Splnenie požiadavky GDPR vymenovať zodpovednú osobu (DPO)

Všeobecné nariadenie o ochrane údajov (ďalej označované ako "GDPR", z anglického General Data Protection Regulation) má nadobudnúť účinnosť 25. mája 2018 a v rámci Európskej únie predstavuje reformu ochrany osobných údajov v čoraz intenzívnejšie digitálnej ére. Autori tejto legislatívy, inšpirovaní pravidlami o ochrane osobných údajov, ktoré existovali v niektorých európskych krajinách, predstavili novú celoeurópsku povinnosť niektorých prevádzkovateľov a sprostredkovateľov osobných údajov vymenovať zodpovednú osobu pre ochranu údajov (ďalej označovaná ako "DPO", z anglického Data Protection Officer) v rámci ich organizácie.

 

Kto je povinný vymenovať DPO?

Niektorí prevádzkovatelia a sprostredkovatelia osobných údajov majú povinnosť vymenovať DPO:

1. Ak sú orgánom verejnej moci alebo verejnoprávnym subjektom. Zahŕňa to vnútroštátne alebo regionálne orgány, rad iných orgánov, ktoré sa spravujú verejným právom, a tiež právnické osoby, ktoré sa riadia verejným alebo súkromným právom v konkrétnych verejnoprávne regulovaných sektoroch. Posledné menované má zahŕňať právnické osoby pôsobiace v oblastiach infraštruktúry, zásobovania vodou, plynom alebo elektrickou energiou, verejných dopravných služieb, verejného vysielania alebo disciplinárne orgány regulovaných povolaní. Táto požiadavka sa však neuplatňuje na súdy v rámci výkonu ich súdnej právomoci.
2. Ak ich hlavná činnosť vyžaduje pravidelné, systematické a rozsiahle monitorovanie jednotlivcov. Všetky tieto kritériá musia byť splnené súčasne, aby sa od prevádzkovateľa alebo sprostredkovateľa vyžadovalo, aby vymenovali DPO, pričom je potrebné zohľadniť nasledujúce skutočnosti.
   1. Hlavnou činnosťou prevádzkovateľa alebo sprostredkovateľa je taká činnosť, v rámci ktorej je spracúvanie neoddeliteľnou súčasťou ich činnosti, napríklad činnosťou nemocnice je poskytovanie zdravotnej starostlivosti alebo súkromnej bezpečnostnej služby činnosť na vykonávanie dohľadu nad možnými dotknutými osobami.
   2. Otázka, čo predstavuje rozsiahle spracúvanie, zatiaľ nebola kvantifikovaná, mala by však opäť zahŕňať napríklad nemocnicu spracúvajúcu údaje o pacientoch súvisiacich so zdravím, poskytovateľa telefónnych alebo internetových služieb pri spracúvaní údajov o obsahu, prevádzke alebo údajoch o polohe zákazníkov, činnosť prevádzkovateľa internetového vyhľadávača pri spracúvaní údajov o správaní svojich užívateľov alebo poisťovne, ktorá spracováva údaje klientov.
   3. Pravidelne a systematicky by malo znamenať prebiehajúce alebo opakujúce sa činnosti, ktoré sú vykonávané v súlade so stratégiou alebo vopred organizovanou metodikou.
3. Ak ich hlavná činnosť vyžaduje, aby spracovávali osobitné kategórie osobných údajov vo veľkom rozsahu alebo osobné údaje súvisiace s uznaním viny za trestné činy alebo priestupky. Osobitné kategórie osobných údajov znamenajú citlivé údaje odhaľujúce rasový alebo etnický pôvod, politické názory, náboženské alebo filozofické presvedčenie alebo členstvo v odboroch, genetické údaje, biometrické údaje na účely jednoznačnej identifikácie fyzickej osoby, údaje týkajúce sa zdravia alebo údaje týkajúce sa sexuálneho života alebo sexuálnej orientácie fyzickej osoby.

Okrem povinného vymenovania DPO, Pracovná skupina zriadená podľa Článku 29 (európsky poradný orgán zabezpečujúci výklad otázok týkajúcich sa ochrany osobných údajov) vyzýva prevádzkovateľov a sprostredkovateľov, aby na základe dobrovoľnosti vymenovali DPO, a to aj v prípadoch, kedy tak urobiť povinne nemusia, a tým lepšie preukázať svoju zodpovednosť a potenciálne získať konkurenčnú výhodu.

 

Aké sú požiadavky na znalosti DPO?

