Zodpovedná osoba GDPR – takmer žiadny podnikateľ na Slovensku ju nemá povinnosť ustanoviť

Podmienky, ktoré musia spĺňať subjekty, aby sa ich týkala povinnosť ustanoviť zodpovednú osobu, sú podľa GDPR nastavené veľmi prísne. To znamená, že ich spĺňa len mizivé percento podnikateľov na Slovensku a väčšina podnikateľov nemá povinnosť ustanoviť zodpovedné osobu.

Kto je zodpovedná osoba podľa GDPR?

Zodpovedná osoba je osoba, ktorú si stanoví subjekt (napr. podnikateľ), aby dohliadala nad spracovaním osobných údajov v danom subjekte.

Aké subjekty majú povinnosť určiť zodpovednú osobu, upravuje § 44 zákona č. 18/2018 o ochrane osobných údajov. My sa problematike povinnosti ustanoviť zodpovednú osobu venujeme nižšie v článku. Postavenie zodpovednej osoby upravuje § 45 daného zákona a úlohy zodpovednej osoby upravuje § 46 daného zákona.

Aké sú úlohy zodpovednej osoby GDPR?

Zodpovedná osoba má podľa GDPR nasledovné úlohy:

• poskytuje informácie a poradenstvo o povinnostiach vyplývajúcich z GDPR
• monitoruje súlad s GDPR
• poskytuje na požiadanie poradenstvo, ak ide o posúdenie vplyvu na ochranu osobných údajov a monitorovanie jeho vykonávania podľa § 42 ZoOOÚ
• spolupracuje s úradom pri plnení svojich úloh
• plní úlohy kontaktného miesta pre úrad na ochranu osobných údajov

Má Vaša spoločnosť ustanovenú zodpovednú osobu? Možno tak robíte zbytočne.

Keď si zadáte v Google vyhľadať kľúčové slovo „zodpovedná osoba“, ukáže sa Vám reklama na rôzne spoločnosti, ktoré ponúkajú služby zodpovednej osoby. Väčšinou tak robia za mesačný paušál okolo 50 €, v závislosti od veľkosti organizácie. Podľa môjho názoru, väčšina týchto spoločností presviedča subjekty, že majú povinnosť ustanoviť zodpovednú osobu aj v prípade, že nespĺňajú zákonné podmienky. Podnikatelia zo strachu z potenciálnych pokút častokrát podľahnú a radšej platia mesačný paušál. Za niečo, čo im nie je treba.

Ako sme uviedli aj v našom článku GDPR a eshop, bežné e-shopy nemajú povinnosť ustanoviť zodpovednú osobu.

Využíva Vaša spoločnosť služby externej zodpovednej osoby a chcete si overiť, či má naozaj povinnosť mať zodpovednú osobu? Kontaktujte nás a my Vám poradíme.

Ktoré spoločnosti majú teda povinnosť určiť zodpovednú osobu?

Zákon o ochrane osobných údajov vymedzuje kedy je prevádzkovateľ alebo sprostredkovateľ povinný určiť zodpovednú osobu. Ide o nasledovnú definíciu:

Prevádzkovateľ a sprostredkovateľ sú povinní určiť zodpovednú osobu, ak

1. spracúvanie osobných údajov vykonáva orgán verejnej moci alebo verejnoprávna inštitúcia okrem súdov pri výkone ich súdnej právomoci,
2. hlavnými činnosťami prevádzkovateľa alebo sprostredkovateľa sú spracovateľské operácie, ktoré si vzhľadom na svoju povahu, rozsah alebo účel vyžadujú pravidelné a systematické monitorovanie dotknutej osoby vo veľkom rozsahu, alebo
3. hlavnými činnosťami prevádzkovateľa alebo sprostredkovateľa je spracúvanie osobitných kategórií osobných údajov podľa vo veľkom rozsahu alebo spracúvanie osobných údajov týkajúcich sa uznania viny za spáchanie trestného činu alebo priestupku podľa § 17 vo veľkom rozsahu.

Už na prvý pohľad je jasné, že dané podmienky spĺňajú len orgány verejnej moci, alebo subjekty, ktoré spracúvajú citlivé údaje (monitorovanie osôb, údaje o zdraví, atď.) vo veľkom rozsahu. Takýchto podnikateľských subjektov je na Slovensku veľmi málo.

