• Naše služby na mieru

      Vyberte si oblasť, s ktorou vám vieme pomôcť – rýchlo, spoľahlivo a odborne.

      Ochrana osobných údajov

      Kybernetická bezpečnosť

      Bezpečnosť práce

      Online poradca

      Šikana a kyberšikana

      Ochrana oznamovateľa

      Anonymizér dokumentov

      Segregácia

      Prehľad služieb

    • Riešenia prispôsobené pre váš segment

      Vyberte typ organizácie alebo podnikania a pozrite si riešenia šité na mieru.

      Obec

      Mesto

      Škola

      Školské zariadenie

      Zdravotníctvo

      Štátna správa

      E-shop

      Malý podnik

      Veľký podnik

      Iný subjekt

  • Referencie
  • EN
Konzultácia zdarma

FAQ: Bude podľa GDPR pivnnosťou ustanoviť zodpovednú osobu?

Ustanovenie zodpovednej osoby (DPO – Data Protection Officer) môže byť podľa GDPR povinnosťou, avšak nie pre každého prevádzkovateľa alebo sprostredkovateľa osobných údajov. Povinnosť ustanoviť zodpovednú osobu závisí od povahy, rozsahu a účelu spracúvania osobných údajov. V niektorých prípadoch je to zákonná požiadavka, v iných prípadoch len odporúčanie ako dobrá prax pri ochrane osobných údajov.

V tomto článku vo forme FAQ sa podrobne pozrieme na to, kedy a pre koho je určená povinnosť ustanoviť zodpovednú osobu podľa nariadenia GDPR (General Data Protection Regulation). Vysvetlíme rozdiely medzi jednotlivými subjektmi, špecifiká pravidiel, praktické rady a aj možné riziká neustanovenia DPO. Či už ste podnikateľ, úradník alebo vediete neziskovku, nájdete tu cenné informácie pre správne naplnenie vašich povinností v oblasti ochrany osobných údajov.

Kedy je povinnosť ustanoviť zodpovednú osobu podľa GDPR?

GDPR (nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679) uvádza konkrétne prípady, kedy je ustanovenie zodpovednej osoby zákonnou povinnosťou. Zodpovedná osoba je povinná v týchto troch prípadoch:

  • spracúvanie vykonáva verejný orgán alebo verejná inštitúcia, s výnimkou súdov, ktoré konajú vo svojej súdnej právomoci,
  • hlavné činnosti prevádzkovateľa/sprostredkovateľa spočívajú v spracúvaní osobných údajov, ktoré si z dôvodu ich povahy, rozsahu a/alebo účelu vyžaduje pravidelné a systematické monitorovanie dotknutých osôb vo veľkom rozsahu,
  • hlavné činnosti spočívajú v spracúvaní osobitných kategórií údajov alebo údajov o trestných činoch vo veľkom rozsahu.

Ak žiadna z týchto situácií nenastane, ustanovenie DPO nie je povinné, no aj tak môže byť odporúčané.

Kto nemusí ustanoviť zodpovednú osobu?

GDPR neukladá povinnosť ustanoviť zodpovednú osobu všetkým subjektom. Títo subjekty spravidla DPO povinne ustanovovať nemusia:

  • malé a stredné podniky, ktoré nespracúvajú údaje vo veľkom rozsahu a nevykonávajú systematické monitorovanie,
  • neziskové organizácie bez spracúvania citlivých osobných údajov,
  • samostatní živnostníci, ktorí údaje zbierajú len okrajovo a výlučne pre interné potreby,
  • spoločnosti, ktoré využívajú údaje len na obmedzené a presne určené účely (napr. vedenie účtovníctva pre zamestnancov).

V týchto prípadoch však GDPR odporúča zvážiť vymenovanie DPO dobrovoľne ako kvalitný nástroj na dodržiavanie ochrany osobných údajov.

Aké sú hlavné úlohy zodpovednej osoby?

Úloha zodpovednej osoby nie je len formálna. Je to kľúčová pozícia v oblasti ochrany údajov s presne definovanými povinnosťami. Medzi jej hlavné úlohy patria:

  • dohľad nad dodržiavaním GDPR v organizácii,
  • informovanie a poradenstvo pre vedenie a zamestnancov o povinnostiach v oblasti ochrany údajov,
  • vykonávanie auditov a kontrol spracúvania údajov,
  • spolupráca s Úradom na ochranu osobných údajov SR,
  • konzultácia pri posudzovaní vplyvov na ochranu údajov (DPIA),
  • dostupnosť ako kontaktný bod pre dotknuté osoby a regulátora.

