GDPR, čiže všeobecné nariadenie o ochrane osobných údajov, je jedným z najdôležitejších legislatívnych predpisov pre spracovanie osobných údajov. Dotýka sa každej firmy alebo organizácie, ktorá pracuje s údajmi fyzických osôb v rámci Európskej únie. Pomerne často medzi firmami koluje otázka, či musia menovať zodpovednú osobu – známejšiu ako Data Protection Officer (DPO). Odpoveď znie: nie každá firma je povinná mať DPO, ale v mnohých prípadoch je to povinné alebo aspoň vysoko odporúčané.
Či už ide o povinnosť zo zákona, alebo dobrovoľné rozhodnutie s cieľom zvýšiť dôveru zákazníkov a zabezpečiť správne spracovanie údajov, pochopenie podmienok na menovanie DPO je pre firmy kľúčové. V tomto článku sa pozrieme na to, v akých prípadoch je zodpovedná osoba podľa GDPR povinná, kedy je jej menovanie odporúčané a čo všetko táto pozícia obnáša. Okrem toho načrtneme praktické aspekty výberu vhodnej osoby, jej kompetencie a dôsledky, ktoré nastávajú pri jej absencii vo firme.
Právny rámec okolo zodpovednej osoby (DPO) podľa GDPR
Zodpovedná osoba pre ochranu osobných údajov (DPO) je právnym konceptom zavedeným priamo GDPR. V článku 37 až 39 tohto nariadenia sú podrobne upravené prípady, kedy organizácie musia menovať DPO, jeho úlohy, postavenie a požiadavky na kvalifikáciu.
Postavenie DPO vo firme je nezávislé – nemá prijať, ani nasledovať pokyny týkajúce sa svojich úloh, aby mohol efektívne dohliadať nad súladom s pravidlami GDPR. Jeho úlohou je fungovať ako kontaktná osoba pre dozorný úrad (Úrad na ochranu osobných údajov SR) a zabezpečovať interné procesy spracovania údajov v súlade s legislatívou.
Kedy GDPR vyžaduje vymenovanie DPO?
- Ak spracúvanie vykonáva verejný orgán alebo verejný subjekt, s výnimkou súdov pri výkone ich sudcovských právomocí.
- Ak hlavné činnosti prevádzkovateľa alebo sprostredkovateľa spočívajú v spracúvaní, ktoré si vyžaduje pravidelné a systematické monitorovanie dotknutých osôb vo veľkom rozsahu.
- Ak hlavné činnosti zahŕňajú veľkoplošné spracúvanie osobitných kategórií údajov (napr. zdravotné údaje, etnický pôvod, náboženské presvedčenie) alebo údajov týkajúcich sa rozsudkov v trestných veciach a trestných činov.
Povinnosť menovať DPO: Je vaša firma medzi tými, ktoré musia?
Nie všetky firmy spracovávajú údaje rovnakým spôsobom alebo rozsahu. Preto je nevyhnutné pochopiť, aké kritériá rozhodujú o tom, či ste povinní mať DPO.
Typ vašej činnosti a rozsah spracovania údajov
Ak ste napríklad:
- Súkromná klinika sledujúca zdravotné údaje pacientov,
- Služba elektronického marketingu, ktorá monitoruje správanie používateľov,
- Bezpečnostná agentúra spracúvajúca kamerové záznamy vo verejných priestoroch,
v takom prípade sa veľmi pravdepodobne nachádzate medzi organizáciami, ktoré majú zákonnú povinnosť menovať DPO.
Dobrovoľné menovanie DPO
Aj keď zákon neprikazuje menovanie DPO, mnoho firiem sa rozhodne pre túto možnosť dobrovoľne, a to najmä v prípadoch, keď:
- chcú zvýšiť dôveryhodnosť u zákazníkov a verejnosti,
- majú zložité interné štruktúry spracovania údajov,
- si nie sú isté, či spracúvajú údaje v súlade s GDPR.
