Určenie zodpovednej osoby podľa GDPR

Petra Pohorelá | 21.11.2018
Určenie zodpovednej osoby podľa GDPR
Zodpovedná osoba je od 25. 5. 2018 kľúčovou postavou, ktorá má firme pomôcť dodržiavať nariadenie GDPR. Kto ňou môže byť a kedy GDPR vyžaduje jej určenie?

Európske nariadenie pre ochranu osobných údajov, známe pod skratkou GDPR, účinné od 25. 5. 2018 zaviedlo v členských štátoch EU jednotný režim ochrany osobných údajov. V ten istý deň nadobudol v SR účinnosť aj nový zákon o ochrane osobných údajov, ktorý v značnej miere kopíruje ustanovenia GDPR. Zmeny neobišli ani tzv. zodpovednú osobu (Data Protection Officer – DPO). Viaceré firmy, ktoré mali za účinnosti starého zákona o ochrane osobných údajov určenú zodpovednú osobu, ju už po novom nemusia mať.

Kto je zodpovedná osoba podľa GDPR?

Nový zákon o ochrane osobných údajov definuje zodpovednú osobu ako osobu určenú prevádzkovateľom alebo sprostredkovateľom, ktorá plní úlohy podľa tohto zákona. Ide teda o oprávnenú osobu, ktorá zabezpečuje dohľad nad ochranou osobných údajov pri ich spracúvaní u prevádzkovateľa alebo sprostredkovateľa. Kto je prevádzkovateľom a kto sprostredkovateľom sa dočítate v článku Zmluva o spracúvaní osobných údajov (sprostredkovateľská zmluva) podľa GDPR od 25. 5. 2018.

Zodpovedná osoba sa tak od konca mája 2018 stala kľúčovou postavou, ktorá môže firmám pomôcť zabezpečiť súlad s GDPR. Nielen prevádzkovateľom, ale aj sprostredkovateľom môže pomáhať dodržiavať nariadenie GDPR a vyhnúť sa rizikám pri spracúvaní osobných údajov.

Kto môže byť zodpovednou osobou?

Zodpovedná osoba musí podľa GDPR (čl. 37) spĺňať určité odborné kvality – musí mať znalosti z práva a postupov v oblasti ochrany osobných údajov, ako aj spĺňať spôsobilosť plniť úlohy podľa tohto nariadenia (t. j. úlohy zodpovednej osoby). GDPR ani nový zákon o ochrane osobných údajov bližšie nekonkretizujú tieto kvalifikačné požiadavky na zodpovednú osobu. Nový zákon o ochrane osobných údajov však, na rozdiel od starého zákona, neustanovuje povinnosť absolvovania skúšky zodpovednej osoby na Úrade na ochranu osobných údajov SR. To znamená, že po novom nemusí mať zodpovedná osoba platné potvrdenie úradu o absolvovaní skúšky.

Zodpovednou osobou podľa GDPR môže byť napríklad:

  • štatutár (konateľ) prevádzkovateľa alebo sprostredkovateľa,
  • osoba, ktorá koná v mene štatutárneho orgánu,
  • zamestnanec prevádzkovateľa alebo sprostredkovateľa (tzv. kmeňový zamestnanec - rozsah jeho pracovného úväzku môže závisieť hlavne od veľkosti firmy a množstva osobných údajov, ktoré bude spracúvať),
  • externá fyzická osoba (napr. na základe zmluvy o poskytovaní služieb).

Po novom môže byť zodpovednou osobou tiež právnická osoba (napr. externá spoločnosť poskytujúca svoje služby na základe zmluvy o poskytovaní služieb). Externá zodpovedná osoba (či fyzická alebo právnická) je vo väčšine prípadov viac kvalifikovaná na vykonávanie tejto funkcie, nakoľko sa téme ochrany osobných údajov venuje profesionálne. Práve to je veľkou výhodou oproti internej zodpovednej osobe (zamestnanec), ktorá sa tejto problematike spravidla venuje len popri svojej bežnej pracovnej agende.

Prípady, v ktorých podľa GDPR vzniká povinnosť určiť zodpovednú osobu

GDPR (čl. 37) vo vzťahu k určitým prevádzkovateľom a sprostredkovateľom zaviedlo povinnosť určiť zodpovednú osobu.

