7 vecí, ktoré vám má poradiť vaša GDPR DPO – zodpovedná osoba

Či už ste ako prevádzkovateľ alebo sprostredkovateľ povinný vymenovať zodpovednú osobu alebo sa rozhodnete vymenovať zodpovednú osobu dobrovoľne, jej úlohy zostávajú v oboch prípadoch rovnaké. Povinnosť vymenovania zodpovednej osoby (alebo podľa Nariadenia GDPR DPO) je definovaná v čl. 37 Nariadenia GDPR.

Slovenský preklad originálneho anglického pojmu, ktoré používa Nariadenie GDPR DPO – Data protection officer, možno na prvý pohľad trochu nesprávne evokuje postavenie a úlohy samotnej zodpovednej osoby. Jej primárnou úlohou je prispievať svojou poradenskou a konzultačnou činnosťou v organizácií prevádzkovateľa  alebo sprostredkovateľa k dodržiavaniu povinností vyplývajúcich z GDPR Nariadenia a legislatívy. Zodpovední za dodržiavanie súladu však naďalej zostávajú vždy prevádzkovateľ alebo sprostredkovateľ.

Vyššie uvedené potvrdzuje aj samotné ustanovenie čl. 38 ods. 3 Nariadenia GDPR, podľa ktorého zodpovedná osoba GDPR nemôže byť za výkon svojich úloh postihovaná. V čom teda spočíva poradenská a konzultačná činnosť zodpovednej osoby?

Aké úlohy stanovuje GDPR DPO, resp. zodpovednej osobe?

Sedem úloh GDPR DPO, ktoré sú základnými povinnosťami zodpovednej osoby, je stanovených priamo Nariadením GDPR:

1. Poskytovanie informácií a poradenstva prevádzkovateľovi a sprostredkovateľovi a ich zamestnancom

Informačná a poradenská činnosť je základnou úlohou zodpovednej osoby. Na zodpovednú osobu sa môžu obracať všetci zamestnanci prevádzkovateľov a sprostredkovateľov, ktorí vykonávajú spracúvanie osobných údajov.

Úlohou zodpovednej osoby je poskytovať týmto osobám poradenstvo v oblasti ich povinností pri spracúvaní osobných údajov a riešiť otázky týkajúce sa spracúvania osobných údajov. Na to, aby mohla zodpovedná osoba poskytovať poradenstvo komplexne, je prevádzkovateľ alebo sprostredkovateľ povinný zodpovednú osobu zapojiť riadne a včas do všetkých záležitostí, ktoré súvisiac s ochranou osobných údajov v organizácií.¹

2. Monitorovanie súladu vykonávaného spracúvania s Nariadením GDPR a ostatnými predpismi o ochrane osobných údajov

Ďalšou dôležitou úlohou zodpovednej osoby je monitorovanie súladu spracúvania osobných údjajov s príslušnými právnymi predpismi o ochrane osobných údajov², ktoré v sebe zahŕňa najmä:

• zhromažďovanie informácií na identifikáciu spracovateľských operácií,
• analyzovanie a kontrolu súladu činností spracovania s predpismi o ochrane osobných údajov,
• informovanie a vydávanie odporúčaní pre prevádzkovateľa, resp. sprostredkovateľa.

Prečítajte si aj: Ste povinný mať svoju DPO? Hlavné činnosti GDPR DPO aj odpoveď na túto otázku nájdete v článku.

Zodpovedná osoba by mala prijatú dokumentáciu o ochrane osobných údajov a stanovené postupy pravidelne revidovať a v prípade potreby aktualizovať, s ohľadom na platnú legislatívu alebo usmernenia a odporúčania vydané príslušnými dozornými orgánmi. Úlohou zodpovednej osoby je aj jednoznačne upozorniť na nesúlad spracúvania alebo plánovanej spracovateľskej operácie s predpismi o ochrane osobných údajov, aj keď takéto upozornenie bude proti vôli prevádzkovateľa alebo sprostredkovateľa.³

3. Poskytovanie poradenstva pri posúdení vplyvu podľa čl. 35 Nariadenia GDPR

V prípade, ak sú na to splnené podmienky čl. 35 Nariadenia GDPR a prevádzkovateľ je povinný pred začatím spracúvania osobných údajov vykonať posúdenie vplyvu na ochranu osobných údajov⁴, zodpovedná osoba prevádzkovateľovi povinne poskytuje poradenstvo v súvislosti s týmto posúdením. Prevádzkovateľ by sa vykonávaní posúdenia vplyvu mal radiť so zodpovednou osobou najmä o tom:

• či sa má, resp. nemá vykonať posúdenie vplyvu,
• aká metodika sa má použiť pri vykonaní posúdenia vplyvu,
• či sa má posúdenie vplyvu vykonať interne alebo zabezpečiť externe,
• aké záruky (vrátane technických a organizačných opatrení) sa majú uplatniť na zmiernenie rizík pre práva a záujmy dotknutých osôb,
• či sa posúdenie vplyvu vykonalo správne a či sú jeho závery v súlade s Nariadením GDPR.

