Logo Podnikajte.sk
Podnikajte.sk > Právo a legislatíva > Zákonné povinnosti podnikateľa

Zodpovedná osoba pri ochrane osobných údajov

Zodpovedná osoba pri ochrane osobných údajov
Ján Benko
Ján Benko

Zvedavo a rád do hĺbky skúmam otázky a témy, ktoré iní prebádali len málo. V spoločnosti Účtovná jednotka, s.r.o. spolu s kolegami podnikateľom odhaľujeme chodníčky, ktoré ich povedú zákonnou, no finančne únosnejšou cestou. Každodenným spoločníkom je mi legislatívne dianie a výzvy, ktorým slovenskí podnikatelia čelia. K mojim osobným prioritám patrí neustále vzdelávanie a vo voľnom čase ma zaujíma politika, literatúra a skúmanie čohokoľvek nového.

Články autora
Zdaňovanie príjmov umelcov (autorov). Ako zdaňovať honoráre, licencie a licenčné poplatky v roku 2018
Rozšírenie povinnosti zložiť zábezpeku na DPH a iné zmeny v zábezpeke na DPH od roku 2018
Zdaňovanie príležitostných príjmov od roku 2018
Zdaňovanie pri presune do zahraničia (exit tax) od roku 2018
Trojstranný obchod od 1.1.2018
Daňový bonus na hypotéky pre mladých od roku 2018
„Patent Box“ prinesie výhodnejšie zdaňovanie licenčných príjmov
Superodpočet nákladov na výskum a vývoj porastie od 1.1.2018 na 100 %
Daňové tajomstvo od roku 2018 a nové verejné zoznamy
Záväzné stanoviská budú od 1.1.2018 lacnejšie
Zobraziť viac
Zobraziť menej

Kedy musí podnikateľ poveriť zodpovednú osobu? Aké sú jeho povinnosti, povinnosti zodpovednej osoby a aké hrozia pokuty?

Zodpovedná osoba má byť garanciou dodržiavania zákona č. 122/2013 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov (ďalej len “zákon o ochrane osobných údajov”), ako aj ďalších ustanovení osobitných (iných) predpisov, ktoré sa vzťahujú k ochrane osobných údajov. Poverením zodpovednej osoby do funkcie sa prevádzkovateľ nezbavuje zodpovednosti za výkon dohľadu nad ochranou osobných údajov.

Povinnosť ustanoviť zodpovednú osobu

Ak prevádzkovateľ (alebo sprostredkovateľ) spracúva osobné údaje prostredníctvom 20 a viac oprávnených osôb, je povinný poveriť zodpovednú osobu výkonom dohľadu nad dodržiavaním ustanovení zákona o ochrane osobných údajov (ako aj iných právnych predpisov, ktorých ustanovenia sa dotýkajú ochrany osobných údajov) pri spracúvaní osobných údajov.

Výkonom dohľadu je možné poveriť aj viac zodpovedných osôb. Vhodné je to najmä v prípade, ak má prevádzkovateľ viac informačných systémov. Tieto sa pridelia konkrétnym zodpovedným osobám.

Prevádzkovateľ, ktorý má menej ako 20 oprávnených osôb nemôže v zmysle zákona o ochrane osobných údajov poveriť zodpovednú osobu. Takýto postup nie je prípustný. Ak sa na daný informačný systém vzťahuje povinnosť registrácie, je povinný ho zaregistrovať.

V zákone o ochrane osobných údajov z roku 2013 (nový zákon o ochrane osobných údajov) došlo k spresneniu vymedzenia osôb. Rozlíšili sa osoby zamestnané a osoby oprávnené. Zároveň sa zvýšil aj limit pre ustanovenie zodpovednej osoby z 5 na 20.

Lehota na ustanovenie zodpovednej osoby a spôsob poverenia

Podnikateľ je povinný ustanoviť zopodvednú osobu do 60 dní od dňa začatia spracúvania osobných údajov prostredníctvom 20 a viac oprávnených osôb. Lehota je dostatočne dlhá, ale je potrebné zohľadňovať aj čas nevyhnutný na prípravu na skúšku a ďalšie dodatočne nevyhnutné časové rezervy. Ako stanoviť deň začatia plynutie lehoty na ustanovenie zodpovednej osoby? Fyzická osoba sa stáva oprávnenou osobou dňom jej poučenia. Možno teda povedať, že šesťdesiat dňová lehota začne plynúť dňom nasledujúcim po dni poučenia dvadsiatej fyzickej osoby.