Prevádzkovateľ a sprostredkovateľ sú povinní určiť zodpovednú osobu v týchto prípadoch:

  1. ak spracúvanie osobných údajov vykonáva ako orgán verejnej moci alebo verejnoprávna inštitúcia (bez ohľadu na kategórie spracúvaných osobných údajov) okrem súdov pri výkone ich súdnej právomoci,
  2. ak jeho hlavnými činnosťami sú spracovateľské operácie, ktoré si vzhľadom na svoju povahu, rozsah alebo účel vyžadujú pravidelné a systematické monitorovanie dotknutej osoby vo veľkom rozsahu, alebo
  3. ak jeho hlavnými činnosťami je spracúvanie osobitných kategórií osobných údajov (tzv. citlivých údajov) vo veľkom rozsahu alebo spracúvanie osobných údajov týkajúcich sa uznania viny za spáchanie trestného činu alebo priestupku vo veľkom rozsahu,
  4. ak sa to vyžaduje v osobitnom predpise alebo medzinárodnej zmluve, ktorou je Slovenská republika viazaná.

Povinnosť určiť zodpovednú osobu podľa bodov 2. a 3. sa viaže len na hlavné činnosti prevádzkovateľa alebo sprostredkovateľa, pri ktorých dochádza k spracovaniu osobných údajov (vrátane citlivých údajov) vo veľkom rozsahu (napr. keď nemocnica spracúva údaje o zdravotnom stave pacientov, spracúvanie osobných údajov zákazníkov v poisťovni či v banke).

Prípady, v ktorých podľa GDPR nevzniká povinnosť určiť zodpovednú osobu

V nadväznosti na uvedené prípady, v ktorých vzniká povinnosť určiť zodpovednú osobu, sa dá vyvodiť, že povinnosť určiť zodpovednú osobu nemá ten prevádzkovateľ alebo sprostredkovateľ, ktorý vykonáva spracovateľské operácie len ako pomocné (vedľajšie) činnosti k dosiahnutiu základných cieľov svojej činnosti (napr. stavebná firma, ktorej hlavnou činnosťou je vykonávanie stavebných prác a jej vedľajšou činnosťou potrebnou k zabezpečeniu hlavnej činnosti je vedenie evidencie osobných údajov za účelom vyplácania miezd zamestnancom).

Prevádzkovateľ alebo sprostredkovateľ nemá povinnosť určiť zodpovednú osobu v týchto prípadoch:

  1. ak nie je orgánom verejnej moci alebo verejnoprávnou inštitúciou,
  2. ak jeho hlavná činnosť (podnikateľská činnosť) zahŕňa pravidelné a systematické monitorovanie dotknutej osoby len v malom rozsahu,
  3. ak vôbec nespracúva osobitné kategórie osobných údajov (tzv. citlivé údaje) alebo ich spracúva len v malom rozsahu (napr. všeobecný lekár pri spracúvaní údajov o zdravotnom stave svojich pacientov).

Neexistuje zákonná definícia toho, čo znamená spracúvanie osobných údajov vo veľkom alebo v malom rozsahu. O spracúvanie vo veľkom rozsahu ide napríklad vtedy, keď nemocnica spracúva osobné údaje pacientov. Naopak o spracúvanie v malom rozsahu pôjde v prípade ich spracúvania ambulantným lekárom.

Aj keď prevádzkovateľovi či sprostredkovateľovi nevyplýva zo zákona povinnosť určiť zodpovednú osobu, môže ju, ak to uzná za vhodné, kedykoľvek dobrovoľne ustanoviť. Môže tak učiniť ktorýkoľvek prevádzkovateľ alebo sprostredkovateľ (teda aj obchodná spoločnosť).

Bez ohľadu na to, či bola zodpovedná osoba určená dobrovoľne alebo povinne (zo zákona), má táto osoba vždy rovnaké postavenie a musí si rovnako plniť svoje úlohy.

Aké povinnosti má podľa GDPR prevádzkovateľ a sprostredkovateľ v súvislosti s určením zodpovednej osoby?

