#1 Zodpovedná osoba – DPO: Ste povinný ju mať?

Zodpovedná osoba alebo aj DPO¹ je v rámci ochrany osobných údajov osoba, ktorá plní úlohy pre prevádzkovateľov alebo sprostredkovateľov v súlade GDPR. DPO môže byť fyzická alebo právnická osoba určená prevádzkovateľom alebo sprostredkovateľom. V článku priblížime, kedy sú prevádzkovatelia alebo sprostredkovatelia povinní určiť zodpovednú osobu.

Znalosti zodpovednej osoby

Na úvod len pripomíname, že zodpovedná osoba má mať odborné znalosti v oblasti ochrany osobných údajov. Súčasná legislatíva nevyžaduje pre potvrdenie odborných znalostí žiadnu skúšku alebo certifikáciu. V minulosti skúšky pre zodpovedné osoby organizoval Úradu na ochranu osobných údajov. Súčasný zákon č. 18/2018 Z. z. v § 110 ods. 12 ustanovuje, že preukázanie odborných znalostí možno preukázať aj zložením pôvodnej skúšky.²

Z nášho pohľadu však skúška nie je až tak podstatná. Podstatné sú kvality individuálnej zodpovednej osoby a jej spôsobilosť riešiť jednotlivé požiadavky a povinnosti zodpovednej osoby vyplývajúce z Nariadenia GDPR a ostatných predpisov o ochrane osobných údajov, preto je potrebné pri výbere zodpovednej osoby preveriť jej komplexné znalosti a skúsenosti – najmä z oblasti práva, prípadne z oblasti bezpečnosti.

Zodpovedná osoba môže prispieť k celkovému compliance vašej spoločnosti.

Povinnosť určiť DPO

Nariadenie GDPR vymedzuje tri situácie, kedy je Prevádzkovateľ alebo sprostredkovateľ povinný určiť zodpovednú osobu. V ostatných prípadoch, kedy tieto subjekty nie sú naplnené podmienky povinnosti určenia zodpovednej osoby, môžu subjekty určiť DPO dobrovoľne. V prípade, ak prevádzkovateľ alebo sprostredkovateľ určí zodpovednú osobu dobrovoľne, má DPO rovnaké postavenie a plní rovnaké úlohy, ako keď je určenie zodpovednej osoby povinnosťou.³

Kto musí mať zodpovednú osobu?

Prevádzkovateľ alebo sprostredkovateľ  určia zodpovednú osobu vždy, keď:

• spracúvanie vykonáva orgán verejnej moci alebo verejnoprávny subjekt, s výnimkou súdov pri výkone ich súdnej právomoci,
• hlavnými činnosťami prevádzkovateľa alebo sprostredkovateľa sú spracovateľské operácie, ktoré si vzhľadom na svoju povahu, rozsah a / alebo účely vyžadujú pravidelné a systematické monitorovanie dotknutých osôb vo veľkom rozsahu alebo
• hlavnými činnosťami prevádzkovateľa alebo sprostredkovateľa je spracúvanie osobitných kategórií osobných údajov podľa článku 9 GDPR vo veľkom rozsahu alebo spracúvanie osobných údajov týkajúcich sa uznania viny za trestné činy alebo priestupky podľa článku 10 GDPR.

Orgán verejnej moci alebo verejnoprávny subjekt

GDPR vo svojich ustanoveniach pojem orgán verejnej moci alebo verejnoprávny subjekt nevymedzuje. Pracovná skupina WP 29⁴ vo svojom odporúčaní k zodpovednej osobe  z roku 2017 tvrdí, že tento pojem by mal byť stanovený vo vnútroštátnom práve. Slovenský právny poriadok taktiež neobsahuje legálnu definíciu pojmu orgán verejnej moci alebo verejnoprávneho subjektu, avšak pri ich definícií sa vychádza najmä z  uznesenia Ústavného súdu Českej a Slovenskej referatívnej republiky, v zmysle ktorého je orgán verejnej moci subjekt, ktorý rozhoduje o právach a povinnostiach iných osôb a tieto rozhodnutia sú prostredníctvom štátnej moci vynútiteľné.