Kto môže byť zodpovednou osobou a aké má mať kvalifikácie?

DPO môže byť interný zamestnanec alebo externá osoba či firma. Dôležité je dodržať nezávislosť a odbornú spôsobilosť. Požiadavky na zodpovednú osobu:

  • odborné znalosti legislatívy a praxe v oblasti ochrany údajov,
  • znalosť IT a bezpečnostných procesov,
  • schopnosť komunikovať s regulačnými orgánmi aj s verejnosťou,
  • nezávislosť v rozhodovaní (nesmie mať konflikt záujmov),
  • znalosti vnútorných procesov organizácie.

Je dôležité, aby DPO nebol v pozícii, kde rozhoduje o spracúvaní údajov – napríklad vedúci IT, HR alebo CEO by túto funkciu nemal vykonávať z dôvodu potenciálneho konfliktu záujmov.

Aké sú riziká a sankcie pri nesplnení povinnosti ustanoviť DPO?

GDPR stanovuje vysoké sankcie pri porušení jeho pravidiel. Ak subjekt, ktorý má zo zákona povinnosť vymenovať zodpovednú osobu, tak neurobí, môže čeliť:

  • ušlej dôvere klientov a obchodných partnerov,
  • pokutám až do výšky 10 miliónov EUR alebo 2 % z ročného obratu – podľa toho, čo je vyššie,
  • reputačnému riziku a negatívnej publicite,
  • kontrole zo strany Úradu na ochranu osobných údajov SR a nariadeniu nápravných opatrení.

V prípade súkromného sektora môže mať ustanovenie alebo neustanovenie DPO taktiež vplyv na získavanie verejných zákaziek alebo obchodných partnerov (najmä v verejno-súkromných partnerstvách).

Kto vykonáva kontrolu dodržiavania povinností v oblasti určovania DPO?

V Slovenskej republike dohľad nad dodržiavaním GDPR vykonáva Úrad na ochranu osobných údajov SR. Tento orgán má právomoc:

  • kontrolovať plnenie povinností GDPR vrátane konkrétnej otázky určovania DPO,
  • pristúpiť k vydaniu nápravných opatrení,
  • uložiť sankcie podľa závažnosti zistení,
  • verejne publikovať zistenia v prípadoch porušení doložených úradom.

Preto je dôležité mať aktuálnu dokumentáciu, rozhodnutie o neustanovení DPO (ak nie je povinnosť), a dôvody tohto rozhodnutia zapísané v interných záznamoch.

Odporúčania pre prax: ako postupovať pri rozhodovaní o ustanovení DPO

Ak si nie ste istí, či musíte ustanoviť zodpovednú osobu, odporúčame dodržať nasledujúci proces:

  1. Posúďte rozsah a povahu spracúvania údajov – existuje systematické monitorovanie? Spracúvate citlivé údaje?
  2. Vypracujte písomné hodnotenie – prečo (ne)bude DPO ustanovený?
  3. Koná vaša inštitúcia ako verejný orgán? Potom väčšinou musí DPO určiť.
  4. Porovnajte s usmerneniami EDPB (Európsky výbor pre ochranu údajov)
  5. V prípade neistoty sa poraďte s odborníkom alebo sa obráťte na regulačný úrad.

Dobré rozhodnutie a transparentná dokumentácia vám zabezpečí nielen právnu istotu, ale aj dôveru verejnosti.

Záver: Je teda povinnosť ustanoviť zodpovednú osobu?

Áno, ale iba v zákonom presne stanovených prípadoch. Väčšina verejných inštitúcií túto povinnosť má, rovnako ako aj firmy alebo organizácie, ktoré spracúvajú citlivé dáta vo veľkom. Pre ostatných to nie je povinné, ale môže ísť o významný nástroj na posilnenie dôveryhodnosti a správneho riadenia ochrany osobných údajov.

Dôležité je nie len vedieť, či musíte DPO ustanoviť, ale aj vedieť správne zdôvodniť, ak sa tak nerozhodnete. Práve dôsledný a informovaný prístup k tejto otázke je znakom zodpovedného spravovania osobných údajov v súlade s GDPR.