7 vecí, ktoré vám pri GDPR má poradiť vaša zodpovedná osoba

Či už ste ako prevádzkovateľ alebo sprostredkovateľ povinný vymenovať zodpovednú osobu alebo sa rozhodnete vymenovať zodpovednú osobu dobrovoľne, jej úlohy zostávajú v oboch prípadoch rovnaké. Povinnosť vymenovania zodpovednej osoby (alebo aj DPO) je definovaná v čl. 37 Nariadenia GDPR.

Slovenský preklad originálneho anglického pojmu DPO – Data protection officer, ktoré používa Nariadenie GDPR, možno na prvý pohľad trochu nesprávne evokuje postavenie a úlohy samotnej zodpovednej osoby. Jej primárnou úlohou je prispievať svojou poradenskou a konzultačnou činnosťou v organizácií prevádzkovateľa  alebo sprostredkovateľa k dodržiavaniu povinností vyplývajúcich z GDPR Nariadenia a legislatívy. Zodpovední za dodržiavanie súladu však naďalej zostávajú vždy prevádzkovateľ alebo sprostredkovateľ.

Vyššie uvedené potvrdzuje aj samotné ustanovenie čl. 38 ods. 3 Nariadenia GDPR, podľa ktorého zodpovedná osoba nemôže byť za výkon svojich úloh postihovaná. V čom teda spočíva poradenská a konzultačná činnosť zodpovednej osoby?

DPO-SR-securion

Úlohy zodpovednej osoby 

Sedem úloh DPO, ktoré sú základnými povinnosťami zodpovednej osoby, je stanovených priamo Nariadením GDPR:

1. Poskytovanie informácií a poradenstva prevádzkovateľovi a sprostredkovateľovi a ich zamestnancom

Informačná a poradenská činnosť je základnou úlohou zodpovednej osoby. Na zodpovednu osobu sa môžu obracať všetci zamestnanci prevádzkovateľov a sprostredkovateľov, ktorí vykonávajú spracúvanie osobných údajov.

Úlohou zodpovednej osoby je poskytovať týmto osobám poradenstvo v oblasti ich povinností pri spracúvaní osobných údajov a riešiť otázky týkajúce sa spracúvania osobných údajov. Na to, aby mohla zodpovedná osoba poskytovať poradenstvo komplexne, je prevádzkovateľ alebo sprostredkovateľ povinný zodpovednú osobu zapojiť riadne a včas do všetkých záležitostí, ktoré súvisiac s ochranou osobných údajov v organizácií.1

2. Monitorovanie súladu vykonávaného spracúvania s Nariadením GDPR a ostatnými predpismi o ochrane osobných údajov

Ďalšou dôležitou úlohou zodpovednej osoby je monitorovanie súladu spracúvania osobných údjajov s príslušnými právnymi predpismi o ochrane osobných údajov2, ktoré v sebe zahŕňa najmä:

  • zhromažďovanie informácií na identifikáciu spracovateľských operácií,
  • analyzovanie a kontrolu súladu činností spracovania s predpismi o ochrane osobných údajov,
  • informovanie a vydávanie odporúčaní pre prevádzkovateľa, resp. sprostredkovateľa.

Zodpovedná osoba by mala prijatú dokumentáciu o ochrane osobných údajov a stanovené postupy pravidelne revidovať a v prípade potreby aktualizovať, s ohľadom na platnú legislatívu alebo usmernenia a odporúčania vydané príslušnými dozornými orgánmi. Úlohou zodpovednej osoby je aj jednoznačne upozorniť na nesúlad spracúvania alebo plánovanej spracovateľskej operácie s predpismi o ochrane osobných údajov, aj keď takéto upozornenie bude proti vôli prevádzkovateľa alebo sprostredkovateľa.3

3. Poskytovanie poradenstva pri posúdení vplyvu podľa čl. 35 Nariadenia GDPR

V prípade, ak sú na to splnené podmienky čl. 35 Nariadenia GDPR a prevádzkovateľ je povinný pred začatím spracúvania osobných údajov vykonať posúdenie vplyvu na ochranu osobných údajov4, zodpovedná osoba prevádzkovateľovi povinne poskytuje poradenstvo v súvislosti s týmto posúdením. Prevádzkovateľ by sa vykonávaní posúdenia vplyvu mal radiť so zodpovednou osobou najmä o tom:

  • či sa má, resp. nemá vykonať posúdenie vplyvu,
  • aká metodika sa má použiť pri vykonaní posúdenia vplyvu,
  • či sa má posúdenie vplyvu vykonať interne alebo zabezpečiť externe,
  • aké záruky (vrátane technických a organizačných opatrení) sa majú uplatniť na zmiernenie rizík pre práva a záujmy dotknutých osôb,
  • či sa posúdenie vplyvu vykonalo správne a či sú jeho závery v súlade s Nariadením GDPR.

