Data protection officer – kto to je a čo bude jeho úlohou
V krajinách Európskej únie začne od 25. mája 2018 platiť nové nariadenie Európskej komisie, ktoré upravuje povinnosti firiem pri zbere a spracovaní osobných údajov spotrebiteľov. Nariadenie so skratkou GDPR pripravilo niekoľko zmien, ktoré musí podnik do daného dátumu implementovať v rámci svojich procesov. Jedným z nich je aj vytvorenie novej pracovnej pozície tzv. DPO – Data Protection Officer.
Pri procese zavádzania opatrení je DPO osobou, ktorá bude dohliadať na všetky procesy, týkajúce sa zberu a spracovania osobných údajov. Svetový pracovný trh predpokladá, že od zavedenia opatrení vznikne 20 až 30 tisíc pracovných miest, práve na túto pozíciu. Na trhu práce sa tak dopyt po DPO značne zvýši a pôjde o skutočne lukratívny „job“.
Kto je DPO a aké sú jeho úlohy?
Ako sme spomínali, pracovná pozícia DPO bude v podniku zodpovedať za zber a monitorovanie procesov pri spracovaní osobných údajov a manipulácii s nimi. DPO sa však stane tým zamestnancom, ktorý nesie plnú zodpovednosť za prípadný únik alebo nedodržanie pravidiel stanovených v novom nariadení GDPR.
Kompetencie, ktoré spadajú pod pracovnú pozíciu Data Protection Officer sú skutočne širokospektrálne. Monitorovanie všetkých procesov, ale i právnych predpisov je tou najdôležitejšou funkciou. Takisto poskytuje informácie klientom, ktorí novým nariadením získajú právo na množstvo informácií. Rovnako tak je Data Protection Officer osobou, ktorá komunikuje s Úradom pre ochranu osobných údajov. Takisto je úlohou DPO, aby školil zamestnancov, ktorí pracujú s osobnými údajmi alebo ich priamo zbierajú.
Firmy, ktoré musia angažovať DPO
Podľa novej smernice GDPR musí túto pracovnú pozíciu podnik obsadiť ak:
- spracúvanie vykonáva orgán verejnej moci alebo verejnoprávny subjekt,
- hlavnými spracovateľskými operáciami prevádzkovateľa alebo sprostredkovateľa sú manipulácie s „veľkým obsahom“ osobných dát dotknutých osôb,
- hlavnou činnosťou firmy či sprostredkovateľa je spracúvanie údajov týkajúcich sa uznania viny za trestné činy a priestupky.
Pre mnohé podniky je nejednoznačný pojem „veľký obsah“ osobných dát. Konkrétne GDPR samostatný pojem nedefinuje, avšak ku GDPR sú vydané tzv. metodické usmernenia, ktoré veľký obsah určujú. Ide ako o objem údajov, tak aj o počet položiek. Za veľký obsah sa považuje aj dĺžka archivovania osobných údajov (musí byť stanovená). Čo teda považovať za veľký obsah?
- Spracovanie údajov o pacientoch v nemocniciach.
- Spracovanie a registrácia osôb za pomoci údajov, napríklad v dopravných spoločnostiach.
- Spracovanie údajov o polohe v rámci konkrétnej aplikácie.
- Množstvo iných prípadov, ktoré sa týkajú aj internetových poskytovateľov služieb a aplikácií (Facebook, Instagram, Google, YouTube…).
Kvalitatívne znaky DPO zamestnanca
Obsadiť pracovnú pozíciu DPO môže byť zo začiatku pomerne zložité. Ide totiž o skutočne veľkú zodpovednosť a hrozba sankcií, ktoré hrozia pri nedodržaní smernice GDPR sú naozaj strašiakom.
Ideálne je teda obrátiť sa na osobu, ktorá sa pohybovala v oblasti informačných technológií a ešte konkrétnejšie v oblasti kybernetickej bezpečnosti. Potrebné je však orientovať sa aj v legislatíve a procesnom riadení tohto sektora. Logicky je pri takejto pozícii nutné, aby daná osoba disponovala hlavne zodpovednosťou, morálnou integritou a profesionalitou. Únik privátnych informácií, môže byť totiž likvidačný hlavne pre podnik. Túto pracovnú pozíciu nemusí automaticky zastávať zamestnanec firmy. Môže ísť takisto o externého zamestnanca, ktorý sa na základe zmluvy postará o všetky náležitosti spojené s ochranou osobných údajov. Dôvera v takúto osobu je dôležitá a podnik musí mať istotou, že informácie nebude šíriť či predávať iným osobám.
