Oprávnená osoba podľa GDPR

Aj keď v súčasnosti platné právne predpisy o ochrane osobných údajov, najmä nariadenie GDPR, neobsahujú legálnu definíciu pojmu „oprávnená osoba“, v praxi ide o pomerne zaužívaný pojem. Kto je oprávnenou osobou, aké sú jej základné povinnosti pri spracúvaní osobných údajov a ako poverovať oprávnené osoby sa dočítate v našom článku.

Oprávnená osoba GDPR – definícia

Pojem vychádza už z predchádzajúcej právnej úpravy o ochrane osobných údajov na území SR (zákon č. 122/2013 Z. z.). Legálna definícia oprávnenej osoby bola obsiahnutá ako jeden zo základných pojmov v § 4 ods. 2 písm. e) pôvodného zákona o ochrane osobných údajov. V zmysle uvedeného bola oprávnená osoba každá fyzická osoba, ktorá prichádzala do styku s osobnými údajmi v rámci jej pracovného, služobného alebo obdobného vzťahu k prevádzkovateľovi. Jednou z hlavných povinností prevádzkovateľa bolo oprávnenú osobu poučiť o jej právach, povinnostiach a podmienkach, za akých môže spracúvať osobné údaje. Prevádzkovateľ bol povinný poučenie oprávnenej osoby hodnoverne zaznamenať tak, aby bol schopný poverenie v prípade požiadania dozorného orgánu predložiť. Uvedené stanovoval § 21 a nasl. zákona č. 122/2013 Z. z..

Boli tak presne definované povinnosti prevádzkovateľa – zamestnávateľa vo vzťahu k svojim zamestnancom. Prevádzkovateľ bol povinný zabezpečiť „poučovanie“ oprávnených osôb nielen pred začatím spracúvania, ale aj pri zmene pracovných činností opätovným poučením. Napríklad v situácii, kedy bol zamestnanec presunutý na inú pracovnú pozíciu.

Nariadenie GDPR v súčasnosti neobsahuje priamu definíciu oprávnenej osoby. Možno si však režim oprávnenej osoby vyvodiť z niektorých ustanovení Nariadenia GDPR. Recitál 29 pojednáva o povinnosti prevádzkovateľa, ktorý spracúva osobné údaje, určiť oprávnené osoby. Určenie povinností vo vzťahu k oprávneným osobám si možno vyvodiť z čl. 32 ods. 4 Nariadenia GDPR:

GDPR tak ukladá prevádzkovateľovi a sprostredkovateľovi v zmysle predmetného ustanovenia, aby každá osoba, ktorá má prístup k osobným údajom (v rámci organizačnej štruktúry prevádzkovateľa) bola poverená so spracúvaním osobných údajov a tieto spracúvala len na základe pokynov prevádzkovateľa.

Tieto osoby sa aj naďalej (pod vplyvom predchádzajúcej právnej úpravy) označujú pojmom oprávnená osoba, prípadne poverená osoba.

Povinnosti oprávnenej osoby

Nariadenie GDPR neukladá povinnú formu poverenia a poučenia oprávnených osôb. Prevádzkovateľ by však mal byť schopný v prípade kontroly preukázať, že osoby, ktoré pri jeho činnosti spracúvajú osobné údaje, boli poverené a poučené o tom, akým spôsobom budú spracúvať osobné údaje.

Nariadenie GDPR ustanovuje aj výnimku, kedy tzv. oprávnená osoba nemusí pri spracúvaní osobných údajov konať iba na základe pokynov prevádzkovateľa. Vychádzajúc z čl. 32 odsek 4 Nariadenia ide o prípady, keď sa to od oprávnenej osoby vyžaduje podľa práva Únie alebo práva príslušného členského štátu.

Rozsah, v akom jednotlivé oprávnené osoby spracúvajú pri svojej činnosti osobné údaje, závisí spravidla od druhu organizačnej štruktúry a veľkosti prevádzkovateľa. Pri menšej firme, kde je napríklad office manager pracovnou nálpňou aj účtovník a mzdár je potrebné udeliť mu príslušné oprávnenia a poveriť ho so spracúvaním širokého spektra osobných údajov na viacero účelov. Pri väčších firmách s rozčlenením na oddelenia by mali byť oprávnenia a poverenia oprávnených osôb udelené v rámci ich pracovného zaradenia a podriadenia pod príslušné oddelenie. Napríklad pracovník HR oddelenia, ktorého úlohou je prijímať zamestnancov by mal byť poverený k spracúvaniu osobných údajov a účelom spracúvania zodpovedajúcim jeho konkrétnej pozícii. Vedúci HR oddelenia zase k spracúvaniu osobných údajov celej HR agendy.

