GDPR – čo naozaj prinesie? IX. MENOVANIE ZODPOVEDNEJ OSOBY

1. Povinnosť vymenovať zodpovednú osobu

Zjednodušene je možné povedať, že Nariadenie GDPR
- zavádza určitú mieru proporcionality medzi množstvom a citlivosťou spracúvaných dát na jednej strane a povinnosťou menovať zodpovednú osobu za dohľad na druhej strane,
- určuje povinnosť menovať zodpovednú osobu za dohľad pre niektorých prevádzkovateľov bez ohľadu na túto proporcionalitu.
Povinnosť menovať zodpovednú osobu je vo všeobecnosti pre firmy menej prísna než povinnosť pôvodne určená zákonom č. 122/2013 pred novelizáciou zákonom č. 84/2014, ktorá túto povinnosť zrušila.

Prevádzkovateľmi, ktorí musia podľa Nariadenia GDPR na základe svojho postavenia vymenovať zodpovednú osobu za dohľad nad ochranou osobných údajov sú
- orgány verejnej moci (napríklad obce alebo vyššie územné celky),
- verejnoprávne subjekty (inštitúcie); na tomto mieste si dovoľujem upozorniť, že tento pojem nie je v našom právnom systéme všeobecne definovaný (napríklad nevieme s istotou tvrdiť, že Slovenské národné divadlo je verejnoprávna inštitúcia).

Zodpovednú osobu za dohľad nad ochranou osobných údajov musia vymenovať aj prevádzkovatelia, ktorým to vyplýva zo spracúvania osobných údajov:
- ak hlavnými činnosťami prevádzkovateľa alebo sprostredkovateľa sú spracovateľské operácie, ktoré si vzhľadom na svoju povahu, rozsah a/alebo účely vyžadujú pravidelné a systematické monitorovanie dotknutých osôb vo veľkom rozsahu,
- ak hlavnými činnosťami prevádzkovateľa alebo sprostredkovateľa je spracúvanie osobitných kategórií údajov (rasový alebo etnický pôvod, politické názory, náboženské alebo filozofické presvedčenie, členstvo v odborových organizáciách, genetické údaje, biometrické údaje, údaje týkajúce sa zdravia, sexuálneho života, sexuálnej orientácie) vo veľkom rozsahu alebo spracúvanie osobných údajov týkajúcich sa uznania viny za trestné činy a priestupky.
Vo vyššie uvedených požiadavkách sa používajú pojmy, ktoré samé osebe nie sú jednoznačné a preto sa v sporných prípadoch treba riadiť stanoviskom (autentickým výkladom) pracovnej skupiny Európskej komisie Article 29 data protection working party skrátene „WP 29“ č. WP 243 z 13.12.2016 „Guidelines on Data Protection Officers (‘DPOs’)“.


2. Kvalifikácia zodpovednej osoby

Kvalifikácia zodpovednej osoby je určená najmä znalosťou odborných znalostí práva a postupov v oblasti ochrany údajov a spôsobilosťou plniť úlohy určené Nariadením GDPR a upresnené citovaným stanoviskom WP 29 (skrátene): poskytovanie informácií a poradenstva, monitorovanie súladu s GDPR, spolupráca so štátnym dozorným orgánom, plnenie úlohy kontaktného miesta pre dozorný orgán a pre dotknuté osoby, analýza a kontrola činností spracúvania osobných údajov, riadenie rizík, posudzovanie záruk, formulácia odporúčaní na zosúladenie, odborné stanovisko k povinnosti vypracovať „Posúdenie vplyvu na ochranu osobných údajov“ a metodika spracovania dokumentácie ochrany osobných údajov.

Nariadenie GDPR aj citované stanovisko WP 29 naviac zdôrazňujú prioritu nezávislosti zodpovednej osoby.