Príklad: Oprávnené osoby, ktoré okrem iného musia byť poučené sú osoby, ktoré prichádzajú do styku s osobnými údajmi - napr. pracovníci mzdovej učtárne, personalisti, pracovníci bezpečnostnej služby a pod. Keď písomné poučenie podpíše dvadsiaty zamestnanec spadajúci do tejto skupiny, musíte sa začať zaoberať tým, kto bude oprávnená osoba vo Vašej firme a do 60 dní túto skutočnosť vyriešiť.

Poverenie musí byť písomné a musí obsahovať požadované náležitosti. Dôležitým údajom je dátum začiatku platnosti poverenia zodpovednej osoby ako aj dátum vydania potvrdenia o absolvovaní skúšky, ktorá je jedným zo základných predpokladov pre výkon funkcie zodpovednej osoby. Z poverenia musí byť zrejmý súhlas fyzickej osoby s jej poverením do funkcie zodpovednej osoby. Súčasťou je aj podpis poverenej zodpovednej osoby.

Každá zodpovedná osoba má taktiež postavenie oprávnenej osoby a prístup do informačných systémov prevádzkovateľa v rozsahu potrebnom na plnenie svojich povinností. Z toho dôvodu je neoddeliteľnou súčasťou poverenia aj záznam o poučení oprávnenej osoby.

Formálna úprava záznamu o poučení oprávnenej osoby je ustanovená vzorom, ktorý je dostupný na webovom sídle Úradu na ochranu osobných údajov Slovenskej republiky (ďalej len “úrad”). Poverenie zodpovednej osoby nie je formálne upravené vzorom. Podnikateľ musí dbať na dodržania požadovaného obsahu.

Kto môže byť zodpovednou osobou

Zodpovednou osobou môže byť len fyzická osoba, ktorá má spôsobilosť na právne úkony v plnom rozsahu, je bezúhonná a má platné potvrdenie o absolvovaní skúšky vydané úradom.

Ako zodpovednú osobu možno poveriť len fyzickú osobu, ktorá úspešne absolvovala skúšku. Keďže lehota na poverenie zodpovednej osoby je 60 dní, skúška musí byť úspešne vykonaná do tejto lehoty (prípadne už fyzická osoba túto skúšku absolvovala v minulosti). Termíny skúšok zverejňuje úrad na svojom webovom sídle. Web úradu možno využiť aj pri vyplňovaní žiadosti o absolvovanie skúšky, avšak prihlášku je nutné poslať aj poštou. Vykonanie skúšky je bezplatné. Podrobnosti o skúške fyzickej osoby na výkon funkcie zodpovednej osoby ustanovuje vyhláška Úradu na ochranu osobných údajov Slovenskej republiky č. 165/2013 Z. z., ktorou sa ustanovujú podrobnosti o skúške fyzickej osoby na výkon zodpovednej osoby. Skúška má zaručiť odbornosť fyzickej osoby, ktorá má vykonávať funkciu zodpovednej osoby.

Upozornenie: Dbajte na to, aby žiadosť obsahovala všetky náležitosti, ktorá zákon o ochrane osobných údajov požaduje (§ 24 ods. 3 zákona o ochrane osobných údajov).. Úrad neprihliada na žiadosť, ktorá neobsahuje všetky požadované náležitosti, pretože sa nepovažuje za žiadosť podanú podľa zákona o ochrane osobných údajov.

Kto nemôže byť zodpovednou osobou

Zodpovedná osoba nemusí byť zamestnancom prevádzkovateľa (alebo sprostredkovateľa). Zodpovednou osobu nemôže byť fyzická osoba, ktorá je štatutárnym orgánom prevádzkovateľa (napr. konateľ, komplementár, spoločník verejnej obchodnej spoločnosti), členom štatutárneho orgánu prevádzkovateľa (člen predstavenstva a. s.), a fyzická osoba, ktorá je oprávnená konať v mene štatutárneho orgánu prevádzkovateľa alebo člena štatutárneho orgánu prevádzkovateľa pri plnení povinností a uplatňovaní práv podľa tohto zákona.

