a na základe spôsobilosti plniť úlohy uvedené v článku 39.“

Zodpovedná úloha musí plniť tieto úlohy:

  • poskytovať informácie a poradenstvo prevádzkovateľovi alebo sprostredkovateľovi a zamestnancom, ktorí vykonávajú spracúvanie, o ich povinnostiach podľa GDPR a iných súvisiacich právnych predpisov,
  • monitorovať súlad s týmto nariadením, s ostatnými právnymi predpismi Únie alebo členského štátu, týkajúcimi sa ochrany osobných údajov a s pravidlami prevádzkovateľa alebo sprostredkovateľa v súvislosti s ochranou osobných údajov vrátane rozdelenia povinností, zvyšovania povedomia a odbornej prípravy personálu, ktorý je zapojený do spracovateľských operácií, a súvisiacich auditov,
  • poskytovanie poradenstva na požiadanie, pokiaľ ide o posúdenie vplyvu na ochranu údajov a monitorovanie jeho vykonávania,
  • spolupracovať s Úradom na ochranu osobných údajov.

Aké odborné kvality by mala spĺňať zodpovedná osoba na ochranu osobných údajov podľa GDPR?

GDPR nešpecifikuje profesionálne kvality, ktoré by sa mali brať do úvahy pri vymenovaní zodpovednej osoby na ochranu údajov.

Keďže zodpovedná osoba zohráva kľúčovú úlohu v zabezpečení súladu s Nariadením GDPR, mala by:

  • mať odborné znalosti v oblasti vnútroštátnych a európskych zákonov a postupov na ochranu osobných údajov a hlbšie pochopiť GDPR,
  • pochopiť operácie spracovania údajov a bezpečnosti údajov,
  • mať znalosti z príslušného podnikateľského sektora,
  • schopnosť podporovať kultúru ochrany osobných údajov v rámci organizácie.

Kedy sú podľa GDPR firmy či organizácie povinné vymenovať zodpovednú osobu?

Článok 39 ods. 1 GDPR požaduje povinne určiť zodpovednú osobu, ak spracúvanie vykonáva orgán verejnej moci alebo verejnoprávny subjekt.

Nie každý verejnoprávny subjekt musí mať svoju vlastnú zodpovednú osobu. Možno určiť jednu zodpovednú osobu pre viacero orgánov verejnej moci alebo viacero verejnoprávnych subjektov, samozrejme s prihliadnutím na ich organizačnú štruktúru a veľkosť.

Povinné určenie zodpovednej osoby majú taktiež firmy či organizácie, ktorých hlavnými činnosťami:

  • sú spracovateľské operácie, ktoré si vyžadujú pravidelné a systematické monitorovanie dotknutých osôb vo veľkom rozsahu alebo
  • je spracúvanie osobitných kategórií údajov vo veľkom rozsahu alebo spracúvanie osobných údajov týkajúcich sa uznania viny za trestné činy a priestupky.

Pojem pravidelné a systematické monitorovanie nie je definovaný v nariadení. Sledovanie správania dotknutých osôb je však spomenuté v recitáli 24, podľa ktorého za systematické monitorovanie môžeme považovať sledovanie na internete, vrátane profilovania alebo sledovania na účely behaviorálnej reklamy.

Neexistuje žiadna definícia toho, čo znamená „spracúvanie vo veľkom rozsahu“. V praxi môže ísť napríklad o o spracúvanie:

  • osobných údajov pacientov v nemocnici,
  • osobných údajov zákazníkov v poisťovni alebo v banke,
  • osobných údajov internetovým vyhľadávačom na účely behaviorálnej reklamy,
  • osobných údajov poskytovateľmi telefónnych a internetových služieb.

Medzi príklady spracúvania vo veľkom rozsahu nepatria:

  • spracúvanie osobných údajov o pacientoch jednotlivým lekárom,
  • spracúvanie osobných údajov týkajúcich sa uznania viny za trestné činy a priestupky jednotlivým právnikom.

