Postavenie zodpovednej osoby
Postavenie DPO v rámci organizačnej štruktúry prevádzkovateľa a sprostredkovateľa upravuje čl. 38 GDPR, ktorý ukladá zodpovednej osobe viacero práv a povinností:
Právo DPO byť zapojená do všetkých záležitostí súvisiacich s osobnými údajmi
Prevádzkovateľ a sprostredkovateľ sú v prvom rade povinní zabezpečiť, aby zodpovedná osoba bola riadnym spôsobom a včas zapojená do všetkých záležitostí, ktoré súvisia s ochranou osobných údajov. Iba ak je zodpovedná osoba efektívne informovaná o činnostiach a aktivitách prevádzkovateľa či sprostredkovateľa, týkajúcich sa osobných údajov, má reálnu možnosť plniť si svoje úlohy spôsobom súladným s nariadením. V prípade, ak úlohy DPO plní tím ľudí, resp. právnická osoba, prístup k príslušným informáciám by mali mať všetky takto zapojené osoby, a to podľa možnosti čo najskôr po ustanovení do funkcie.
Často sa stáva, že vedúci jednotlivých oddelení nemusia poznať spracovateľské operácie realizované na inom oddelení toho istého subjektu, a preto opatrenia prijaté s ohľadom iba na časť prevádzkovateľa alebo sprostredkovateľa by nemuseli byť dostatočné. Tieto informácie by sa preto mali kumulovať práve u zodpovednej osoby, ktorej úlohou je dávať návrhy na implementáciu dostačujúcich záruk bezpečnosti osobných údajov.
Riadne a včasné zapojenie DPO do projektov a činností týkajúcich sa spracúvania osobných údajov má podstatný význam aj v nasledovných súvislostiach:
- Privacy by design
V čl. 25 ods. 1[1] nariadenie upravuje zásadu tzv. „privacy by design“. Zjednodušene povedané, privacy by design (tento pojem sa stáva aj v slovenských podmienkach zaužívanejším, než jeho slovenský ekvivalent „špecificky navrhnutá ochrana údajov“) znamená, že prevádzkovatelia už vo fáze plánovania nových činností a projektov majú brať na zreteľ otázku ochrany osobných údajov, a majú zabezpečiť, aby ochrana osobných údajov bola inherentnou súčasťou akýchkoľvek činností prevádzkovateľa, ktoré zahŕňajú spracúvanie osobných údajov.
Pre ilustráciu, ak napríklad obchodník so športovými potrebami plánuje rozšíriť portfólio svojich aktivít aj do on-line prostredia zriadením e-shopu, už pri plánovaní tejto novej činnosti je povinný brať na zreteľ ochranu osobných údajov budúcich zákazníkov, a aktivitu potom realizovať tak, aby táto nová činnosť bola naprojektovaná v každom aspekte súladne so zásadami ochrany osobných údajov. Teda už pri projektovaní nových aktivít, vytváraní on-line formulárov, určovaní spôsobu vybavovania objednávok a reklamácií, vytvárania elektronických alebo listinných databáz údajov súvisiacich s daným projektom atď., je potrebné implementovať zásady ochrany do každej jednotlivej činnosti. Týmto spôsobom sa zabezpečí, že aktivity prevádzkovateľa budú už v úplne počiatočnom štádiu navrhnuté súladne, čo prispieva k zvýšeniu ochrany osobných údajov dotknutých osôb.
Za týmto účelom je nevyhnutné, aby DPO bola zahrnutá už do prípravnej fázy nových projektov, a boli jej poskytnuté všetky potrebné informácie, aby mohla včas dávať návrhy na zabezpečenie súladu projektu s nariadením.
- Posúdenie vplyvu na ochranu údajov (DPIA)
V súvislosti s posúdením vplyvu na ochranu údajov nariadenie výslovne stanovuje povinnosť včas zapojiť zodpovednú osobu a upravuje, že prevádzkovateľ sa počas vykonávania posúdenia vplyvu na ochranu údajov radí so zodpovednou osobou, ak bola ustanovená[2].
Prevádzkovateľ / sprostredkovateľ by preto mal zabezpečiť, aby:
- DPO bola pravidelne prizývaná na zasadnutia vyššieho a stredného vedenia;
- DPO bola prítomná, keď sa prijímajú rozhodnutia s dosahom na ochranu osobných údajov;
- stanovisko DPO náležite zohľadnilo a v prípade rozdielnych názorov pracovná skupina WP29 ako osvedčený postup odporúča, aby sa doložili dôvody, pre ktoré sa nepostupovalo podľa stanoviska/poradenstva DPO;
- sa uskutočnila konzultácia s DPO vždy v prípade porušenia bezpečnosti osobných údajov alebo iného incidentu.
