25. 9. 2020
Či už ste ako prevádzkovateľ alebo sprostredkovateľ povinný vymenovať zodpovednú osobu alebo sa rozhodnete vymenovať zodpovednú osobu dobrovoľne, jej úlohy zostávajú v oboch prípadoch rovnaké. Povinnosť vymenovania zodpovednej osoby (alebo aj DPO) je definovaná v čl. 37 Nariadenia GDPR.
Slovenský preklad originálneho anglického pojmu DPO – Data protection officer, ktoré používa Nariadenie GDPR, možno na prvý pohľad trochu nesprávne evokuje postavenie a úlohy samotnej zodpovednej osoby. Jej primárnou úlohou je prispievať svojou poradenskou a konzultačnou činnosťou v organizácií prevádzkovateľa alebo sprostredkovateľa k dodržiavaniu povinností vyplývajúcich z GDPR Nariadenia a legislatívy. Zodpovední za dodržiavanie súladu však naďalej zostávajú vždy prevádzkovateľ alebo sprostredkovateľ.
Vyššie uvedené potvrdzuje aj samotné ustanovenie čl. 38 ods. 3 Nariadenia GDPR, podľa ktorého zodpovedná osoba nemôže byť za výkon svojich úloh postihovaná. V čom teda spočíva poradenská a konzultačná činnosť zodpovednej osoby?
Sedem úloh DPO, ktoré sú základnými povinnosťami zodpovednej osoby, je stanovených priamo Nariadením GDPR:
Informačná a poradenská činnosť je základnou úlohou zodpovednej osoby. Na zodpovednu osobu sa môžu obracať všetci zamestnanci prevádzkovateľov a sprostredkovateľov, ktorí vykonávajú spracúvanie osobných údajov.
Úlohou zodpovednej osoby je poskytovať týmto osobám poradenstvo v oblasti ich povinností pri spracúvaní osobných údajov a riešiť otázky týkajúce sa spracúvania osobných údajov. Na to, aby mohla zodpovedná osoba poskytovať poradenstvo komplexne, je prevádzkovateľ alebo sprostredkovateľ povinný zodpovednú osobu zapojiť riadne a včas do všetkých záležitostí, ktoré súvisiac s ochranou osobných údajov v organizácií.1
Ďalšou dôležitou úlohou zodpovednej osoby je monitorovanie súladu spracúvania osobných údjajov s príslušnými právnymi predpismi o ochrane osobných údajov2, ktoré v sebe zahŕňa najmä:
Prečítajte si aj: Ste povinný mať svoju DPO? Hlavné činnosti DPO aj odpoveď na túto otázku nájdete v článku.
Zodpovedná osoba by mala prijatú dokumentáciu o ochrane osobných údajov a stanovené postupy pravidelne revidovať a v prípade potreby aktualizovať, s ohľadom na platnú legislatívu alebo usmernenia a odporúčania vydané príslušnými dozornými orgánmi. Úlohou zodpovednej osoby je aj jednoznačne upozorniť na nesúlad spracúvania alebo plánovanej spracovateľskej operácie s predpismi o ochrane osobných údajov, aj keď takéto upozornenie bude proti vôli prevádzkovateľa alebo sprostredkovateľa.3
V prípade, ak sú na to splnené podmienky čl. 35 Nariadenia GDPR a prevádzkovateľ je povinný pred začatím spracúvania osobných údajov vykonať posúdenie vplyvu na ochranu osobných údajov4, zodpovedná osoba prevádzkovateľovi povinne poskytuje poradenstvo v súvislosti s týmto posúdením. Prevádzkovateľ by sa vykonávaní posúdenia vplyvu mal radiť so zodpovednou osobou najmä o tom:
Článok pokračuje pod videoškolením na tému: DPO SR – zodpovedná osoba na území Slovenskej republiky:
V prípade, že sa vám video nezobrazuje je potrebné povoliť zbieranie cookies.
Tieto dve úlohy zodpovednej osoby spolu úzko súvisia. Jedna z nich priamo nadväzuje na posúdenie vplyvu, pretože v niektorých prípadoch nadväzuje na vykonané posúdenie vplyvu povinnosť prevádzkovateľa absolvovať pred spracúvaním konzultácie s dozorným orgánom.5 Úlohou zodpovednej osoby je zabezpečovať konzultácie.
