Obce, orgány štátnej správy a iné verejnoprávne subjekty musia najneskôr do 25.5.2018 určiť zodpovednú osobu pri ochrane osobných údajov podľa GDPR

Mgr. Tomáš Vavro 04.10.2017


Ilustratívny obrázok k článku Obce, orgány štátnej správy a iné verejnoprávne subjekty musia najneskôr do 25.5.2018 určiť zodpovednú osobu pri ochrane osobných údajov podľa GDPR

Prehľad informácií o tom, kto všetko môže vykonávať funkciu zodpovednej osoby pri ochrane osobných údajov podľa GDPR a ako by mali obce a iné verejnoprávne subjekty postupovať pri jej určení.

Povinnosť určiť zodpovednú osobu pri ochrane osobných údajov podľa GDPR

Všeobecné nariadenie o ochrane údajov (General Data Protection Regulation – skrátene GDPR) je európske nariadenie, ktoré prináša úplne nové pravidlá a povinnosti v oblasti ochrany osobných údajov zákazníkov, občanov a ďalších skupín fyzických osôb.

Jednou z nich je tiež povinnosť určiť tzv. zodpovednú osobu pri ochrane osobných údajov (Data Protection Officer – skrátene DPO), ktorá sa dotkne jednak niektorých podnikateľov a zároveň všetkých orgánov štátnej správy a iných verejnoprávnych subjektov.

Každá obec, úrad či verejnoprávny subjekt bude povinný najneskôr do 25.5.2018, kedy GDPR nadobudne účinnosť, určiť osobu, ktorá u neho bude dohliadať nad postupmi pri spracúvaní osobných údajov občanov.

V tejto súvislosti je zároveň potrebné upozorniť, že funkciu zodpovednej osoby nemôže vykonávať ktokoľvek. Určenie zodpovednej osoby „pro forma“, tj. pridelenie príslušných kompetencií nedostatočne kvalifikovanému pracovníkovi, môže totiž viesť k uloženiu pokuty až do výšky 10.000.000 EUR, bez ohľadu na to, či sa daná povinnosť týka podnikateľa alebo obce.

Kto môže vykonávať funkciu zodpovednej osoby pri ochrane osobných údajov podľa GDPR?

Funkciu zodpovednej osoby podľa GDPR môže vykonávať zamestnanec prevádzkovateľa alebo tiež externý špecialista, napríklad advokát. Súčasne však platí, že táto osoba musí byť v oblasti ochrany osobných údajov dostatočne kvalifikovaná.

V prípade vlastných zamestnancov je teda potrebné zabezpečiť odborné zaškolenie a následné kvalifikačné kurzy či testovanie znalostí, v prípade externého dodávateľa je nevyhnuté uzavretie zmluvy o poskytovaní služieb zodpovednej osoby.

Zatiaľ čo celková cena práce zamestnanca je pomerne vysoká a jeho zodpovednosť za prípadnú spôsobenú škodu je podľa zákonníka práce obmedzená, v prípade externého dodávateľa služieb môže byť cena služieb zodpovednej osoby podstatne nižšia pri súčasnom zachovaní plnej miery zodpovednosti.

Nakoľko cena služieb externe určenej zodpovednej osoby pri ochrane osobných údajov nie je príliš vysoká, pričom ide o službu, ktorá nie je bežne dostupná na trhu, obce a ďalší verejní obstarávatelia budú môcť externú zodpovednú osobu vybrať a poveriť výkonom funkcie zjednodušeným postupom, a to bez využitia elektronického trhoviska.

Spoločná zodpovedná osoba pri ochrane osobných údajov pre viacero obcí či verejnoprávnych subjektov.

Keďže povinnosť určiť zodpovednú osobu pri ochrane osobných údajov sa týka každej obce či iného verejnoprávneho subjektu, bez ohľadu na ich veľkosť, GDPR počíta taktiež s možnosťou určenia spoločnej zodpovednej osoby, teda aj s určitými úsporami.

Obce združené v rámci mikroregiónov či inak spolupracujúce obce a ďalšie verejnoprávne subjekty tak môžu určiť spoločnú zodpovednú osobu a dohodnúť sa na prerozdelení nákladov na jej činnosť. Zodpovedná osoba pri ochrane osobných údajov by v takomto prípade mala byť pre každú zúčastnenú obec či iný verejnoprávny subjekt ľahko dostupná.

V čom spočíva výkon funkcie zodpovednej osoby pri ochrane osobných údajov?

• Podľa GDPR patria k základným úlohám zodpovednej osoby najmä nasledovné činnosti:

• poskytovanie informácií a poradenstva prevádzkovateľovi, sprostredkovateľovi a ich zamestnancom podieľajúcim sa na spracúvaní osobných údajov;

• dohľad nad tým, či prevádzkovateľ alebo sprostredkovateľ vykonáva svoju činnosť v súlade s GDPR;

• komunikácia a spolupráca s Úradom na ochranu osobných údajov.

Pokiaľ ide o zodpovednosť zodpovednej osoby, GDPR v súvislosti s porušením vyššie uvedených povinností nestanovuje žiadne sankcie. Zodpovedná osoba tak bude zodpovedať za prípadnú škodu podľa ustanovení o náhrade škody obsiahnutých v zákonníku práce alebo v občianskom zákonníku.

Aké sú povinnosti obcí a ďalších verejnoprávnych subjektov voči zodpovednej osobe pri ochrane osobných údajov?

Pokiaľ ide o úlohy obce či iného verejnoprávnej subjektov, ktorá zodpovednú osobu ustanovila, GDPR medzi ne zaraďuje povinnosť:

• zabezpečiť, aby bola zodpovedná osoba náležite a včas zapojená do všetkých záležitostí súvisiacich s ochranou osobných údajov;

• poskytnúť zodpovednej osobe potrebné zdroje na plnenie jej úloh, prístup k osobným údajom a k operáciám spracúvania údajov;

• udržiavať potrebnú úroveň odborných znalostí zodpovednej osoby, pokiaľ ňou má byť vlastný zamestnanec;

• zabezpečiť, aby zodpovedná osoba nedostávala žiadne pokyny týkajúce sa vykonávania jej úloh, pričom v súvislosti s riadnym plnením svojich úloh nesmie byť prepustená ani inak sankcionovaná;

• zabezpečiť, aby bola zodpovedná osoba podriadená priamo vrcholovým riadiacim pracovníkom, napr. starostovi, vedúcemu či riaditeľovi príslušnej inštitúcie;

• zabezpečiť, aby mali dotknuté osoby (občania) možnosť obrátiť sa na zodpovednú osobu so svojimi podnetmi, ktoré súvisia so spracúvaním ich osobných údajov.

Za porušenie vyššie uvedených povinností hrozí uloženie rovnakej pokuty akú by obec či verejnoprávny subjekt dostali za určenie zodpovednej osoby iba „pro forma“, teda pokuty až do výšky 10.000.000 EUR.

Kontaktujte nás

Ak máte ďalšie otázky, neváhajte nás kontaktovať.

Priložené súbory


Odoberať novinky e-mailom RSS Feed
Zdieľať