Nová európska úprava ochrany osobných údajov: zodpovedná osoba

Nové európske nariadenie o ochrane osobných údajov (GDPR), ktoré zavádza inštitút zodpovednej osoby, nadobudne účinnosť od 25. mája 2018. Zodpovedná osoba by mala byť kontaktnou osobou, ktorá sa zaoberá sledovaním súladu spracúvania osobných údajov s požiadavkami GDPR a ktorá bude poskytovať poradenstvo prevádzkovateľom a sprostredkovateľom v tejto oblasti. Zodpovedná osoba je orgánom podniku nie je dozorným orgánom, ale bude vystupovať ako spojovací prvok medzi dozorným orgánom, spoločnosťou a dotknutými osobami.

Určenie zodpovednej osoby

Niektorým subjektom vznikne povinnosť určiť zodpovednú osobu, bez ohľadu na to, či vystupujú ako prevádzkovateľ alebo sprostredkovateľ osobných údajov. Povinnosť určiť zodpovednú osobu sa týka orgánov verejnej moci alebo verejnoprávnych subjektov (s výnimkou súdov) a prevádzkovateľov alebo sprostredkovateľov, ktorých hlavné činnosti spočívajú v pravidelnom a systematickom monitorovaní dotknutých osôb vo veľkom rozsahu alebo v rozsiahlom spracúvaní osobitných kategórií údajov. Povinnosť určiť zodpovednú osobu sa bude uplatňovať predovšetkým na poisťovne alebo zdravotnícke zariadenia, ale môže sa tiež tykať aj spoločnosti, ktoré poskytujú vernostné programy alebo používajú priemyselné kamery. V prípadoch zavedenia nového druhu podnikania alebo rozšírenia predmetu činnosti, by si spoločnosť mala overiť či jej nevznikla povinnosť menovať zodpovednú osobu. Aj v prípade, že nevznikla povinnosť určiť zodpovednú osobu, táto môže byť určená aj dobrovoľne. Skupina podnikov môže určiť jednu zodpovednú osobu za predpokladu, že táto zodpovedná osoba bude ľahko dostupná z každej prevádzkarne.

Nezávislost a zodpovednosť

Menovanie zodpovednej osoby v žiadnom prípade nezbavuje prevádzkovateľa alebo sprostredkovateľa zodpovednosti za nedodržanie súladu s GDPR. Prevádzkovatelia alebo sprostredkovatelia sú povinní podporovať zodpovednú osobu pri plnení jej úloh to tak, že jej poskytujú zdroje potrebné na plnenie týchto úloh a prístup k osobným údajom. Zodpovedná osoba nedostáva žiadne pokyny, ktoré by sa týkali výkonu jej úloh, ani nesmie byť odvolaná alebo postihovaná prevádzkovateľom alebo sprostredkovateľom za výkon svojich úloh. Zodpovedná osoba podlieha priamo najvyššiemu vedeniu prevádzkovateľa alebo sprostredkovateľa. Pokiaľ bude zodpovedná osoba plniť aj iné úlohy a povinnosti, je potrebné zabezpečiť, aby žiadna z takýchto povinností neviedla ku konfliktu záujmov.

Kvalifikácia a úlohy

Je dôležité, aby zodpovedná osoba bola kvalifikovaná a mala odborné znalosti z práva v oblasti ochrany osobných údajov. Za účelom plnenia úloh zodpovednej osoby je potrebná podpora zo strany ďalších oddelení, najmä oddelenia IT alebo právneho oddelenia. V niektorých prípadoch môže byť za účelom plnenia povinností tykajúcich sa GDPR ustanovená pracovná skupina. Hlavnou úlohou zodpovednej osoby je zúčastňovať sa na všetkých záležitostiach spoločnosti, ktoré sa týkajú ochrany osobných údajov. Zodpovedná osoba bude povinná zbierať informácie o spracúvaní osobných údajov, analyzovať ich a poskytovať informácie a poradenstvo prevádzkovateľovi alebo sprostredkovateľovi. Predovšetkým bude informovať zamestnancov o ich povinnostiach vyplývajúcich z GDPR, monitorovať súlad s týmto nariadením a spolupracovať s dozorným orgánom. V súvislosti s výkonom svojej činnosti je zodpovedná osoba viazaná povinnosťou mlčanlivosti.

Informačné povinnosti

Prevádzkovateľ alebo sprostredkovateľ zverejnia kontaktné údaje zodpovednej osoby a oznámia ich dozornému úradu. Dobrým zvykom je zverejniť kontaktné údaje zodpovednej osoby na internete alebo na webových stránkach spoločnosti.

Sme Vám kedykoľvek radi k dispozícii a odpovieme Vám na všetky prípadné ďalšie otázky.