GDPR, Odporúčame

25. 9. 2020

7 vecí, ktoré vám pri GDPR má poradiť vaša zodpovedná osoba

7 vecí, ktoré vám pri GDPR má poradiť vaša zodpovedná osoba

Či už ste ako prevádzkovateľ alebo sprostredkovateľ povinný vymenovať zodpovednú osobu alebo sa rozhodnete vymenovať zodpovednú osobu dobrovoľne, jej úlohy zostávajú v oboch prípadoch rovnaké. Povinnosť vymenovania zodpovednej osoby (alebo aj DPO) je definovaná v čl. 37 Nariadenia GDPR.

Slovenský preklad originálneho anglického pojmu DPO – Data protection officer, ktoré používa Nariadenie GDPR, možno na prvý pohľad trochu nesprávne evokuje postavenie a úlohy samotnej zodpovednej osoby. Jej primárnou úlohou je prispievať svojou poradenskou a konzultačnou činnosťou v organizácií prevádzkovateľa  alebo sprostredkovateľa k dodržiavaniu povinností vyplývajúcich z GDPR Nariadenia a legislatívy. Zodpovední za dodržiavanie súladu však naďalej zostávajú vždy prevádzkovateľ alebo sprostredkovateľ.

Vyššie uvedené potvrdzuje aj samotné ustanovenie čl. 38 ods. 3 Nariadenia GDPR, podľa ktorého zodpovedná osoba nemôže byť za výkon svojich úloh postihovaná. V čom teda spočíva poradenská a konzultačná činnosť zodpovednej osoby?

DPO-SR-securion

Úlohy zodpovednej osoby 

Sedem úloh DPO, ktoré sú základnými povinnosťami zodpovednej osoby, je stanovených priamo Nariadením GDPR:

1. Poskytovanie informácií a poradenstva prevádzkovateľovi a sprostredkovateľovi a ich zamestnancom

Informačná a poradenská činnosť je základnou úlohou zodpovednej osoby. Na zodpovednu osobu sa môžu obracať všetci zamestnanci prevádzkovateľov a sprostredkovateľov, ktorí vykonávajú spracúvanie osobných údajov.

Úlohou zodpovednej osoby je poskytovať týmto osobám poradenstvo v oblasti ich povinností pri spracúvaní osobných údajov a riešiť otázky týkajúce sa spracúvania osobných údajov. Na to, aby mohla zodpovedná osoba poskytovať poradenstvo komplexne, je prevádzkovateľ alebo sprostredkovateľ povinný zodpovednú osobu zapojiť riadne a včas do všetkých záležitostí, ktoré súvisiac s ochranou osobných údajov v organizácií.1

2. Monitorovanie súladu vykonávaného spracúvania s Nariadením GDPR a ostatnými predpismi o ochrane osobných údajov

Ďalšou dôležitou úlohou zodpovednej osoby je monitorovanie súladu spracúvania osobných údjajov s príslušnými právnymi predpismi o ochrane osobných údajov2, ktoré v sebe zahŕňa najmä:

  • zhromažďovanie informácií na identifikáciu spracovateľských operácií,
  • analyzovanie a kontrolu súladu činností spracovania s predpismi o ochrane osobných údajov,
  • informovanie a vydávanie odporúčaní pre prevádzkovateľa, resp. sprostredkovateľa.

Prečítajte si aj: Ste povinný mať svoju DPO? Hlavné činnosti DPO aj odpoveď na túto otázku nájdete v článku.

Zodpovedná osoba by mala prijatú dokumentáciu o ochrane osobných údajov a stanovené postupy pravidelne revidovať a v prípade potreby aktualizovať, s ohľadom na platnú legislatívu alebo usmernenia a odporúčania vydané príslušnými dozornými orgánmi. Úlohou zodpovednej osoby je aj jednoznačne upozorniť na nesúlad spracúvania alebo plánovanej spracovateľskej operácie s predpismi o ochrane osobných údajov, aj keď takéto upozornenie bude proti vôli prevádzkovateľa alebo sprostredkovateľa.3

3. Poskytovanie poradenstva pri posúdení vplyvu podľa čl. 35 Nariadenia GDPR

V prípade, ak sú na to splnené podmienky čl. 35 Nariadenia GDPR a prevádzkovateľ je povinný pred začatím spracúvania osobných údajov vykonať posúdenie vplyvu na ochranu osobných údajov4, zodpovedná osoba prevádzkovateľovi povinne poskytuje poradenstvo v súvislosti s týmto posúdením. Prevádzkovateľ by sa vykonávaní posúdenia vplyvu mal radiť so zodpovednou osobou najmä o tom:

  • či sa má, resp. nemá vykonať posúdenie vplyvu,
  • aká metodika sa má použiť pri vykonaní posúdenia vplyvu,
  • či sa má posúdenie vplyvu vykonať interne alebo zabezpečiť externe,
  • aké záruky (vrátane technických a organizačných opatrení) sa majú uplatniť na zmiernenie rizík pre práva a záujmy dotknutých osôb,
  • či sa posúdenie vplyvu vykonalo správne a či sú jeho závery v súlade s Nariadením GDPR.

Článok pokračuje pod videoškolením na tému: DPO SR – zodpovedná osoba na území Slovenskej republiky:

V prípade, že sa vám video nezobrazuje je potrebné povoliť zbieranie cookies.