Podľa WP 29 stojí za zváženie vypracovanie internej smernice na ochranu osobných údajov, ktorá by upravovala, za akých okolností sa vyžaduje konzultácia so zodpovednou osobou.
2. Právo DPO na potrebné zdroje a prístupy
Podľa čl. 39 ods. 2 nariadenia prevádzkovateľ a sprostredkovateľ podporujú zodpovednú osobu pri plnení úloh tak, že
- poskytujú zdroje potrebné na plnenie týchto úloh;
- prístup k osobným údajom a spracovateľským operáciám; a
- zdroje na udržiavanie jej odborných znalostí.
Vo všeobecnosti platí, že čím sú spracovateľské operácie komplexnejšie alebo citlivejšie, tým viac zdrojov (finančných, personálnych, technických a pod.) by sa malo zodpovednej osobe poskytnúť. Pracovná skupina 29 v usmernení WP 243 rev. 01 zo dňa 5. 4. 2017 uvádza, že pri vytváraní podmienok pre činnosť DPO by sa mali zohľadniť najmä tieto prvky:
- aktívna podpora funkcie zodpovednej osoby zo strany vyššieho vedenia (napríklad na úrovni predstavenstva);
- dostatočný čas na to, aby zodpovedné osoby mohli plniť svoje úlohy;
- primeraná podpora z hľadiska finančných zdrojov, infraštruktúry (priestory, zariadenia, vybavenie) a v prípade potreby aj zo strany zamestnancov;
- oficiálne oznámenie určenia zodpovednej osoby všetkým zamestnancom, aby sa zabezpečilo, že v rámci organizácie sa bude vedieť o existencii a funkcii tejto osoby;
- nevyhnutný prístup k ostatným útvarom, napríklad k oddeleniu ľudských zdrojov, právnemu oddeleniu, oddeleniu IT, bezpečnostnému útvaru atď., aby zodpovedné osoby mohli dostávať potrebnú podporu, vstupy a informácie z týchto útvarov;
- priebežná odborná príprava s cieľom neustáleho zvyšovania úrovne odbornosti zodpovedných osôb, ktoré by sa mali povzbudzovať k účasti na vzdelávacích kurzoch týkajúcich sa ochrany osobných údajov a na iných formách profesijného rozvoja;
- prípadné vytvorenie tímu pre zodpovednú osobu, ak je to účelné vzhľadom na veľkosť a štruktúru organizácie; v takom prípade by sa mala jasne stanoviť vnútorná štruktúra tímu, ako aj úlohy a povinnosti každého z jeho členov. Obdobne to platí pre prípad, keď funkciu zodpovednej osoby vykonáva externý poskytovateľ služieb a úlohy zodpovednej osoby plní skupina osôb (tím) pracujúcich pre tento subjekt pod vedením určenej hlavnej kontaktnej osoby pre klienta.
3. Nezávislosť
Podľa čl. 38 ods. 3 nariadenia prevádzkovateľ a sprostredkovateľ zabezpečia, aby zodpovedná osoba v súvislosti s plnením jej úloh nedostávala žiadne pokyny. Nariadenie výslovne upravuje, že prevádzkovateľ ani sprostredkovateľ ju nesmú odvolať alebo postihovať za výkon jej úloh (čo však neznamená, že DPO je nepostihnuteľná z iných dôvodov – viď. výklad nižšie). Zodpovedná osoba podlieha priamo najvyššiemu vedeniu prevádzkovateľa alebo sprostredkovateľa.
Zodpovedné osoby sú povinné vykonávať svoje úlohy samostatne a nezávisle. Pri plnení svojich úloh nesmú dostávať pokyny, ako riešiť danú záležitosť, aký výsledok sa má dosiahnuť, ako sa má vyšetrovať sťažnosť alebo či sa treba radiť s dozorným orgánom. Okrem toho sa im nesmie nariadiť, aké stanovisko majú zaujať v záležitosti súvisiacej s ochranou osobných údajov, napríklad ohľadne konkrétneho výkladu práva.