Článok pokračuje pod videoškolením na tému:  GDPR DPO – zodpovedná osoba na území Slovenskej republiky:

V prípade, že sa vám video nezobrazuje je potrebné povoliť zbieranie cookies.

4. Spolupráca GDPR DPO s dozorným orgánom a plnenie úlohy kontaktného miesta pre dozorný orgán

Tieto dve úlohy zodpovednej osoby spolu úzko súvisia. Jedna z nich priamo nadväzuje na posúdenie vplyvu, pretože v niektorých prípadoch nadväzuje na vykonané posúdenie vplyvu povinnosť prevádzkovateľa absolvovať pred spracúvaním konzultácie s dozorným orgánom.⁵ Úlohou zodpovednej osoby je zabezpečovať konzultácie.

Okrem uvedeného je vhodné, aby zodpovedná osoba riešila komunikáciu s dozorným orgánom aj v iných veciach týkajúcich sa spracúvania osobných údajov u prevádzkovateľa alebo sprostredkovateľa.⁶ Aj samotné dotknuté osoby sa môžu vo veciach týkajúcich sa spracúvania ich osobných údajov obracať priamo na zodpovednú osobu prevádzkovateľa, pretože prevádzkovateľ má povinnosť informovať dotknuté osoby o kontaktných údajov zodpovednej osoby vždy, keď je určená.

5. Spolupráca pri výbere a kontraktácií sprostredkovateľov

V prípade, ak sa má spracúvanie osobných údajov uskutočniť v mene prevádzkovateľa , je prevádzkovateľ povinný zvoliť si takých dodávateľov – sprostredkovateľov, ktorý poskytujú dostatočné záruky, že sa prijmú primerané opatrenia v oblasti bezpečnosti spracúvaných osobných údajov. Preverenie sprostredkovateľa z pohľadu ochrany osobných údajov môže byť pomerne náročný proces. Pri výbere sprostredkovateľov a uzatváraní zmlúv týkajúcich sa osobných údajov je vždy výhodou spolupráca so zodpovednou osobou.

6. Vybavovanie žiadostí dotknutých osôb alebo pomoc pri ich vybavovaní

Zodpovedná osoba je aj kontaktným miestom pre dotknuté osoby. Tie môžu kontaktovať zodpovednú osobu v súvislosti so všetkými otázkami týkajúcimi sa uplatňovania ich práv a spracúvania ich osobných údajov. S GDPR DPO si môžete dohodnúť aj reálne vybavovanie žiadostí. K vybaveniu žiadosti dotknutej osoby alebo k poskytnutiu informácií však je často nevyhnutná súčinnosť medzi prevádzkovateľom a zodpovednou osobou.

7. Zabezpečovanie odbornej prípravy a školenia zamestnancov

S úlohou poskytovania poradenskej činnosti je úzko spätá aj povinnosť zodpovednej osoby zabezpečiť odbornú prípravu a školenia zamestnancov. V praxi si túto povinnosť môže zodpovedná osoba (DPO SR) splniť prostredníctvom rôznych školení, workshopov či on-line formou. Účelom tejto  činnosti je zvyšovanie povedomia a odbornej prípravy zamestnancov, ktorí v rámci svojich pracovných povinností vykonávajú spracovateľské operácie.

O zodpovednej osobe, jej úlohách a činnostiach sme pripravili videoškolenie – zodpovedná osoba DPO, ako aj viacero článkov, ktoré nájdete pod tagom DPO.

1. Povinnosť zapojiť zodpovednú osobu do všetkých záležitostí súvisiacich s ochranou osobných údajov je ustanovená priamo v č. 38 ods. 1 Nariadenia GDPR. ↩

2. Pozn.: prípadne internými predpismi prevádzkovateľa alebo sprostredkovateľa, napr. záväznými vnútropodnikovými pravidlami v prípade skupiny podnikov ↩

3. Zodpovednú osobu treba striktne odlišovať od iných zamestnancov alebo dodávateľov prevádzkovateľa alebo sprostredkovateľa, pretože nejde o osobu, ktorá sleduje obchodný záujem týchto subjektov, ale výlučne záujem ochrany osobných údajov fyzických osôb pri ich spracúvaní prevádzkovateľom alebo sprostredkovateľom. ↩

4. Pozn.: DPIA – Data protection impact assessment ↩

5. V prípade, ak z posúdenia vplyvu vyplýva, že plánované spracúvanie osobných údajov by viedlo k vysokému riziku pre práva a slobody dotknutých osôb, ak by prevádzkovateľ neprijal opatrenia na zmiernenie tohto rizika. ↩

6. Vzhľadom na to, že zodpovedná osoba musí spĺňať odborné znalosti v oblasti práva a ochrany osobných údajov sa predpokladá, že celý proces komunikácie a poskytovania súčinnosti bude jednoduchší. ↩

Získajte konkurenčnú výhodu vďaka aktívnemu prístupu k ochrane osobných údajov.

Pozrieť ponuku služieb