Subjekt, o ktorého právach a povinnostiach sa rozhoduje, nie je pri rozhodovaní v rovnoprávnom postavení s rozhodovacím orgánom a rozhodnutie nezávisí od jeho vôle. Orgánmi verejnej moci sú tak predovšetkým subjekty, prostredníctvom ktorých štát vykonáva svoju zákonodarnú, výkonnú a súdnou moc alebo iné subjekty, ktoré sú zákonom výslovne splnomocnené rozhodovať o právach a povinnostiach iných subjektov. V zmysle vyššie uvedeného sú orgánmi verejnej moci štátne orgány (ministerstvá, NRSR, ústredné orgány štátnej správy), orgány územnej samosprávy (mestá, obce, samosprávne kraje – VÚC), verejnoprávne inštitúcie (Sociálna poisťovňa, zdravotné poisťovne, školy a školské zariadenia) a iné subjekty (napr. profesijné komory)

Ako upozorňuje WP 29, úlohu vo verejnom záujme môžu vykonávať a verejnú moc môžu uplatňovať⁵ nielen orgány verejnej moci alebo verejnoprávne subjekty, ale aj iné fyzické alebo právnické osoby, ktoré nemajú postavenie orgánov verejnej moci a ktoré sa riadia verejným alebo súkromným právom, v sektoroch, ako sú služby verejnej dopravy, dodávky vody a energií, cestná infraštruktúra, verejnoprávne vysielanie, sociálne bývanie a to v súlade s vnútroštátnymi právnymi predpismi každého členského štátu.

V týchto prípadoch sa dotknuté osoby môžu nachádzať vo veľmi podobnej situácii, ako keď ich údaje spracúva orgán verejnej moci alebo verejnoprávny subjekt. Osobné údaje sa predovšetkým v uvedených situáciách môžu spracúvať na podobné účely a jednotlivci často majú podobne malú alebo nijakú možnosť ovplyvniť, či a ako sa ich osobné údaje budú spracúvať, a tak môžu žiadať dodatočnú ochranu, ktorú by im mohlo priniesť určenie zodpovednej osoby. Aj keď vo vyššie uvedených prípadoch GDPR povinnosť týmto subjektom povinnosť určiť zodpovednú osobu neukladá, WP 29 ako osvedčený postup odporúča, aby súkromné organizácie plniace úlohy vo verejnom záujme alebo uplatňujúce verejnú moc určili zodpovednú osobu. Činnosť takejto zodpovednej osoby sa týka všetkých vykonávaných spracovateľských operácií vrátane operácií, ktoré nesúvisia s plnením úlohy vo verejnom záujme alebo s plnením úradnej povinnosti (napr. správa personálnej agendy zamestnancov).

Hlavné činnosti a spracúvanie vo veľkom rozsahu

Ďalšie dve kritériá pre povinné určenie zodpovednej osobe v sebe zahŕňajú dve základné charakteristiky, a to že:

1. spracúvanie osobných údajov patrí k hlavným činnostiam prevádzkovateľa alebo sprostredkovateľa, alebo
2. spracúvanie osobných údajov vo veľkom rozsahu.

Recitál 97 GDPR⁶ bližšie konkretizuje, že spracúvanie osobných údajov patrí k hlavným činnostiam prevádzkovateľa alebo sprostredkovateľa vtedy, ak sa spracúvanie osobných údajov týka primárnych činností týchto subjektov, nie vedľajšej činnosti. Ide teda o také druhy operácií, ktoré možno vzhľadom na ich povahu považovať za nevyhnutné na dosiahnutie podnikateľských alebo iných cieľov činnosti prevádzkovateľa alebo sprostredkovateľa.

Príklad: Hlavnou činnosťou nemocnice je poskytovanie zdravotnej starostlivosti. Ak by však nemocnica nespracúvala údaje o zdravotnom stave a iné osobné údaje svojich pacientov (zdravotné záznamy pacienta), nemohla by účinne a efektívne vykonávať svoju hlavnú činnosť – poskytovať zdravotnú starostlivosť. Spracúvanie osobných údajov pacientov tak v tomto prípade možno považovať za jednu z hlavných činností nemocnice, pričom zároveň ide o spracúvane osobitných kategórií osobných údajov podľa článku 9 GDPR (údaje o zdravotnom stave) a nemocnica je povinná určiť zodpovednú osobu.

Uvedené platí obdobne aj pri súkromnej bezpečnostnej službe, ktorej hlavnou činnosťou je monitorovanie určených priestorov (napr. súkromných nákupných centier, supermarketov alebo verejných priestorov). Monitorovanie dotknutých osôb, ktoré je neoddeliteľne spojené so spracúvaním osobných údajov týchto osôb patrí k hlavnej činnosti súkromnej bezpečnostnej služby, a preto je povinná určiť zodpovednú osobu.

Spracúvanie osobných údajov vo veľkom rozsahu

Pri definovaní pojmu spracúvanie osobných údajov vo veľkom rozsahu nám výkladovú pomôcku opätovne poskytuje recitál 91 GDPR, nakoľko samotné GDPR neobsahuje legálnu definíciu tohto pojmu. V zmysle recitálu 91 tak spracúvaním vo veľkom rozsahu je také spracúvanie, ktorého cieľom je spracúvať značný objem osobných údajov na regionálnej, vnútroštátnej alebo nadnárodnej úrovni, ktoré by mohlo ovplyvniť veľký počet dotknutých osôb a ktoré pravdepodobne povedú k vysokému riziku.