  1. Zverejniť kontaktné údaje zodpovednej osoby a oznámiť ich Úradu na ochranu osobných údajov SR (napr. zverejniť ich na svojom webovom sídle) - lehota na oznámenie nie je ustanovená, odporúčame oznámenie vykonať bez zbytočného meškania hneď po určení zodpovednej osoby,
  2. Zabezpečiť zodpovednej osobe podmienky, aby mohla riadne a včas vykonávať všetky činnosti súvisiace s ochranou osobných údajov - prevádzkovateľ alebo sprostredkovateľ by mal zodpovednej osobe dať dostatočné kompetencie (napr. aby sa mohla zúčastňovať stretnutí a byť včas oboznámená s prijímanými rozhodnutiami, ktoré sa môžu týkať ochrany osobných údajov a i.),
  3. Poskytnúť zodpovednej osobe pri plnení jej úloh potrebnú súčinnosť - teda poskytnúť zodpovednej osobe prostriedky potrebné na plnenie jej úloh, zabezpečiť udržiavanie jej odborných znalostí a tiež prístup k osobným údajom a spracovateľským operáciám,
  4. Zabezpečiť princíp nezávislosti zodpovednej osoby - t. j. aby zodpovedná osoba v súvislosti s plnením svojich úloh nedostávala žiadne pokyny, nebola prepustená zo zamestnania alebo sankcionovaná (napr. nesmie byť odvolaná za výkon jej úloh)a v rámci organizačnej štruktúry spoločnosti bola podriadená priamo vrcholovému riadeniu prevádzkovateľa alebo sprostredkovateľa (teda štatutárovi spoločnosti).

Aké povinnosti má podľa GDPR zodpovedná osoba?

  1. Informačná a poradenská činnosť (poskytovanie informácii a poradenstva) pre prevádzkovateľa alebo sprostredkovateľa, vrátane ich zamestnancov, ktorí vykonávajú spracúvanie osobných údajov - tzv. oprávnené osoby. Vykonávanie poradenstva k posúdeniu vplyvu na ochranu osobných údajov na požiadanie a monitorovanie jeho vykonávania,
  2. Monitoring súladu vnútropodnikových pravidiel na ochranu osobných údajov so všeobecne záväznými právnymi predpismi (napr. s novým zákonom o ochrane osobných údajov, s medzinárodnými zmluvami, ktorými je SR viazaná),
  3. Spolupráca s Úradom na ochranu osobných údajov SR pri plnení svojich úloh a plnenie úloh kontaktného miesta pre úrad v súvislosti s otázkami týkajúcimi sa spracúvania osobných údajov,
  4. Povinnosť v súvislosti s výkonom svojich úloh zachovávať mlčanlivosť a dôvernosť informácií.

Sankcie za nesplnenie povinnosti určiť zodpovednú osobu

Nový zákon o ochrane osobných údajov ustanovuje vysoké sankcie za porušenie niektorých povinností prevádzkovateľa. Ak Úrad na ochranu osobných údajov SR pri kontrole zistí, že došlo k porušeniu povinnosti určiť zodpovednú osobu, môže prevádzkovateľovi uložiť pokutu až do výšky 10 000 000 eur alebo ak ide o podnik, tak do 2 % celkového svetového ročného obratu za predchádzajúci účtovný rok. Podľa toho, ktorá suma je vyššia.

Naopak zodpovednej osobe za porušenie jej povinností podľa zákona žiadne sankcie nehrozia. Zodpovednú osobu nemožno postihnúť za výkon jej úloh.

Príklad: Zodpovedná osoba (zamestnanec) navrhne vedeniu firmy, aby vykonala posúdenie vplyvu na ochranu osobných údajov kvôli vysokému riziku pre práva osôb pri spracúvaní určitých osobných údajov v rámci jej informačného systému. Firma sa napriek návrhu zodpovednej osoby rozhodne, že takéto posúdenie vplyvu sa nevykoná. Úrad následne pri kontrole zistí, že vo firme došlo k porušeniu zákona a firme ako prevádzkovateľovi vyrubí pokutu. Za daných okolností nemôže firma postihnúť zodpovednú osobu, ani od nej vymáhať náhradu škody (udelenú pokutu).


O autorovi

JUDr. Petra Pohorelá

Absolventka Právnickej fakulty Univerzity P. J. Šafárika v Košiciach, ktorá pôsobí v oblasti justície a zameriava sa najmä na obchodné a pracovné právo.

Najlepšie články do vášho mailu každý pondelok

Čítajte len to, čo vás naozaj zaujíma. Sumár vybraných článkov raz za týždeň, žiadny spam. Zasielanie newslettra si môžete kedykoľvek vypnúť.

Zvoľte si témy:

Vaše osobné údaje (email) budeme spracovávať len za týmto účelom v súlade s platnou legislatívou a zásadami ochrany osobných údajov. Súhlas potvrdíte kliknutím na odkaz, ktorý vám pošleme na váš email. Súhlas môžete kedykoľvek odvolať písomne, emailom alebo kliknutím na odkaz z ktoréhokoľvek informačného emailu.