Zodpovedná osoba nesmie byť odvolaná alebo inak sankcionovaná v súvislosti s výkonom jej úloh. Nariadenie týmto spôsobom zabezpečuje nezávislosť zodpovednej osoby, aby pri plnení svojich úloh nebola napr. motivovaná strachom zo skončenia pracovného pomeru. Postihy sú však zakázané iba v prípade, ak sa ukladajú za výkon povinností zodpovednej osoby.[3] Zodpovedná osoba teda môže byť oprávnene odvolaná z dôvodov, ktoré nesúvisia s výkonom jej úloh ako zodpovednej osoby, ako napríklad v prípade nedostatočného plnenia pracovných úloh či disciplinárneho previnenia.
4. Povinnosť mlčanlivosti
Podľa čl. 38 ods. 5 nariadenia, zodpovedná osoba je v súvislosti s výkonom svojich úloh viazaná povinnosťou zachovávať mlčanlivosť alebo dôvernosť informácií v súlade s právom Únie alebo s právom členského štátu. Povinnosť zachovávať mlčanlivosť však zodpovednej osobe nebráni v tom, aby sa obrátila so žiadosťou o radu na dozorný orgán. V článku 39 ods. 1 písm. e) nariadenia sa stanovuje, že zodpovedná osoba môže podľa potreby konzultovať s dozorným orgánom v akýchkoľvek veciach.
5. Zákaz konfliktu záujmov
V zmysle čl. 38 ods. 6 nariadenia je možné, aby zodpovedná osoba vykonávala aj iné úlohy, avšak len pod podmienkou, že žiadna z úloh alebo povinností zodpovednej osoby nepovedie ku konfliktu záujmov. To znamená, že zodpovedná osoba nemôže v organizácii zastávať pozíciu, v ktorej by určovala účely a prostriedky spracúvania osobných údajov.
K pozíciám, ktoré by mohli viesť ku konfliktu záujmov, môžu patriť pozície vo vyššom vedení (ako napríklad generálny riaditeľ, finančný riaditeľ, vedúci marketingového oddelenia, vedúci oddelenia ľudských zdrojov, vedúci právneho oddelenia alebo vedúci oddelenia informačných technológií), ale aj iné pozície na nižšej úrovni organizačnej štruktúry, pokiaľ sú tieto pozície alebo úlohy spojené s rozhodovaním o účeloch a prostriedkoch spracúvania. Keďže každá spoločnosť alebo inštitúcia má unikátnu organizačnú štruktúru, je potrebné riziko konfliktu záujmov posúdiť individuálne v každom prípade.
Úlohy zodpovednej osoby
Článok 39 ods. 1 nariadenia obsahuje zoznam úloh, ktoré zodpovedná osoba plní ako minimálny rozsah svojich činností. Prevádzkovateľovi alebo sprostredkovateľovi ale nič nebráni v tom, aby úlohy zodpovednej osoby rozšírili.
1. Poskytovanie informácií
V prvom rade zodpovedná osoba poskytuje informácie a poradenstvo prevádzkovateľovi či sprostredkovateľovi a zamestnancom, ktorí vykonávajú spracúvanie, o ich povinnostiach podľa nariadenia a ostatných právnych predpisov. Poradenstvo môže byť poskytované telefonicky, písomne alebo v rámci osobných konzultácií. Odporúča sa však, aby DPO mala obsah svojich odporúčaní písomne zachytený, pre prípad zdôvodnenia svojho postupu v jednotlivých záležitostiach.
2. Monitorovanie dodržiavania nariadenia
Zodpovedná osoba v rámci povinnosti monitorovať dodržiavanie nariadenia najmä:
- zbiera informácie na identifikáciu spracovateľských činností;
- analyzuje a overuje súlad spracovateľských činností;
- navrhuje ideálne riešenia pre spracovateľské operácie a za týmto účelom komunikuje s dotknutými útvarmi (napr. informačná bezpečnosť, marketing, IT architekti a pod.);
- poskytuje informácie a poradenstvo a vydáva odporúčania prevádzkovateľovi alebo sprostredkovateľovi za účelom zabezpečenia súladu
- zvyšuje povedomie personálu o ochrane osobných údajov vrátane ich odbornej prípravy.
3. Posudzovanie vplyvu na ochranu údajov
Vykonanie posúdenia vplyvu na ochranu osobných údajov v prípade potreby je podľa článku 35 ods. 1 úlohou prevádzkovateľa. V článku 39 ods. 1 písm. c) sa zodpovedná osoba poveruje úlohou poskytovať poradenstvo v súvislosti s výkonom takého posúdenia.