Zodpovednou osobu nemôže byť ani fyzická osoba, ktorej bola opakovanie uložená pokuta za neplnenie povinností zodpovednej osoby.

Povinnosti zodpovednej osoby

Zodpovedná osoba je povinná pred začatím spracúvania osobných údajov v informačnom systéme posúdiť, či ich spracúvaním nevzniká nebezpečenstvo narušenia práv a slobôd dotknutých osôb. Miera nebezpečenstva závisí od prijatých technických, organizačných a personálnych opatrení (bezpečnostné opatrenia) po zohľadnení typu údajov, ktoré sa spracúvajú.

Zistenie narušenia práv a slobôd dotknutých osôb pred začatím spracúvania alebo porušenie zákonných ustanovení v priebehu spracúvania osobných údajov je zodpovedná osoba povinná bez zbytočného odkladu písomne oznámiť prevádzkovateľovi alebo sprostredkovateľovi (ak bola poverené sprostredkovateľom). Ak náprava nie je vykonaná bez zbytočného odkladu po upozornení, zodpovedná osoba má povinnosť oznámiť to úradu.

Pri výkone svojej funkcie zodpovedná osoba zabezpečuje napríklad:

  • súčinnosť s úradom pri plnení úloh patriacich do jeho pôsobnosti - je kontaktnou osobou pre úrad,
  • dohľad nad plnením základných povinností prevádzkovateľa (sú definované v § 6 zákona o ochrane osobných údajov),
  • poučuje oprávnené osoby,
  • vybavuje žiadosti oprávnených osôb,
  • ďalšie povinnosti podľa § 27 ods. 2 zákona o ochrane osobných údajov.

Povinnosti prevádzkovateľa v súvislosti so zodpovednou osobou

Prevádzkovateľ (alebo sprostredkovateľ) je povinný umožniť zodpovednej osobe:

  • výkon dohľadu nad ochranou osobných údajov a
  • prijať jej oprávnené návrhy.

V prípade, že uvedené povinnosti nie sú splnené, hrozí prevádzkovateľovi (alebo sprostredkovateľovi) pokuta.

Poverenie zodpovednej osoby dohľadom nad ochranou osobných údajov je prevádzkovateľ (alebo sprostredkovateľ) povinný oznámiť úradu bez zbytočného odkladu, najneskôr do 30 dní odo dňa poverenia. Zákon o ochrane osobných údajov poskytuje možnosť voľby spôsobu oznámenia. Oznamovaciu povinnosť možno splniť:

  • doporučenou zásielkou,
  • elektronickým dokumentom podpísaným zaručeným elektronickým podpisom.

Rozsah oznamovaných údajov upravuje zákon o ochrane osobných údajov. Forma je určená vzorom oznámenia, ktoré je dostupné na stiahnutie na webovej stránke úradu.

Zákon o ochrane osobných údajov vyžaduje povinnosť poveriť dohľadom nad ochranou osobných údajov minimálne jednu zodpovednú osobu. Prevádzkovateľ (alebo sprostredkovateľ) môže poveriť dohľadom nad ochranou osobných údajov aj viac zodpovedných osôb. Aj ich poverenie je potrebné oznámiť úradu.

Úradu je potrebné v rovnakej lehote (= bez zbytočného odkladu, najneskôr do 30 dní) a rovnakým spôsobom (= doporučenou poštovou zásielkou alebo elektronicky) oznamovať aj zmeny oznamovaných údajov.

Príklad: V prípade, že Vami poverená zodpovedná osoba získa akademický titul (úspešne absolvuje bakalársku alebo inžiniersku štátnu skúšku) alebo si zmení priezvisko z dôvodu vstupu do manželstva, musíte tieto zmeny oznamovať úradu na tlačive príslušnom pre nahlásenie zmeny údajov.

Príklad: Ak sa zmení Vaše obchodné meno, adresa alebo právna forma, aj tieto skutočnosti podliehajú oznámeniu úradu.