Jednoznačnejšie usmernenie povinnosti ustanoviť zodpovednú osobu poskytne usmernenie pracovnej skupiny WP29

Na lepšie určenie, kto je a kto nie je povinný určiť zodpovednú osobu je potrebné riadiť sa usmernením pracovnej skupiny WP29. Táto pracovná skupina bola zriadená ako nezávislý orgán dozoru nad dodržiavaním ochrany osobných údajov a vypracovala usmernenie ohľadom terminológie použitej v oddieli 4 nariadenia GDPR, ktoré sa týka zodpovednej osoby. Pracovná skupina WP29 sa so začatím uplatňovania všeobecného nariadenia o ochrane osobných údajov transformovala na Európsky výbor pre ochranu osobných údajov (EDPB).

Povinnosť ustanoviť zodpovednú osobu má orgán verejnej moci alebo verejnoprávna inštitúcia

Nariadenie nedefinuje, kto je orgán verejnej moci alebo verejnoprávny subjekt a Skupina WP29 je toho názoru, že tento pojem by mal byť zadefinovaný vo vnútroštátnom práve. Podľa Slovensko.sk, verejnú moc vykonáva štát predovšetkým prostredníctvom orgánov moci zákonodarnej, výkonnej a súdnej a za určitých podmienok aj prostredníctvom ďalších subjektov. Pomôcť pri určení, či subjekt spadá medzi orgán verejnej moc alebo verejnoprávny subjekt môže aj článok Wikipédie – verejná správa.

Povinnosť ustanoviť zodpovednú osobu má subjekt, ktorého hlavnými činnosťami sú spracovateľské operácie, ktoré si vzhľadom na svoju povahu, rozsah alebo účel vyžadujú pravidelné a systematické monitorovanie dotknutej osoby vo veľkom rozsahu

Na zváženie, či organizácia spĺňa túto podmienku je potrebné si rozobrať všetky pojmy jednotlivo. Určiť si aké sú „hlavné činnosti prevádzkovateľa alebo sprostredkovateľa“, čo je „pravidelné a systematické monitorovanie“ a aké spracovanie spĺňa definíciu „vo veľkom rozsahu“.

Aké sú „Hlavné činnosti prevádzkovateľa alebo sprostredkovateľa“?

Hlavné aktivity prevádzkovateľa alebo sprostredkovateľa sú také činnosti, ktoré sa týkajú jeho primárnych činností, ktoré sú nevyhnutne potrebné, aby dosiahol hlavný cieľ svojej činnosti. Medzi hlavné činnosti nepatria podporné alebo doplnkové činnosti k hlavnej činnosti. Tieto činnosti sú síce potrebné a zásadné, berieme ich ale ako vedľajšie a nie ako hlavné.

Čo je „pravidelné a systematické monitorovanie“?

No pochopenie, čo sa vníma ako pravidelné a systematické monitorovanie uvedieme príklady, ktoré sú spomenuté v usmernení od WP29.

• spravovanie telekomunikačnej siete
• poskytovanie telekomunikačných služieb
• cielené zasielanie emailov (email retargeting)
• profilovanie a bodovanie na účely posúdenia rizík (napr. na účely úverového bodovania, určenia výšky poistného, predchádzania podvodom, odhaľovania prania špinavých peňazí)
• sledovanie polohy napr. prostredníctvom mobilných aplikácií
• vernostné programy
• cielená (behaviorálna) reklama
• monitorovanie fyzickej pohody, zdravotnej spôsobilosti a údajov týkajúcich sa zdravia zariadeniami pripevnenými na telo
• bezpečnostné kamerové systémy
• prepojené zariadenia – napr. inteligentné meracie prístroje (smart metre)
• smart autá
• inteligentná domácnosť

Aké spracovanie spĺňa definíciu „vo veľkom rozsahu“?

Za veľký rozsah sa dá považovať značný objem osobných údajov na regionálnej, vnútroštátnej alebo nadnárodnej úrovni, ktoré by mohli ovplyvniť veľký počet dotknutých osôb.