Úlohy a zodpovednosti DPO vo firme
Jedným z najčastejších nedorozumení je, že DPO má výhradne dohliadať na právny súlad. V skutočnosti má oveľa širší rozsah úloh:
Základné zodpovednosti DPO
- Informovať a radiť zamestnancov firmy o ich povinnostiach pri spracovaní údajov,
- Monitorovať súlad s GDPR a internými politikami ochrany údajov,
- Poskytovať poradenstvo pri posudzovaní vplyvu na ochranu údajov (DPIA),
- Spolupracovať s dozorným úradom,
- Byť kontaktnou osobou pre dotknuté osoby a úrad.
Interná a externá komunikácia
DPO často vystupuje ako koordinátor medzi jednotlivými oddeleniami firmy – IT, právo, marketing, ľudské zdroje – aby zabezpečil harmonickú implementáciu politiky ochrany údajov. Zároveň komunikuje priamo s Úradom na ochranu osobných údajov.
Výber vhodnej zodpovednej osoby: Interný zamestnanec vs. externý DPO
Organizácia má možnosť vybrať si medzi dvoma modelmi výkonu funkcie zodpovednej osoby:
Interný DPO
Môže ísť o existujúceho zamestnanca s dostatočnými znalosťami práva a IT bezpečnosti, ktorý bude funkciu DPO vykonávať spolu s inými úlohami. V tomto prípade je dôležité zabezpečiť jeho nezávislosť a dostatočný časový rozsah pre plnenie úloh DPO.
Externý DPO (outsourcované riešenie)
Voľba externej osoby alebo organizácie špecializovanej na ochranu osobných údajov môže byť výhodná najmä pre malé a stredné podniky, ktoré nemajú kapacity na vyškolenie vlastného zamestnanca alebo potrebujú vysokú úroveň odbornosti bez nadmerných nákladov.
Kritériá výberu DPO zahŕňajú:
- znalosť právnych predpisov o ochrane údajov,
- dostatočné technické a organizačné chápanie,
- praktické skúsenosti z praxe,
- schopnosť komunikovať naprieč štruktúrami organizácie.
Čo sa stane, ak firma nemá DPO, aj keď by mala?
Absencia DPO tam, kde má firma zákonnú povinnosť ho menovať, predstavuje porušenie GDPR a môže viesť k značným sankciám.
Možné dôsledky:
- finančné sankcie – GDPR povoľuje pokuty až do výšky 10 miliónov EUR alebo 2 % z celosvetového ročného obratu, podľa toho, ktorá suma je vyššia,
- nariadenie o okamžitom nápravnom opatrení zo strany Úradu,
- poškodenie reputácie a dôvery zákazníkov.
Preto by mal každý prevádzkovateľ aj sprostredkovateľ údajov veľmi dôkladne analyzovať, či sa na jeho činnosť vzťahuje povinnosť menovať DPO. Prípadne zvážiť túto možnosť dobrovoľne ako súčasť kvalitnej stratégie compliance.
Záver: Ako sa správne rozhodnúť?
Zodpovedná osoba (DPO) nie je povinnosťou pre všetkých, no podstatné je pochopiť, kedy DPO potrebujete podľa zákona a kedy by jej menovanie mohlo byť vašej organizácii prínosom.
Je potrebné:
- analyzovať rozsah a povahu spracovania osobných údajov,
- porozumieť právnym požiadavkám GDPR,
- poradiť sa s odborníkom alebo podrobiť firmu právnemu auditu GDPR.
Spolupráca s DPO – interným či externým – vie firme pomôcť nielen zabrániť pokutám, ale tiež zvýšiť transparentnosť, dôveru verejnosti a zefektívniť interné procesy spojené so správou údajov. GDPR nie je jednorazová záležitosť a práve DPO môže byť kľúčom k jej dlhodobému zvládnutiu.