Článok pokračuje pod videoškolením na tému: DPO SR – zodpovedná osoba na území Slovenskej republiky:

4. Spolupráca s dozorným orgánom a plnenie úlohy kontaktného miesta pre dozorný orgán

Tieto dve úlohy zodpovednej osoby spolu úzko súvisia. Jedna z nich priamo nadväzuje na posúdenie vplyvu, pretože v niektorých prípadoch nadväzuje na vykonané posúdenie vplyvu povinnosť prevádzkovateľa absolvovať pred spracúvaním konzultácie s dozorným orgánom.5 Úlohou zodpovednej osoby je zabezpečovať konzultácie.

Okrem uvedeného je vhodné, aby zodpovedná osoba riešila komunikáciu s dozorným orgánom aj v iných veciach týkajúcich sa spracúvania osobných údajov u prevádzkovateľa alebo sprostredkovateľa.6 Aj samotné dotknuté osoby sa môžu vo veciach týkajúcich sa spracúvania ich osobných údajov obracať priamo na zodpovednú osobu prevádzkovateľa, pretože prevádzkovateľ má povinnosť informovať dotknuté osoby o kontaktných údajov zodpovednej osoby vždy, keď je určená.

5. Spolupráca pri výbere a kontraktácií sprostredkovateľov

V prípade, ak sa má spracúvanie osobných údajov uskutočniť v mene prevádzkovateľa , je prevádzkovateľ povinný zvoliť si takých dodávateľov – sprostredkovateľov, ktorý poskytujú dostatočné záruky, že sa prijmú primerané opatrenia v oblasti bezpečnosti spracúvaných osobných údajov. Preverenie sprostredkovateľa z pohľadu ochrany osobných údajov môže byť pomerne náročný proces. Pri výbere sprostredkovateľov a uzatváraní zmlúv týkajúcich sa osobných údajov je vždy výhodou spolupráca so zodpovednou osobou.

6. Vybavovanie žiadostí dotknutých osôb alebo pomoc pri ich vybavovaní

Zodpovedná osoba je aj kontaktným miestom pre dotknuté osoby. Tie môžu kontaktovať zodpovednú osobu v súvislosti so všetkými otázkami týkajúcimi sa uplatňovania ich práv a spracúvania ich osobných údajov. S DPO SR si môžete dohodnúť aj reálne vybavovanie žiadostí. K vybaveniu žiadosti dotknutej osoby alebo k poskytnutiu informácií však je často nevyhnutná súčinnosť medzi prevádzkovateľom a zodpovednou osobou.

7. Zabezpečovanie odbornej prípravy a školenia zamestnancov

S úlohou poskytovania poradenskej činnosti je úzko spätá aj povinnosť zodpovednej osoby zabezpečiť odbornú prípravu a školenia zamestnancov. V praxi si túto povinnosť môže zodpovedná osoba (DPO SR) splniť prostredníctvom rôznych školení, workshopov či on-line formou. Účelom tejto  činnosti je zvyšovanie povedomia a odbornej prípravy zamestnancov, ktorí v rámci svojich pracovných povinností vykonávajú spracovateľské operácie.

O zodpovednej osobe, jej úlohách a činnostiach sme pripravili viacero článkov na tému zodpovedná osoba GDPR, ako aj videoškolenia, ktoré nájdete pod tagom DPO.

Ak chcete zistiť, či ste povinný mať svoju DPO, prečítajte si aj náš článok o určení zodpovednej osoby.

 


  1. Povinnosť zapojiť zodpovednú osobu do všetkých záležitostí súvisiacich s ochranou osobných údajov je ustanovená priamo v č. 38 ods. 1 Nariadenia GDPR. 

  2. Pozn.: prípadne internými predpismi prevádzkovateľa alebo sprostredkovateľa, napr. záväznými vnútropodnikovými pravidlami v prípade skupiny podnikov 

  3. Zodpovednú osobu treba striktne odlišovať od iných zamestnancov alebo dodávateľov prevádzkovateľa alebo sprostredkovateľa, pretože nejde o osobu, ktorá sleduje obchodný záujem týchto subjektov, ale výlučne záujem ochrany osobných údajov fyzických osôb pri ich spracúvaní prevádzkovateľom alebo sprostredkovateľom. 

  4. Pozn.: DPIA – Data protection impact assessment 

  5. V prípade, ak z posúdenia vplyvu vyplýva, že plánované spracúvanie osobných údajov by viedlo k vysokému riziku pre práva a slobody dotknutých osôb, ak by prevádzkovateľ neprijal opatrenia na zmiernenie tohto rizika. 

  6. Vzhľadom na to, že zodpovedná osoba musí spĺňať odborné znalosti v oblasti práva a ochrany osobných údajov sa predpokladá, že celý proces komunikácie a poskytovania súčinnosti bude jednoduchší. 

Odoberajte náš newsletter

Odporúčané články

Potrebujete pomôcť?

Ak potrebujete pomôcť s riešením osobných údajov, neváhajte nás kontaktovať. Radi vám pomôžeme.

Spracúvame vaše osobné údaje za účelom vybavenia vašej požiadavky. Viac info tu.