Na uvedené nadväzuje aj povinnosť prevádzkovateľa zaviesť a dodržiavať primerané organizačné opatrenia tak, aby bola zabezpečená zodpovedajúca úroveň ochrany spracúvaných osobných údajov, ktorú je v tomto prípade potrebné vykladať tak, že nie každá oprávnená osoba má mať prístup do všetkých informačných systémov, v ktorých prevádzkovateľ spracúva osobné údaje.¹

Z toho vyplýva, že organizácia by mala mať presne definované pracovné pozície a náplne práce. Organizačná štruktúra a správne definovanie pracovnej náplne tak môže značne napomôcť poverovaniu a poučovaniu oprávnených osôb a byť prostriedkom, ktorý pomáha predísť porušeniu GDPR.

Článok pokračuje pod videom. Pozrite si aj naše videoškolenie o GDPR v HR prostredí a GDPR pre účtovníkov. Je určené najmä pre HR pracovníkov, mzdárov, personalistov a účtovníkov.

V prípade, že sa vám video nezobrazuje je potrebné povoliť zbieranie cookies.

Poverenie oprávnenej osoby a udelenie pokynov možno realizovať písomne, ústne, prostredníctvom školení. Výber formy a obsahu poverovania a poučovania je na každom prevádzkovateľovi a sprostredkovateľovi.²

Odporúčania pre poverenie a poučenie oprávnených osôb

Z dôvodu zabezpečenia dodržiavania povinností prevádzkovateľa k spracúvaniu osobných údajov by mal byť rozsah poverenia oprávnenej osoby a pokyny prevádzkovateľa pre oprávnenú osobu čo najtransparentnejší. Tak, aby bolo oprávnenej osobe zrejmé, ako má pri spracúvaní osobných údajov postupovať, aké osobné údaje má za povinnosť spracúvať,  alebo komu ich môže sprístupniť a pod.. K základným povinnostiam oprávnených osôb patrí najmä povinnosť:³

• dodržiavať interné predpisy prevádzkovateľa (a prípadne sprostredkovateľa) o ochrane osobných údajov,
• vykonávať spracovateľské operácie a úkony s osobnými údajmi v rozsahu a spôsobom podľa pokynov uvedených v poverení a v súlade s nariadením GDPR, ostatnými všeobecne záväznými právnymi predpismi  a internými predpismi prevádzkovateľa,
• zachovávať mlčanlivosť o osobných údajoch, s ktorými príde oprávnená osoba do styku pri svojej činnosti, a to aj po skončení poverenia,⁴
• nevyužívať spracúvané osobné údaje pre osobnú potrebu, či potrebu inej osoby alebo na iné, než pracovné / služobné účely,
• chrániť osobné údaje, dokumenty a súbory s osobnými údajmi pred stratou, poškodením,  zneužitím, odcudzením a neoprávneným sprístupnením alebo neoprávneným poskytnutím.

Vyššie uvedené predstavuje iba demonštratívny výpočet povinností, ktoré si prevádzkovateľ môže podľa svojich potrieb rozšíriť alebo inak upraviť. Samotné poverenie a poučenie oprávnenej osoby je potrebné uskutočniť pred tým, ako bude oprávnenej osobe umožnený prístup k osobným údajom.⁵

Poverenie oprávnenej osoby je len prvým krokom. Prevádzkovatelia majú realizovať aj pravidelné školenie GDPR za účelom neustáleho zvyšovania povedomia oprávnených osôb o tom, ako majú pri spracúvaní osobných údajov postupovať a zabezpečiť, aby pri spracúvaní osobných údajov boli dodržiavané ustanovenia nariadenia GDPR a ostatných predpisov o ochrane osobných údajov.

Príprava poverení oprávnených osôb v rámci dokumentácie o ochrane osobných údajov, ako aj realizácia interných školení o ochrane osobných údajov je často opomínaná. Ako súčasť organizačných bezpečnostných opatrení by však mala byť imanentnou súčasťou procesov pri spracúvaní osobných údajov.

1. Odporúčame postupovať v zmysle všeobecných princípov informačnej bezpečnosti a definovať si v spoločnosti systém rolí, naviazaný napríklad na pracovné pozície oprávnených osôb ↩

2. Aj keď nariadenie GDPR neustanovuje povereniu a poučeniu povinnú písomnú formu, odporúčame pre potreby prípadnej kontroly zo strany dozorného orgánu uvedené realizovať písomne alebo elektronickými prostriedkami ↩

3. Uvedené by malo byť aj obsahom poverenia a poučenia oprávnenej osoby ↩

4. Napr. po zániku pracovného pomeru ↩

5. Pri vzniku pracovného pomeru, prípadne pri zmene pracovnej pozície ↩

Získajte konkurenčnú výhodu vďaka aktívnemu prístupu k ochrane osobných údajov.

Pozrieť ponuku služieb