Koho sa týka povinnosť ustanoviť tzv. zodpovednú osobu pri ochrane osobných údajov, aké sú hlavné úlohy zodpovednej osoby, ako postupovať pri jej výbere a čo hrozí od 25.05. 2018 podnikateľom, verejnoprávnym inštitúciám či iným subjektom, ktoré si túto povinnosť podľa GDPR nesplnia.
Zodpovedná osoba (DPO - Data Protection Officer) podľa GDPR a kto musí takúto osobu vo svojej organizácii ustanoviť?
Jednou z noviniek podľa európskeho nariadenia č. 2016/679 (GDPR) je povinnosť niektorých prevádzkovateľov ustanoviť, respektíve zabezpečiť tzv. zodpovednú osobu, ktorá u nich bude dohliadať na ochranu osobných údajov zákazníkov, zamestnancov, členov, pacientov, študentov či iných skupín osôb. Pôjde tak o akéhosi garanta správnosti postupov pri ochrane osobných údajov, ako aj kontaktný bod v rámci komunikácie s Úradom na ochranu osobných údajov.
Uvedená povinnosť sa podľa GDPR týka len nasledovných prevádzkovateľov (tj. subjektov, ktoré spracúvajú osobné údaje):
- všetkých orgánov verejnej moci (ministerstvá, úrady, atď.) a verejnoprávnych subjektov (obce, školy, nemocnice atď.) s výnimkou súdov pri výkone ich právomocí;
- prevádzkovateľov a sprostredkovateľov, ktorých hlavnou činnosťou sú spracovateľské operácie, ktoré si vzhľadom na svoju povahu, rozsah a/alebo účely vyžadujú pravidelné a systematické monitorovanie dotknutých osôb vo veľkom rozsahu; alebo
- prevádzkovateľov a sprostredkovateľov, ktorých hlavnou činnosťou je spracúvanie osobitných kategórií údajov vo veľkom rozsahu alebo spracúvanie osobných údajov týkajúcich sa uznania viny za trestné činy a priestupky;
- prevádzkovateľov, u ktorých to stanoví zvláštny právny predpis.
Zatiaľ čo verejnoprávnym inštitúciám by mal byť výklad GDPR pomerne jasný, väčšina podnikateľov si významom príslušných ustanovení európskeho nariadenia nie je celkom istá.
Ktorí podnikatelia majú povinnosť ustanoviť zodpovednú osobu (DPO - Data Protection Officer) podľa GDPR?
Aby sa na podnikateľa vzťahovala povinnosť ustanoviť zodpovednú osobu, musel by spadať do vyššie spomínaných kategórií, najmä do 2. alebo 3. kategórie.
Najmenšie výkladové problémy spôsobuje 3. kategória, do ktorej zaraďujeme podnikateľov, ktorých hlavnou činnosťou je rozsiahle spracúvanie biometrických údajov (napr. odtlačky prstov alebo hlasový záznam), genetických údajov (krvné vzorky), údajov o rasovom alebo etnickom pôvode, údajov o politických názoroch, údajov týkajúcich sa zdravia alebo sexuálneho života či sexuálnej orientácie.
Vysvetlenie kategórie na príklade:
Ak podnikateľ spracúva údaje o zdravotnom stave zamestnancov (napr. v súvislosti so vstupnou lekárskou prehliadkou), pričom hlavnou činnosťou takéhoto podnikateľa je úplne iná činnosť, povinnosť ustanoviť zodpovednú osobu by sa ho nemala týkať (pokiaľ nespadá zároveň do inej kategórie). Zdravotnícke zariadenie, ktoré vstupnú prehliadku poskytlo a ktoré si vedie evidenciu o svojich pacientoch, naopak takúto povinnosť pravdepodobne bude mať, nakoľko spracúvanie údajov o zdravotnom stave možno označiť za jeho hlavnú činnosť - za hlavnú sa totiž podľa GDPR považuje tiež taká činnosť, ktorá s hlavnými aktivitami prevádzkovateľa bezprostredne súvisí (spracúvanie zdravotnej dokumentácie napríklad úzko súvisí so zdravotníckymi výkonmi). To, či ide zároveň o činnosť „vo veľkom rozsahu“, bude závisieť na konkrétnych okolnostiach prípadu – zatiaľ čo niektoré zdravotnícke zariadenia (samostatne pracujúci lekári) nemusia osobné údaje spracúvať vo veľkom rozsahu, v iných, v ktorých pôsobí niekoľko lekárov a ktoré majú omnoho viac pacientov, už o takéto spracúvanie pôjde.