Pracovná skupina WP 29 odporúča, aby sa prevádzkovateľ v tejto súvislosti radil so zodpovednou osobou okrem iného o týchto otázkach:
- či sa má alebo nemá vykonať posúdenie vplyvu na ochranu údajov;
- aká metodika sa má použiť pri vykonávaní posúdenia vplyvu na ochranu údajov;
- či sa má posúdenie vplyvu na ochranu údajov vykonať interne alebo či sa má zabezpečiť externe;
- aké záruky (vrátane technických a organizačných opatrení) sa majú uplatniť na zmiernenie rizík pre práva a záujmy dotknutých osôb;
- či sa posúdenie vplyvu na ochranu údajov vykonalo správne a či sú jeho závery v súlade s nariadením.
4. Určovanie miery rizika a „hasenie“ najskôr urgentných situácií
V článku 39 ods. 2 sa stanovuje, že zodpovedná osoba náležite zohľadňuje riziko spojené so spracovateľskými operáciami, pričom berie na vedomie povahu, rozsah, kontext a účely spracúvania.
Uvedené ustanovenie v podstate od zodpovedných osôb vyžaduje, aby určili priority svojich činností a svoje úsilie zamerali na záležitosti, ktoré predstavujú vyššie riziko pre ochranu osobných údajov. To predpokladá, že zodpovedné osoby budú mať prehľad o rizikovosti jednotlivých operácií, a budú sa prednostne venovať tým, ktoré sú rizikovejšie pre práva a slobody dotknutých osôb.
5. Vedenie záznamov podľa čl. 30 GDPR
Podľa článku 30 ods. 1 a 2 prevádzkovateľ alebo sprostredkovateľ vedie záznamy o spracovateľských operáciách, za ktoré je zodpovedný, resp. vedie záznamy o všetkých kategóriách spracovateľských činností, ktoré vykonal v mene prevádzkovateľa.
I keď nariadenie túto úlohu zveruje prevádzkovateľovi, resp. sprostredkovateľovi, z podstaty funkcie zodpovednej osoby vyplýva, že v praxi budú spracovateľské záznamy a register spracovateľských operácií vytvárať práve oni, keďže u nich sa kumulujú informácie o spracúvaní osobných údajov z rôznych útvarov spoločnosti. Tieto záznamy potom vo veľkej miere napomáhajú zodpovednej osobe pri výkone jej úloh.
6. Kontaktné miesto pre dozorný orgán
Podľa článku 39 ods. 1 písm. d) a e) by zodpovedná osoba mala spolupracovať s dozorným orgánom a plniť úlohu kontaktného miesta pre dozorný orgán v súvislosti s otázkami týkajúcimi sa spracúvania vrátane predchádzajúcej konzultácie uvedenej v článku 36 a podľa potreby aj konzultácie v akýchkoľvek iných veciach.
Zodpovedná osoba plní úlohu kontaktného miesta, ktoré uľahčuje prístup dozorného orgánu k dokumentom a informáciám na účely vykonávania jeho úloh uvedených, ako aj na účely výkonu jeho vyšetrovacích, nápravných, povoľovacích a poradných právomocí.
7. Kontaktné miesto pre dotknuté osoby
Podľa čl. 38 ods. 4 nariadenia dotknuté osoby môžu kontaktovať zodpovednú osobu v súvislosti so všetkými otázkami týkajúcimi sa spracúvania ich osobných údajov a uplatňovania ich práv. To znamená, že zodpovedná osoba má byť pripravená komunikovať s dotknutými osobami vo veci spracúvania ich údajov, a odpovedať na žiadosti a podnety dotknutých osôb súvisiacich so spracúvaním, a to aj v inom jazyku, než v jazyku toho štátu, z ktorého zodpovedná osoba vykonáva svoju činnosť.
Zodpovedná osoba by mala radiť prevádzkovateľovi pri uplatnení práv zo strany dotknutej osoby, napr. práva na vymazanie, prenosnosť, obmedzenie spracúvania, práva na prístup k osobným údajom, žiadostiam o poskytnutie osobných údajov a pod.