Medzi príklady spracúvania vo veľkom rozsahu patria:

• spracúvanie osobných údajov pacientov v rámci bežnej činnosti nemocnice
• spracúvanie cestovných údajov jednotlivcov využívajúcich mestskú hromadnú (napr. sledovanie cez karty na využívanie hromadnej dopravy)
• spracúvanie geolokalizačných údajov zákazníkov medzinárodných sietí rýchleho občerstvenia v reálnom čase na štatistické účely sprostredkovateľom špecializujúcim sa na poskytovanie takýchto služieb
• spracúvanie osobných údajov zákazníkov v rámci bežnej činnosti poisťovacej spoločnosti alebo banky
• spracovanie osobných údajov internetovým vyhľadávačom na účely cielenej (behaviorálnej) reklamy
• spracovanie údajov (obsahu, prevádzkových a lokalizačných údajov) poskytovateľmi telefónnych a internetových služieb

Medzi príklady spracúvania vo veľkom rozsahu nepatria:

• spracúvanie osobných údajov o pacientoch jednotlivým lekárom
• spracúvanie osobných údajov týkajúcich sa uznania viny za trestné činy a priestupky jednotlivým právnikom

Povinnosť ustanoviť zodpovednú osobu má subjekt, ktorého hlavnými činnosťami je spracúvanie osobitných kategórií osobných údajov vo veľkom rozsahu

Aké spracovanie spadá pod definíciu vo veľkom rozsahu sme rozobrali v predchádzajúcej časti, je teda potrebné ozrejmiť aké údaje patria medzi osobitnú kategória osobných údajov.

Osobitné kategórie osobných údajov sú v zákone o ochrane osobných údajov definované ako údaje, ktoré odhaľujú rasový pôvod alebo etnický pôvod, politické názory, náboženskú vieru, filozofické presvedčenie, členstvo v odborových organizáciách, genetické údaje, biometrické údaje, údaje týkajúce sa zdravia alebo údaje týkajúce sa sexuálneho života alebo sexuálnej orientácie fyzickej osoby.

Spoločnosť nespĺňa ani jednu podmienku, môžu určiť zodpovednú osobu dobrovoľne?

Áno, je možné aj dobrovoľné ustanovenie zodpovednej osoby. Ak to má pre spoločnosť prínos, napríklad si jej spracovateľské operácie vyžadujú zvýšenú obozretnosť pri spracovaní osobných údajov, je vhodné vyhľadať vhodnú osobu, ktorá bude v organizácii plniť úlohy zodpovednej osoby GDPR. Za neustanovenie zodpovednej osoby nemôže byť sankcionovaná, ale ustanovením zodpovednej osoby jej pribudnú povinnosti, ktoré sú späté so zodpovednou osobou. Napríklad jej ohlásenie úradu na ochranu osobných údajov, zverejnenie na webstránke, alebo zabezpečenie nezávislosti zodpovednej osoby.

Aké sú požiadavky na zodpovednú osobu?

Zákon hovorí, že zodpovedná osoba sa určí na základe jej odborných kvalít, a to najmä na základe jej odborných znalostí práva a postupov v oblasti ochrany osobných údajov. Akú úroveň odborných kvalít musí zodpovedná osoba mať, nie je v zákone definované. Firmám to dáva väčší priestor pri určení zodpovednej osoby.

Pri zhodnotení, či daná osoba má dostatočné odborné kvality na výkon zodpovednej osoby v organizácii, by sa mala brať do úvahy povaha vykonávaných operácií spracúvania údajov v organizácii a tiež požadovaná úroveň ochrany spracúvaných osobných údajov v danej organizácii.

Kto môže byť zodpovednou osobou GDPR v organizácii?

Zodpovednou osobou v organizácii môže byť prakticky ktokoľvek. Nie sú stanovené žiadne obmedzenia, jedine je potrebné aby bola ustanovená zodpovedná osoba nezávislá a mala dostatočné odborné kvality. Môže to byť teda štatutárny orgán spoločnosti, zamestnanec spoločnosti, alebo externá zodpovedná osoba.

Aká je to interná a externá zodpovedná osoba?

Zodpovedná osoba môže byť zamestnancom, vtedy hovoríme o internej zodpovednej osobe. Alebo môže plniť úlohy zodpovednej osoby na základe zmluvy o poskytovaní služieb s jednotlivcom alebo organizáciou. Vtedy ide o externú zodpovednú osobu.

Od 25.5.2018 zodpovedná osoba nepotrebuje mať vykonanú skúšku na úrade

Do 25.2.2018 platilo, že zodpovedná osoba musela mať absolvovanú odbornú skúšku na úrade na ochranu osobných údajov. Od 25.5.2018 sa skúška zodpovednej osoby nevykonáva. Touto zmenou sa len potvrdilo, že na úroveň odborných kvalít zodpovednej osoby nie sú kladené žiadne konkrétne nároky. Požadovaná úroveň odborných znalostí teda nie je presne vymedzená, mala by však byť úmerná citlivosti, množstvu a zložitosti údajov, ktoré organizácia spracúva.