Recitál 91, na rozdiel od vyššie uvedeného, vymedzuje aj akúsi opačnú hranicu pojmu spracúvanie osobných údajov vo veľkom rozsahu, keď definuje, že za spracúvanie osobných údajov vo veľkom rozsahu by sa nemalo považovať spracúvanie osobných údajov pacientov alebo klientov jednotlivým lekárom, iným zdravotníckym pracovníkom alebo právnikom.⁷

Na základe vyššie uvedeného WP 29 (EDPB) zostavila akési základné kritériá na určenie toho, či spracúvanie osobných údajov možno považovať za spracúvanie vo veľkom rozsahu a pri posudzovaní toho, či ide o spracúvanie vo veľkom rozsahu, odporúča zohľadniť nasledujúce faktory:

• počet dotknutých osôb, ktorých sa spracúvanie týka, vyjadrený buď ako konkrétne číslo, alebo ako podiel príslušnej populácie,
• objem údajov a/alebo rozsah rôznych položiek údajov, ktoré sa spracúvajú,
• dĺžka trvania alebo stálosť (trvalosť) činnosti spracúvania údajov,
• geografický rozsah spracovateľskej činnosti.

Za spracúvanie osobných údajov vo veľkom rozsahu možno vo všeobecnosti považovať spracúvanie osobných údajov pacientov v rámci bežnej činnosti nemocnice, spracúvanie osobných údajov zákazníkov v rámci bežnej činnosti banky alebo poisťovne, spracúvanie osobných údajov prevádzkovateľom internetového vyhľadávača na účely behaviorálnej reklamy, či spracúvanie vykonávané poskytovateľmi telefonických alebo internetových služieb o osobných údajoch týkajúcich sa obsahu, prevádzky alebo polohy zákazníkov využívajúcich služby týchto subjektov.

Naopak, za spracúvanie osobných údajov vo veľkom rozsahu sa nepovažuje spracúvanie osobných údajov pacientov jednotlivým lekárom alebo spracúvanie osobných údajov týkajúcich sa uznania viny za trestné činy a priestupky jednotlivým právnikom (advokátom).

Pravidelné a systematické monitorovanie

Pojem pravidelné a systematické monitorovanie dotknutých osôb taktiež nie je v GDPR vymedzený, monitorovanie dotknutých osôb sa však spomína vo viacerých ustanoveniach recitálu GDPR predovšetkým v spojení s pojmom sledovanie správania dotknutých osôb a zahŕňa všetky formy sledovania a profilovania na internete vrátane sledovania a profilovania na účely behaviorálnej reklamy.

Pojem monitorovanie dotknutých osôb však nie je možné obmedziť iba na online prostredie. Monitorovanie správania dotknutých osôb v online prostredí je možné považovať iba za jeden z príkladov sledovania správania (monitorovania) dotknutých osôb.

Podľa usmernenia WP 29 za pravidelné monitorovanie možno považovať monitorovanie, ktoré:

• prebieha alebo sa vyskytuje v určitých intervaloch počas určitého obdobia,
• opakovane sa vyskytuje v pevne stanovených časoch,
• sa odohráva nepretržite alebo pravidelne.

Za systematické monitorovanie možno považovať také monitorovanie, ktoré sa je vopred naplánované, organizované alebo metodické či monitorovanie vykonávané ako súčasť stratégie.

Príkladom pravidelného a systematického monitorovania tak môže byť profilovanie a bodovanie na účely posudzovania rizík (napr. na účely bodového hodnotenia úverového rizika, určenia výšky poistného, predchádzania podvodom, odhaľovania prania špinavých peňazí), sledovanie polohy, napríklad s použitím mobilných aplikácií alebo behaviorálna reklama.

Spracúvanie osobitných kategórií osobných údajov alebo uznania viny za TČ a priestupky

Pri poslednom kritériu, kedy je prevádzkovateľ alebo sprostredkovateľ povinný určiť DPO, je toto kritérium vymedzené pomerne jasne. Ide o spracúvanie vo veľkom rozsahu osobitných kategórií osobných údajov podľa čl. 9 GDPR (k osobitným kategóriám osobných údajov patria napr. údaje o rasovom alebo etnickom pôvode, údaje o zdravotnom stave alebo údaje o sexuálnej orientácií dotknutej osoby) alebo osobných údajov týkajúcich sa uznania viny za trestné činy alebo priestupky (napr. veľkými advokátskymi kanceláriami špecializujúcimi sa na zastupovanie klientov v trestných konaniach).

Ešte predtým si však povedzme, čo to zodpovedná osoba vlastne je a akú funkciu v organizácii zastupuje. Pozrite si aj naše video-školenie:

V prípade, že sa vám video nezobrazuje je potrebné povoliť zbieranie cookies.