4. Spolupráca s dozorným orgánom a plnenie úlohy kontaktného miesta pre dozorný orgán

Tieto dve úlohy zodpovednej osoby spolu úzko súvisia. Jedna z nich priamo nadväzuje na posúdenie vplyvu, pretože v niektorých prípadoch nadväzuje na vykonané posúdenie vplyvu povinnosť prevádzkovateľa absolvovať pred spracúvaním konzultácie s dozorným orgánom.5 Úlohou zodpovednej osoby je zabezpečovať konzultácie.

Okrem uvedeného je vhodné, aby zodpovedná osoba riešila komunikáciu s dozorným orgánom aj v iných veciach týkajúcich sa spracúvania osobných údajov u prevádzkovateľa alebo sprostredkovateľa.6 Aj samotné dotknuté osoby sa môžu vo veciach týkajúcich sa spracúvania ich osobných údajov obracať priamo na zodpovednú osobu prevádzkovateľa, pretože prevádzkovateľ má povinnosť informovať dotknuté osoby o kontaktných údajov zodpovednej osoby vždy, keď je určená.

5. Spolupráca pri výbere a kontraktácií sprostredkovateľov

V prípade, ak sa má spracúvanie osobných údajov uskutočniť v mene prevádzkovateľa , je prevádzkovateľ povinný zvoliť si takých dodávateľov – sprostredkovateľov, ktorý poskytujú dostatočné záruky, že sa prijmú primerané opatrenia v oblasti bezpečnosti spracúvaných osobných údajov. Preverenie sprostredkovateľa z pohľadu ochrany osobných údajov môže byť pomerne náročný proces. Pri výbere sprostredkovateľov a uzatváraní zmlúv týkajúcich sa osobných údajov je vždy výhodou spolupráca so zodpovednou osobou.gdpr-dotaznik-securion

6. Vybavovanie žiadostí dotknutých osôb alebo pomoc pri ich vybavovaní

Zodpovedná osoba je aj kontaktným miestom pre dotknuté osoby. Tie môžu kontaktovať zodpovednú osobu v súvislosti so všetkými otázkami týkajúcimi sa uplatňovania ich práv a spracúvania ich osobných údajov. S DPO SR si môžete dohodnúť aj reálne vybavovanie žiadostí. K vybaveniu žiadosti dotknutej osoby alebo k poskytnutiu informácií však je často nevyhnutná súčinnosť medzi prevádzkovateľom a zodpovednou osobou.

7. Zabezpečovanie odbornej prípravy a školenia zamestnancov

S úlohou poskytovania poradenskej činnosti je úzko spätá aj povinnosť zodpovednej osoby zabezpečiť odbornú prípravu a školenia zamestnancov. V praxi si túto povinnosť môže zodpovedná osoba (DPO SR) splniť prostredníctvom rôznych školení, workshopov či on-line formou. Účelom tejto  činnosti je zvyšovanie povedomia a odbornej prípravy zamestnancov, ktorí v rámci svojich pracovných povinností vykonávajú spracovateľské operácie.

O zodpovednej osobe, jej úlohách a činnostiach sme pripravili viacero článkov na tému zodpovedná osoba GDPR, ako aj videoškolenia, ktoré nájdete pod tagom DPO.

gdpr-poradenstvo-securion

 

 


  1. Povinnosť zapojiť zodpovednú osobu do všetkých záležitostí súvisiacich s ochranou osobných údajov je ustanovená priamo v č. 38 ods. 1 Nariadenia GDPR. 

  2. Pozn.: prípadne internými predpismi prevádzkovateľa alebo sprostredkovateľa, napr. záväznými vnútropodnikovými pravidlami v prípade skupiny podnikov 

  3. Zodpovednú osobu treba striktne odlišovať od iných zamestnancov alebo dodávateľov prevádzkovateľa alebo sprostredkovateľa, pretože nejde o osobu, ktorá sleduje obchodný záujem týchto subjektov, ale výlučne záujem ochrany osobných údajov fyzických osôb pri ich spracúvaní prevádzkovateľom alebo sprostredkovateľom. 

  4. Pozn.: DPIA – Data protection impact assessment 

  5. V prípade, ak z posúdenia vplyvu vyplýva, že plánované spracúvanie osobných údajov by viedlo k vysokému riziku pre práva a slobody dotknutých osôb, ak by prevádzkovateľ neprijal opatrenia na zmiernenie tohto rizika. 

  6. Vzhľadom na to, že zodpovedná osoba musí spĺňať odborné znalosti v oblasti práva a ochrany osobných údajov sa predpokladá, že celý proces komunikácie a poskytovania súčinnosti bude jednoduchší. 

Získajte konkurenčnú výhodu vďaka aktívnemu prístupu k ochrane osobných údajov.

Zostaňte v obraze

Legislatívne povinnosti nám dávajú príležitosť na to, aby sme veci robili lepšie.

questionnaire

Vyplňte GDPR dotázník a získajte 30 minútovú konzultáciu ZDARMA.

Zistite viac icon

do you need advice?

We help companies fulfil their legislative obligations.

We will be happy to answer all your questions by e-mail, phone or in person.

    Vaše osobné údaje spracúvame za účelom vybavenia dopytu. Viac sa dočítate v sekcii Privacy Policy.