Výber správnej osoby na vykonávanie úloh DPO je rozhodujúci. V nariadení sa vyžaduje, aby DPO získala vyššiu úroveň odbornosti a znalosti procesov organizácie v prípadoch organizácií s vyššou mierou komplexnosti údajov. DPO by mala mať taktiež primeranú podporu, ak dochádza k spracúvaniu veľkého množstva údajov, a preto by úlohu DPO mal v týchto prípadoch vykonávať dostatočne personálne obsadený DPO tím. Od DPO sa vyžaduje, aby dobre pochopila spracovateľské operácie vykonávané organizáciou, aby sa riadne oboznámila s administratívnymi pravidlami a postupmi organizácie, ako aj aby získala vedomosti o príslušnej lokálnej a celoeurópskej regulácii ochrany súkromia, nevyhnutne o GDPR a tiež sektorovo špecifickej regulácii týkajúcej sa činnosti organizácie.

 

Aká je pozícia DPO v organizácii?

Organizácie, ktoré vymenujú DPO, či povinne alebo dobrovoľne, musia zabezpečiť, aby DPO bola vždy informovaná a musia s ňou konzultovať otázky týkajúce sa spracúvania osobných údajov. DPO by najmä mala byť účastná na schôdzach vedúcej úrovne riadenia, keď sa diskutuje o otázkach ochrany súkromia, mala by jej byť poskytnutá podpora vrcholového manažmentu, dostatočný čas na plnenie jej povinností, primerané finančné zdroje, nepretržité odborné vzdelávanie, potrebný prístup k ďalším oddeleniam v rámci organizácie, ako je HR, právne, IT alebo bezpečnostné oddelenie.

 

Ktorí zamestnanci nemôžu byť vymenovaní vykonávať úlohy DPO?

Organizácie by mali vždy brať do úvahy, že DPO musí vykonávať svoju funkciu nezávislým spôsobom. Preto by mala podávať správy a mať prístup k najvyššej úrovni riadenia organizácie a byť schopná jasne vyjadriť akékoľvek nesúhlasné stanovisko. DPO nemôže zastávať pozíciu v rámci organizácie, na ktorej by mohla určiť účel a spôsob spracúvania osobných údajov. Konkrétne úlohu DPO nemôže vykonávať generálny riaditeľ, finančný riaditeľ, vedúci oddelenia marketingu, vedúci oddelenia pre riadenie ľudských zdrojov, vedúci IT alebo právny poradca zastupujúci organizáciu v prípadoch týkajúcich sa ochrany údajov.

 

Čo je úlohou DPO?

Ako súčasť jej povinností sledovať dodržiavanie predpisov, DPO má najmä:

• informovať, radiť a podávať odporúčania organizácii,
• zhromažďovať informácie na identifikáciu spracovateľských činností,
• analyzovať a kontrolovať súlad spracúvania osobných údajov s právnymi predpismi,
• spolupracovať a byť kontaktným miestom orgánov na ochranu údajov,
• radiť organizácii, či má alebo nemá vykonať posúdenie vplyvu na ochranu osobných údajov (ďalej označované ako "DPIA", z anglického Data Protection Impact Assessment),
• radiť organizácii, akú metodiku má dodržiavať pri vykonávaní DPIA,
• radiť organizácii, či má vykonávať DPIA vo vlastnom podniku alebo či ho môže outsourcovať.

 

Je možné vymenovať externú DPO?

 Áno, DPO môže byť vybraná aj z osôb, ktoré nie sú zamestnancami organizácie, DPO môže byť jednotlivec alebo organizácia, ktorí vykonávajú úlohu DPO na základe zmluvy o poskytovaní služieb. Výhody zahŕňajú menšie riziko, že externá DPO bude v akomkoľvek konflikte záujmov a existuje predpoklad, že úloha externej DPO bude väčšinou vykonávaná členmi tímu, ktorí majú podrobné vedomosti v špecifických odborných oblastiach. Taktiež externá DPO môže byť užitočná v súčasnom prostredí, kde možno prechodne pozorovať nedostatok vyškoleného personálu na vykonávanie úlohy DPO.

My, v spoločnosti Konečná & Zacha ponúkame našim klientom službu plnenia úloh DPO pre ich organizácie a pomáhame našim klientom dodržiavať nové pravidlá ochrany osobných údajov stanovené GDPR. Ak máte akékoľvek ďalšie otázky týkajúce sa tejto témy alebo potrebujete akúkoľvek pomoc pri vymenovaní DPO vo vašej spoločnosti, neváhajte nás kontaktovať a naši právni odborníci vás prevedú džungľou GDPR.