Oznámenie zmeny je bez poplatkov.

Samotné poverenie ako aj výpis z registra trestov je prevádzkovateľ (alebo sprostredkovateľ) povinný uchovávať počas celej doby výkonu funkcie zodpovednej osoby.

Sankcie v súvislosti so zodpovednou osobou

V prípade zanedbania svojich povinností úrad uloží pokutu prevádzkovateľovi (alebo sprostredkovateľovi), ako aj priamo zodpovednej osobe. Ak sú splnené zákonné predpoklady, uloženie pokuty je obligatórne (povinné). Uloženie pokuty je súčasťou rozhodnutia, proti ktorému možno podať písomne rozklad v lehote 15 dní odo dňa doručenia rozhodnutia. Rozhodnutie sa doručuje do vlastných rúk.

Pre porovnanie, z dikcie zákona o ochrane osobných údajov (“starého”), ktorý bol zrušený súčasne účinným zákonom o ochrane osobných údajov, vyplývalo, že pokuta mohla, ale nemusela byť uložená.

Za porušenie povinností zodpovednej osoby (§ 27 zákona o ochrane osobných údajov) uloží úrad priamo fyzickej osobe, ktorá vykonáva funkciu zodpovednej osoby, pokutu od 150 eur do 3 000 eur.

Ak prevádzkovateľ (alebo sprostredkovateľ) písomne nepoverí zodpovednú osobu výkonom dohľadu nad dodržiavaním zákonných ustanovení pri spracúvaní osobných údajov, výška pokuty sa pohybuje od 1 000 eur až do 80 000 eur. Pokuta v rovnakej výške sa vzťahuje napríklad aj na prípady, ak prevádzkovateľ (alebo sprostredkovateľ) ustanoví zodpovednou osobou fyzickú osobu, ktorá nemá spôsobilosť na právne úkony v plnom rozsahu alebo nie je bezúhonná alebo nemá platné potvrdenie úradu o absolvovaní skúšky, alebo ktorá je štatutárnym orgánom (napr. konateľ v s. r. o.) prevádzkovateľa.

Ak prevádzkovateľ (alebo sprostredkovateľ) zodpovednú osobu poverí, ale poverenie nevykoná v súlade so zákonom o ochrane osobných údajov (§ 23 ods. 10 a 11 zákona o ochrane osobných údajov), vzťahuje sa na neho pokuta od 300 eur do 5 000 eur.

O poverení zodpovednej osoby musí prevádzkovateľ (alebo sprostredkovateľ) informovať úrad. Na nesplnenie alebo porušenie tejto povinnosti sa vzťahuje pokuta vo výške 300 eur až 5 000 eur.

Prevádzkovateľ (alebo sprostredkovateľ) je taktiež (okrem iného) povinný:

  • umožniť zodpovednej osobe nezávislý výkon dohľadu nad ochranou osobných údajov a
  • prijať jej oprávnené návrhy (napr. v súvislosti s prijímaním bezpečnostných opatrení).

Ak si uvedené povinnosti nesplní alebo ich poruší, hrozí mu pokuta od 1 000 eur do 80 000 eur.

Na nesplnenie alebo porušenie povinnosti ukončenia poverenia zodpovednej osoby (§ 26 zákona o ochrane osobných údajov) sa vzťahuje pokuta vo výške od 300 eur až do 5 000 eur.

Pri ukladaní pokuty a určení jej výšky úrad prihliada najmä na závažnosť, čas trvania a následky protiprávneho konania, opakovanie takéhoto konania a mieru ohrozenia súkromného a rodinného života a na počet dotknutých osôb.

Ak sa tá istá osoba dopustí toho istého porušenia zákona o ochrane osobných údajov do dvoch rokov od právoplatnosti rozhodnutia, môže jej úrad uložiť pokutu až do výšky dvojnásobku sadzby uloženej pokuty.