Zodpovednú osobu je potrebné ohlásiť na úradu na ochranu osobných údajov

V prípade, ak prevádzkovateľ určí zodpovednú osobu, je povinný oznámiť kontaktné údaje zodpovednej osoby úradu na ochranu osobných údajov. Prevádzkovateľ vykoná oznámenie zodpovednej osoby prostredníctvom formuláru na oznámenie zodpovednej osoby na webstránke úradu na ochrany osobných údajov. V prípade, ak do 24 hodín od odoslania formulára nie je doručená e-mailová správa potvrdzujúca zaznamenanie zodpovednej osoby do registra zodpovedných osôb, je potrebné kontaktovať úrad na e-mailovej adrese statny.dozor@pdp.gov.sk.

Zodpovednú osobu je potrebné zverejniť

Zákon vyžaduje, aby boli dotknuté osoby informované o ustanovení zodpovednej osoby a jej kontaktných údajoch. V prípade potreby sa môžu dotknuté osoby ohľadom spracovania osobných údajov, obrátiť práve na zodpovednú osobu v danej spoločnosti. Informovanie o zodpovednej osobe znamená, že v momente spracovania osobných údajov by mali byť informácie o zodpovednej osobe k dispozícii, napríklad na webovom sídle spoločnosti.

Zabezpečenie princípu nezávislosti zodpovednej osoby

Zodpovedné osoby, či už sú, alebo nie sú zamestnancami prevádzkovateľa, by mali mať možnosť vykonávať svoje povinnosti a úlohy nezávisle. Prevádzkovatelia (a sprostredkovatelia) musia najmä zabezpečiť, aby zodpovedná osoba v súvislosti s plnením svojich úloh nedostávala žiadne pokyny. V nariadení GDPR a zákone o ochrane osobných údajov sú určité základné záruky, ktoré majú pomôcť zabezpečiť, aby zodpovedné osoby boli schopné vykonávať svoje úlohy v rámci organizácie s dostatočnou mierou samostatnosti.

Dôležité je zapojenie zodpovednej osoby do činností súvisiacich s ochranou osobných údajov

Je dôležité, aby sa zodpovedná osoba zapájala do všetkých záležitostí súvisiacich s ochranou údajov v organizácii, a ideálne čo najskôr. Tým, že bude komunikácia a konzultácia so zodpovednou osobou prebiehať čo najskôr, zabezpečí sa dodržiavanie princípov GDPR už v štádiu návrhu informačných systémov na spracovanie osobných údajov.

Sankcie za nesplnenie si povinností v súvislosti so zodpovednou osobou

V prípade, že si prevádzkovateľ nesplní povinnosti súvisiace so zodpovednou osobou, môže úrad na ochranu osobných údajov uložiť pokutu do 10 000 000 €, alebo ak ide o podnik do 2 % celkového svetového ročného obratu za predchádzajúci účtovný rok, podľa toho, ktorá suma je vyššia.

Zodpovedná osoba nenesie osobnú zodpovednosť za nedodržanie GDPR

Dôležité je spomenúť, že zodpovedná osoba možno paradoxne nie je tou, čo nesie zodpovednosť za dodržiavanie GDPR v organizácii. Zodpovedná osoba síce dohliada na dodržiavanie ochrany osobných údajov, zodpovednosť za dodržiavanie zákona o ochrane osobných údajov má ale prevádzkovateľ. Ani ustanovenie zodpovednej osoby teda organizácii nezabezpečí, že je „krytá“ zodpovednou osobou a napríklad jej nehrozí pokuta za GDPR.

Zhrnutie – neplatíte zbytočne za služby zodpovednej osoby?

Je potrebné si hlavne overiť, či Vaša organizácia spĺňa podmienky na povinné ustanovenie zodpovednej osoby. Pre zhrnutie uvádzame príklady, kedy spoločnosť NIE JE povinná ustanoviť zodpovednú osobu:

• nie je orgán verejnej moci alebo verejnoprávna inštitúcia
• nevykonáva pravidelné a systematické monitorovanie dotknutých osôb
• vykonáva pravidelné a systematické monitorovanie dotknutých osôb v malom rozsahu
• nespracúva osobitné kategórie osobných údajov
• spracúva osobitné kategórie osobných údajov v malom rozsahu

ak sa Vás dané podmienky a činnosti ani okrajovo netýkajú, môžete si byť istý, že povinnosť ustanoviť zodpovednú osobu NEMÁTE.