Okrem uvedeného je vhodné, aby zodpovedná osoba riešila komunikáciu s dozorným orgánom aj v iných veciach týkajúcich sa spracúvania osobných údajov u prevádzkovateľa alebo sprostredkovateľa.6 Aj samotné dotknuté osoby sa môžu vo veciach týkajúcich sa spracúvania ich osobných údajov obracať priamo na zodpovednú osobu prevádzkovateľa, pretože prevádzkovateľ má povinnosť informovať dotknuté osoby o kontaktných údajov zodpovednej osoby vždy, keď je určená.
V prípade, ak sa má spracúvanie osobných údajov uskutočniť v mene prevádzkovateľa , je prevádzkovateľ povinný zvoliť si takých dodávateľov – sprostredkovateľov, ktorý poskytujú dostatočné záruky, že sa prijmú primerané opatrenia v oblasti bezpečnosti spracúvaných osobných údajov. Preverenie sprostredkovateľa z pohľadu ochrany osobných údajov môže byť pomerne náročný proces. Pri výbere sprostredkovateľov a uzatváraní zmlúv týkajúcich sa osobných údajov je vždy výhodou spolupráca so zodpovednou osobou.
Zodpovedná osoba je aj kontaktným miestom pre dotknuté osoby. Tie môžu kontaktovať zodpovednú osobu v súvislosti so všetkými otázkami týkajúcimi sa uplatňovania ich práv a spracúvania ich osobných údajov. S DPO SR si môžete dohodnúť aj reálne vybavovanie žiadostí. K vybaveniu žiadosti dotknutej osoby alebo k poskytnutiu informácií však je často nevyhnutná súčinnosť medzi prevádzkovateľom a zodpovednou osobou.
S úlohou poskytovania poradenskej činnosti je úzko spätá aj povinnosť zodpovednej osoby zabezpečiť odbornú prípravu a školenia zamestnancov. V praxi si túto povinnosť môže zodpovedná osoba (DPO SR) splniť prostredníctvom rôznych školení, workshopov či on-line formou. Účelom tejto činnosti je zvyšovanie povedomia a odbornej prípravy zamestnancov, ktorí v rámci svojich pracovných povinností vykonávajú spracovateľské operácie.
O zodpovednej osobe, jej úlohách a činnostiach sme pripravili viacero článkov na tému zodpovedná osoba GDPR, ako aj videoškolenia, ktoré nájdete pod tagom DPO.
Povinnosť zapojiť zodpovednú osobu do všetkých záležitostí súvisiacich s ochranou osobných údajov je ustanovená priamo v č. 38 ods. 1 Nariadenia GDPR. ↩
Pozn.: prípadne internými predpismi prevádzkovateľa alebo sprostredkovateľa, napr. záväznými vnútropodnikovými pravidlami v prípade skupiny podnikov ↩
Zodpovednú osobu treba striktne odlišovať od iných zamestnancov alebo dodávateľov prevádzkovateľa alebo sprostredkovateľa, pretože nejde o osobu, ktorá sleduje obchodný záujem týchto subjektov, ale výlučne záujem ochrany osobných údajov fyzických osôb pri ich spracúvaní prevádzkovateľom alebo sprostredkovateľom. ↩
Pozn.: DPIA – Data protection impact assessment ↩
V prípade, ak z posúdenia vplyvu vyplýva, že plánované spracúvanie osobných údajov by viedlo k vysokému riziku pre práva a slobody dotknutých osôb, ak by prevádzkovateľ neprijal opatrenia na zmiernenie tohto rizika. ↩
Vzhľadom na to, že zodpovedná osoba musí spĺňať odborné znalosti v oblasti práva a ochrany osobných údajov sa predpokladá, že celý proces komunikácie a poskytovania súčinnosti bude jednoduchší. ↩
Legislatívne povinnosti nám dávajú príležitosť na to, aby sme veci robili lepšie.
Vyplňte GDPR dotázník a získajte 30 minútovú konzultáciu ZDARMA.
Zistite viacWe will be happy to answer all your questions by e-mail, phone or in person.
Vytvorené digitálnou agentúrou UPVISION
securion © 2021
This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.