Pokiaľ ide o 2. kategóriu prevádzkovateľov, do tejto budú zaraďovaní podnikatelia, ktorých služby spočívajú (alebo úzko súvisia) v rozsiahlom, pravidelnom a systematickom monitorovaním osôb, pričom:
- pojem "monitorovanie" sa nevzťahuje výlučne na online prostredie, ale aj na iné monitorovanie subjektu údajov;
- pojem "pravidelné" má aspoň jeden z nasledujúcich významov: (i) prebiehajúce alebo trvajúce v určitých (rozsiahlejších) intervaloch po určitú (dlhšiu) dobu, (ii) opakované alebo opakujúce sa v stanovených časoch, alebo (iii) nepretržité alebo periodicky sa opakujúce;
- pojem "systematické" má byť vykladaný ako: (i) vyskytujúce sa podľa určitej systematiky; (ii) vopred usporiadané, organizované alebo metodické; (iii) vyskytujúce sa ako časť všeobecného plánu zberu dát; alebo (iv) vykonávané ako súčasť určitej stratégie.
Vysvetlenie kategórie na príklade:
Ak podnikateľ spracúva osobné údaje návštevníkov webovej stránky (medzi ktoré podľa GDPR patrí tiež IP adresa) za účelom retargetingu (cielenej reklamy), je vysoko pravdepodobné, že zber týchto údajov bude rozsiahly, systematický a pravidelný, tj. povinnosť ustanoviť zodpovednú osobu by v takomto prípade mala byť na mieste. To isté bude platiť pre mnohých poskytovateľov služieb, ktorí monitorujú a vyhodnocujú údaje o zákazníkoch, napríklad v rámci analýzy úverových a poistných rizík, prevádzky mobilných aplikácií vyhodnocujúcich polohu používateľa, monitorovania nákupného centra bezpečnostnou službou atď.
Na základe vyššie uvedeného možno skonštatovať, že jednoznačné zodpovedanie otázky, či sa na podnikateľa vzťahuje povinnosť ustanoviť zodpovednú osobu alebo nie, bude bez predošlej analýzy spracovateľských operácií a konzultácie s odborníkom pomerne náročné.
Zároveň však možno podotknúť, že i keď by mnohí podnikatelia v súčasnosti neboli povinní ustanoviť zodpovednú osobu, mnohí z nich tak urobia dobrovoľne, či už z opatrnosti alebo z dôvodu budovania pozitívneho imidžu.
Pre skupinu podnikov bude môcť byť podľa GDPR ustanovená spoločná zodpovedná osoba (DPO - Data Protection Officer)
Dobrou správou pre niektorých podnikateľov je to, že skupina podnikov môže mať ustanovenú spoločnú zodpovednú osobu, čo do praxe prináša aspoň určité úspory. Za skupinu podnikov sa podľa GDPR považuje riadiaci podnik (materská spoločnosť) a ním riadené podniky (dcérske spoločnosti), či už v rámci jedného alebo viacerých štátov Európskej únie. Podmienkou takto určenej zodpovednej osoby je jednoduchá dostupnosť v rámci jednotlivých podnikov.
Spornou zostáva otázka, či sa za skupinu podnikov považuje tiež záujmové združenie právnických osôb (ovládajúcich osôb je viac, zatiaľ čo ovládaná je iba jedna).
Kto môže zastávať funkciu zodpovednej osoby (DPO - Data Protection Officer) a aké podmienky musí takáto osoba podľa GDPR spĺňať?
Podľa GDPR môže funkciu zodpovednej osoby zastávať zamestnanec prevádzkovateľa alebo tiež externý špecialista, tj. fyzická alebo právnická osoba, ktorá bude úlohy zodpovednej osoby plniť na základe zmluvy o poskytovaní služieb. Najčastejšie tak pôjde o špecializované spoločnosti či advokátov, ktorí sú nad rámec potrebnej odbornosti viazaní ďalšími záväzkami voči klientom, napríklad prísnym záväzkom mlčanlivosti.