Okrem vyššie uvedených pomôcok poskytujú výkladové pravidlá k povinnosti určiť zodpovednú osobu aj rôzne profesijné komory a združenia, napríklad vo forme kódexov správania. Medzi nimi možno spomenúť najmä kódex správania vydaný Slovenskou advokátskou komorou, ktorá rozdeľuje advokátske kancelárie podľa počtu zamestnancov a príjmov z trestného práva na tri skupiny a na základe stanovených kritérií určuje, ktoré advokátske kancelárie sú povinné určiť zodpovednú osobu. Uvedené delenie možno podľa nášho názoru aplikovať analogicky aj pri iných profesiách, ktoré nie sú regulované kódexom správania, napr. pri účtovníkoch.

Odporúčania k DPO na záver

V prípade, ak si prevádzkovateľ alebo sprostredkovateľ nie je istý, či je povinný určiť DPO, mal by svoje rozhodnutie neurčiť zodpovednú osobu zdokumentovať, aby bol v prípade kontroly dozorného orgánu schopný preukázať, prečo zodpovednú osobu neurčil. Zdokumentovanie odporúčame pre potreby jeho preukázania vyhotoviť písomne.

Ešte poukazujeme na skutočnosť, že povinné určenie zodpovednej osoby sa netýka len prevádzkovateľa, ale aj sprostredkovateľa. V praxi tak môžu nastať situácie, kedy povinnosť určiť zodpovednú osobu vznikne iba prevádzkovateľovi, prevádzkovateľovi a sprostredkovateľovi súčasne a výnimočnou nie je ani situácia, kedy povinnosť určiť zodpovednú osobu vznikne iba sprostredkovateľovi.

Príklad: Malý rodinný podnik, ktorý pôsobí napr. v oblasti distribúcie domácich spotrebičov v jednom meste, využíva služby sprostredkovateľa, ktorého hlavnou činnosťou je poskytovať služby analýzy webových stránok a pomoc s cielenou reklamou a marketingom. Činnosťou rodinného podniku a jeho zákazníkov nedochádza, vzhľadom na malý počet zákazníkov a pomerne obmedzené činnosti, k spracúvaniu údajov vo „veľkom rozsahu“. Činnosti sprostredkovateľa, ktorý má veľa zákazníkov podobných tomuto malému podniku, však dohromady predstavujú spracúvanie vo veľkom rozsahu. Sprostredkovateľovi tak vznikla povinnosť určiť zodpovednú osobu, pričom samotný podnik ako prevádzkovateľ túto povinnosť nemá.

V ďalšom článku prinesieme informácie, aké má povinnosti zodpovedná osoba u prevádzkovateľa alebo iného subjektu – teda zhrnutie základných povinností zodpovednej osoby, jej postavenia vo vzťahu k subjektu, ktorý ju určil ako aj predpokladov na výkon funkcie zodpovednej osoby, resp. DPO.

V prípade, ak máte pochybnosti o tom, či zodpovedná osoba GDPR alebo povinnosť určiť DPO, neváhajte sa na nás obrátiť.

1. skratka DPO sr z anglického Data protection officer ↩

2. V zmysle zákona č. 122/2013 Z. z., keďže v § 110 ods. 12 zákona č. 18/2018 Z. z. o ochrane osobných údajov je ustanovené, že: „Zodpovedná osoba poverená podľa doterajšieho zákona, ktorá spĺňa podmienky podľa tohto zákona alebo osobitného predpisu, sa považuje za zodpovednú osobu podľa predpisov účinných od 25. mája 2018.„ ↩

3. Napr. povinnosť ohlásiť určenie zodpovednej osoby Úradu na ochranu osobných údajov alebo zverejniť jej kontaktné údaje a pod. ↩

4. WP 29 sa prijatím GDPR transformovala na Európsky výbor pre ochranu osobných údajov – EDPB ↩

5. Vo vzťahu k ochrane osobných údajov predovšetkým spracúvať osobné údaje dotknutých osôb na právnom základe podľa čl. 6 ods. 1 písm. e) GDPR. ↩

6. Recitál je úvodná časť GDPR, ktorá bližšie vysvetľuje jeho jednotlivé ustanovenia ↩

7. Pri posudzovaní uvedených kritérií si je potrebné uvedomiť, že hoci sa v recitáli GDPR uvádzajú príklady extrémov na opačných stranách spektra  – spracúvanie jednotlivým lekárom oproti spracúvaniu osobných údajov v rámci činnosti nemocnice, medzi týmito extrémami existuje veľká „sivá zóna“. V súčasnosti neexistujú presne stanovené číselné alebo inak určené hodnoty na posúdenie jednotlivých faktorov, preto je každý prípad potrebné posudzovať osobitne. ↩

Získajte konkurenčnú výhodu vďaka aktívnemu prístupu k ochrane osobných údajov.

Pozrieť ponuku služieb