„Osobitné kategórie údajov“ sú v podstate citlivé osobné údaje. Zahŕňajú etnický pôvod, politické názory, náboženské presvedčenie a zdravotné údaje. Vzťahujú sa okrem iného na volebné spoločnosti, odborové zväzy a poskytovateľov zdravotnej starostlivosti, ktorí uchovávajú záznamy o pacientoch.

Upozornenie:

Okrem prípadov, kedy je jednoznačné, že spoločnosť nemusí určiť zodpovednú osobu, pracovná skupina WP 29 odporúča, aby prevádzkovatelia a sprostredkovatelia zaznamenali internú analýzu, na základe ktorej určili, či zodpovedná osoba má alebo nemá byť menovaná, aby týmto spôsobom vedeli preukázať, že vzali do úvahy všetky relevantné faktory.

Kedy musí zodpovednú osobu vymenovať aj sprostredkovateľ?

Povinné určenie zodpovednej osoby sa vzťahuje na prevádzkovateľa, ale aj na sprostredkovateľa. Zodpovednú osobu musí v niektorých prípadoch povinne vymenovať len prevádzkovateľ, v niektorých prípadoch len sprostredkovateľ a niekedy obidvaja.

Upozornenie!

Ak prevádzkovateľ spĺňa kritériá pre povinné určenie zodpovednej osoby, nemusí to znamenať, že jeho sprostredkovateľ musí tiež vymenovať zodpovednú osobu. Napriek tomu takýto postup v praxi odporúčame ako správny postup.

Kedy nepotrebujete zodpovednú osobu na ochranu osobných údajov?

Firmy alebo organizácie nemusia vymenovať zodpovednú osobu, ak:

  • ich hlavné činnosti len zriedka zahŕňajú monitorovanie dotknutých osôb,
  • vôbec nespracúvajú osobitné kategórie osobných údajov.

Aj v prípadoch, v ktorých GDPR nestanovuje povinnosť menovať zodpovednú osobu, spoločnosti si môžu vymenovať zodpovednú osobu dobrovoľne. Zodpovedná osoba môže byť vymenovaná z radov interných zamestnancov alebo ju môže vykonávať externá fyzická alebo právnická osoba formou konzultanta na ochranu osobných údajov na základe zmluvy o poskytovaní služieb. Externá zodpovedná osoba je vo väčšine prípadov vysoko kvalifikovaná na vykonávanie tejto funkcie, pretože sa venuje problematike ochrany osobných údajov profesionálne. V mnohých prípadoch to môže byť výhodou oproti internej zodpovednej osobe - zamestnancovi, ktorý sa ochrane osobných údajov venuje len popri svojej bežnej pracovnej agende.

Zverejnenie a oznámenie kontaktných údajov zodpovednej osoby

Ak prevádzkovateľ alebo sprostredkovateľ vymenuje zodpovednú osobu, článok 39 ods. 9 Nariadenia GDPR vyžaduje, aby:

  • zverejnil kontaktné údaje zodpovednej osoby a
  • oznámil kontaktné údaje Úradu na ochranu osobných údajov.

TIP PRE VÁS:

Pripravte sa s nami na aplikáciu nového nariadenia v praxi už teraz a zosúlaďte súčasné súhlasy s požiadavkami GDPR v predstihu!

GDPR nie je strašiak, ktorého sa treba báť. Väčšina firiem zaoberajúcich sa ochranou osobných údajov znepokojuje hrozbami vysokých pokút.  Áno, pokuty pri nepripravenosti a nedôslednom uplatňovaní pravidiel GDPR skutočne hrozia. To je neodškriepiteľný fakt!

Naša stratégia je iná: pomôžeme sa vám vo všetkom zorientovať! Spravíme vám analýzu a vypracujeme bezpečnostný plán. Implementácia GDPR tak bude pre vás celkom jednoduchá!

My na tom zapracujeme a vy môžete svoj čas venovať dôležitejším veciam vo svojom podnikaní.

Objednajte si u nás nezáväznú Rozdielovú analýzu

Posúdime (ne)súlad vašich IS s novým nariadením, predložíme konkrétne návrhy na realizáciu primeraných opatrení na zabezpečenie súladu.