Odbornosť je pritom z pohľadu GDPR kľúčovým kritériom – ak by podnikateľ ustanovil zodpovednú osobu iba „pro forma“, dopustil by sa tým porušenia nariadenia a mohla by mu byť uložená rovnaká pokuta, akú by dostal, ak by zodpovednú osobu neustanovil vôbec, tj. pokuta až do výšky 10.000.000 EUR alebo do výšky 2 % z celkového ročného celosvetového obratu za predchádzajúce účtovné obdobie. Podnikateľ by preto nemal opomenúť zaškolenie (napr. v rámci European Competence Framework) a následné vzdelávanie a overovanie kvalifikácie zodpovednej osoby.
Ak by sa podnikateľ rozhodol ustanoviť za zodpovednú osobu vlastného zamestnanca, mohol by za týmto účelom vytvoriť nové pracovné miesto alebo využiť existujúceho zamestnanca, ktorého pracovná náplň by sa čiastočne zmenila. Podmienkou takéhoto určenia zodpovednej osoby je však nezávislosť na prevádzkovateľovi pri plnení úloh vyplývajúcich z GDPR - zodpovednou osobou nemôže byť napríklad ten, kto rozhoduje o marketingovom využití osobných údajov.
Aké sú úlohy a zodpovednosť zodpovednej osoby (DPO - Data Protection Officer)?
K hlavným úlohám zodpovednej osoby podľa GDPR patrí:
- poskytovanie informácií a poradenstva prevádzkovateľovi, sprostredkovateľovi a ich zamestnancom, ktorí sa podieľajú na spracúvaní osobných údajov;
- kontrola, či prevádzkovateľ alebo sprostredkovateľ vykonáva svoju činnosť v súlade s GDPR;
- komunikácia a spolupráca s dozorným orgánom, tj. s Úradom na ochranu osobných údajov.
GDPR v súvislosti s porušením vyššie uvedených povinností zodpovednej osoby nestanovuje žiadne sankcie. Za riadny výkon svojich úloh bude teda zodpovedná osoba zodpovedať podľa všeobecných ustanovení o náhrade škody, v závislosti od toho, či prípadnú škodu spôsobí ako zamestnanec, podnikateľ či súkromná osoba. Z tohto hľadiska je tak pre podnikateľov výhodnejšie využiť služieb externého dodávateľa služieb, nakoľko zodpovednosť zamestnanca je podľa zákonníka práce limitovaná.
Aké sú povinnosti prevádzkovateľa alebo sprostredkovateľa voči zodpovednej osobe?
Pokiaľ ide o hlavné úlohy prevádzkovateľa alebo sprostredkovateľa, ktorý zodpovednú osobu ustanovil, GDPR medzi ne zaraďuje:
- povinnosť zabezpečiť, aby bola zodpovedná osoba náležite a včas zapojená do všetkých záležitostí súvisiacich s ochranou osobných údajov;
- povinnosť poskytnúť zodpovednej osobe potrebné zdroje na plnenie jej úloh (napr. kontakt s jednotlivými oddeleniami prevádzkovateľa alebo sprostredkovateľa, dostatok času na plnenie úloh a zodpovedajúce finančné ohodnotenie),prístup k osobným údajom (k databázam údajov) a k operáciám spracovania;
- povinnosť udržiavať potrebnú úroveň odborných znalostí zodpovednej osoby, pokiaľ ňou má byť zamestnanec (pravidelné preškoľovanie a overovanie znalostí);
- povinnosť zabezpečiť, aby zodpovedná osoba nedostávala žiadne pokyny týkajúce sa vykonávania jej úloh, pričom v súvislosti s riadnym plnením svojich úloh nesmie byť prevádzkovateľom alebo sprostredkovateľom prepustená ani inak sankcionovaná;
- povinnosť zabezpečiť, aby bola zodpovedná osoba podriadená priamo vrcholovým riadiacim pracovníkom prevádzkovateľa alebo sprostredkovateľa;
- povinnosť zabezpečiť, aby mali dotknuté osoby možnosť obrátiť sa na zodpovednú osobu so svojimi podnetmi, ktoré súvisia so spracovaním ich osobných údajov.
Zatiaľ čo zodpovednej osobe podľa GDPR žiadna sankcie nehrozí, porušenie vyššie uvedených povinností prevádzkovateľa či sprostredkovateľa môže byť dôvodom pre uloženie pokuty až do výšky 10.000.000 EUR alebo do výšky 2 % z celkového ročného celosvetového obratu za predchádzajúce účtovné obdobie.
Pozrite si aj diskusiu o GDPR - ako sú firmy pripravené, aké problémy môže priniesť a ďalšie odpovede na otázky v článku GDPR - nový míľnik v ochrane súkromia alebo zbytočná byrokracia.