Ochrana osobných údajov

Viac podobných článkov nájdete na www.podnikajte.sk

Ján Benko
Ján Benko

Zvedavo a rád do hĺbky skúmam otázky a témy, ktoré iní prebádali len málo. V spoločnosti Účtovná jednotka, s.r.o. spolu s kolegami podnikateľom odhaľujeme chodníčky, ktoré ich povedú zákonnou, no finančne únosnejšou cestou. Každodenným spoločníkom je mi legislatívne dianie a výzvy, ktorým slovenskí podnikatelia čelia. K mojim osobným prioritám patrí neustále vzdelávanie a vo voľnom čase ma zaujíma politika, literatúra a skúmanie čohokoľvek nového.

Články autora
Zdaňovanie príjmov umelcov (autorov). Ako zdaňovať honoráre, licencie a licenčné poplatky v roku 2018
Rozšírenie povinnosti zložiť zábezpeku na DPH a iné zmeny v zábezpeke na DPH od roku 2018
Zdaňovanie príležitostných príjmov od roku 2018
Zdaňovanie pri presune do zahraničia (exit tax) od roku 2018
Trojstranný obchod od 1.1.2018
Daňový bonus na hypotéky pre mladých od roku 2018
„Patent Box“ prinesie výhodnejšie zdaňovanie licenčných príjmov
Superodpočet nákladov na výskum a vývoj porastie od 1.1.2018 na 100 %
Daňové tajomstvo od roku 2018 a nové verejné zoznamy
Záväzné stanoviská budú od 1.1.2018 lacnejšie
Zobraziť viac
Zobraziť menej

Súvisiace témy

Ako na správnu krízovú komunikáciu pri kybernetickom útoku na zamestnancov
Manažment a stratégia - Tlačová správa

Ako na správnu krízovú komunikáciu pri kybernetickom útoku na zamestnancov

Firmy často čelia úniku údajov zamestnancov, no takmer polovica z nich tieto incidenty nezverejňuje. Prečo je to chyba a ako môže správna komunikácia pomôcť predchádzať ďalším útokom?
Kontroly GDPR v roku 2020 – kto ich môže čakať?
Zákonné povinnosti podnikateľa - Petra Pohorelá

Kontroly GDPR v roku 2020 – kto ich môže čakať?

Koho si Úrad pre ochranu osobných údajov SR plánuje zobrať na mušku? Prezradil plán kontrol na rok 2020. V strehu by mali byť ubytovacie zariadenia, prevádzkovatelia STK či webhostingové firmy.
Pozor na chyby v pravidlách o ochrane osobných údajov (GDPR)
Zákonné povinnosti podnikateľa - Petra Pohorelá

Pozor na chyby v pravidlách o ochrane osobných údajov (GDPR)

Aj po vyše roku a pol od účinnosti GDPR sa na internetových stránkach či e-shopoch nájdu neaktuálne a nesprávne informácie o ochrane osobných údajov. Aké sú najčastejšie chyby?
Je mzda osobným údajom zamestnanca?
Pracovné právo a BOZP - Tomáš Bartko

Je mzda osobným údajom zamestnanca?

V pracovnoprávnej oblasti sa bežne spracúvajú osobné údaje ako meno, priezvisko alebo dátum narodenia zamestnanca. Považuje sa však za osobný údaj zamestnanca aj jeho mzda?
Inšpirácia pre podnikanie
Podnikanie vo dvojici: keď sa zo životných partnerov stanú partneri aj v biznise Generačná výmena môže biznis posunúť vpred: príkladom je prešovská textilná firma
Štart podnikania
Založenie živnosti študenta a platenie odvodov Ako výhodne vybrať peniaze z s. r. o.?
Dane a účtovníctvo
Základná náhrada za 1 km pri použití motorového vozidla od 1. 5. 2024 PN a nemocenské živnostníka v roku 2024
Financie ekonomika
Predčasný dôchodok od 15. 5. 2024 Schvaľovanie dôchodku: riziko výpadku príjmu a neplatenia odvodov
Manažment a marketing
Elektromobilita na Slovensku: v rozvoji nestíhame priemeru EÚ Nekalé praktiky a podvody pri obchodovaní s ázijskými firmami
Právo a legislatíva
Európska smernica o minimálnych mzdách: čo znamená pre Slovensko? Cestovné náhrady za spotrebované pohonné látky od 1.1.2025 (návrh)
To najlepšie z Podnikajte.sk do vašej schránky