Požiadavky na odborné kvality DPO
Podľa čl. 37 ods. 5 nariadenia, zodpovedná osoba sa určí na základe jej odborných kvalít, a to najmä na základe jej odborných znalostí práva a postupov v oblasti ochrany údajov a na základe spôsobilosti plniť svoje úlohy. Potrebná úroveň odborných znalostí by sa mala určiť v závislosti od vykonávaných operácií spracúvania údajov a od požadovanej ochrany osobných údajov, ktoré sa spracúvajú. Napríklad v prípade, keď je činnosť spracúvania mimoriadne zložitá alebo keď sa spracúva veľké množstvo citlivých údajov, môže zodpovedná osoba potrebovať vyššiu úroveň odborných znalostí a podpory.
Medzi relevantné zručnosti a odborné znalosti patria:
- odborné znalosti z vnútroštátneho a európskeho práva a postupov v oblasti ochrany údajov vrátane dôkladného porozumenia nariadeniu;
- porozumenie vykonávaným spracovateľským operáciám;
- porozumenie informačným technológiám a bezpečnosti osobných údajov;
- znalosť podnikateľského sektora a organizácie;
- schopnosť presadzovať kultúru ochrany osobných údajov v rámci organizácie.
Zodpovednosť DPO za porušenie ochrany osobných údajov
Z pohľadu výkonu úloh zodpovednej osoby je dôležitou skutočnosťou, že zodpovedné osoby nenesú osobnú zodpovednosť za nesplnenie povinností vyplývajúcich z nariadenia zo strany prevádzkovateľov alebo sprostredkovateľov. Zodpovedná osoba je povinná monitorovať dodržiavanie nariadenia, dávať podnety a návrhy na odporúčaný postup a vykonávať iné úlohy zverené jej nariadením alebo zmluvnou s prevádzkovateľom alebo sprostredkovateľom, avšak to neznamená, že je zodpovedá za porušenie ochrany osobných údajov zo strany prevádzkovateľa alebo sprostredkovateľa.
Nariadenie ustanovuje absolútnu zodpovednosť prevádzkovateľa za zákonnosť spracúvania, to znamená, že to je prevádzkovateľ, ktorý musí prijať vhodné technické a organizačné opatrenia, aby zabezpečil a bol schopný preukázať, že spracúvanie sa vykonáva v súlade s týmto nariadením[4]. Dodržiavanie predpisov v oblasti ochrany osobných údajov je teda zodpovednosťou prevádzkovateľa a sprostredkovateľa, nie zodpovednej osoby.
Podstatné však je, že pracovnoprávna zodpovednosť za porušenie povinností pri výkone úloh zodpovednej osoby, ak ide o osobu v pracovnoprávnom pomere, nie je dotknutá. Rovnako, ak je funkcia DPO vykonávaná na základe obchodnoprávnej zmluvy, DPO zodpovedá za riadne plnenie svojich zmluvných povinností a v prípade porušenia má prevádzkovateľ alebo sprostredkovateľ zákonné a zmluvné prostriedky nápravy. Tiež je namieste spomenúť, že neoprávnené poskytnutie, sprístupnenie alebo zverejnenie osobných údajov o inom získané v súvislosti s výkonom svojho povolania, zamestnania alebo funkcie (napr. aj funkcie DPO), je trestným činom v zmysle § 374 Trestného zákona, ktorého sa môže dopustiť aj zodpovedná osoba.
_____________________________
[1] So zreteľom na najnovšie poznatky, náklady na vykonanie opatrení a na povahu, rozsah, kontext a účely spracúvania, ako aj na riziká s rôznou pravdepodobnosťou a závažnosťou, ktoré spracúvanie predstavuje pre práva a slobody fyzických osôb, prevádzkovateľ v čase určenia prostriedkov spracúvania aj v čase samotného spracúvania prijme primerané technické a organizačné opatrenia, ako je napríklad pseudonymizácia, ktoré sú určené na účinné zavedenie zásad ochrany údajov, ako je minimalizácia údajov, a začlení do spracúvania nevyhnutné záruky s cieľom splniť požiadavky tohto nariadenia a chrániť práva dotknutých osôb.
[2] Čl. 35 ods. 2 nariadenia.
[3] Zodpovedná osoba sa napríklad môže domnievať, že určité spracúvanie pravdepodobne povedie k vysokému riziku a odporučí prevádzkovateľovi alebo sprostredkovateľovi, aby vykonal posúdenie vplyvu na ochranu údajov, ale prevádzkovateľ alebo sprostredkovateľ s týmto hodnotením zodpovednej osoby nesúhlasí. V takejto situácii nemožno zodpovednú osobu za poskytnutie takéhoto poradenstva odvolať.
[4] Článok 24 ods. 1 nariadenia.