• Riešenia prispôsobené pre váš segment

      Vyberte typ organizácie alebo podnikania a pozrite si riešenia šité na mieru.

  • Referencie
  • EN

Môže byť zodpovedná osoba aj zamestnanec úradu?

Áno, zodpovedná osoba môže byť aj zamestnancom úradu. V praxi sa často stretávame so situáciou, kedy organizácia nemá kapacity na to, aby na funkciu zodpovednej osoby (v oblasti ochrany osobných údajov) poverila externého odborníka. Z tohto dôvodu sa zamestnávatelia prirodzene obracajú na interné kapacity – teda svojich vlastných zamestnancov. Jednou z otázok, ktoré často vyvstávajú, je, či sa tou zodpovednou osobou môže stať aj niekto, kto je priamo zamestnaný na úrade – či už ide o obecný, mestský, alebo iný verejný orgán. Tento článok podrobne vysvetľuje legislatívne požiadavky, výhody aj potenciálne riziká takejto praxe.

V nasledujúcich kapitolách si rozoberieme právne vymedzenie zodpovednej osoby podľa Nariadenia GDPR, prejdeme si podmienky, ktoré musí spĺňať, a vysvetlíme, ako sa táto funkcia dá zladiť s už existujúcimi pracovnými povinnosťami zamestnanca úradu. Taktiež sa zameriame na konflikt záujmov, nezávislosť výkonu funkcie a možné praktické príklady. Ak zvažujete vymenovať zodpovednú osobu spomedzi vlastných zamestnancov, tento článok vám poskytne podrobný pohľad na problematiku.

Právne vymedzenie zodpovednej osoby podľa GDPR

Funkcia zodpovednej osoby, tzv. DPO (Data Protection Officer), je ukotvená v článkoch 37 až 39 Nariadenia (EÚ) 2016/679 – všeobecného nariadenia o ochrane osobných údajov známeho ako GDPR. Zodpovedná osoba má byť expertom na ochranu osobných údajov a jej hlavným cieľom je:

  • Informovať a radiť prevádzkovateľovi alebo sprostredkovateľovi o jeho povinnostiach podľa GDPR.
  • Sledovať súlad so zákonmi, politikami a postupmi v oblasti ochrany údajov.
  • Poskytovať poradenstvo v súvislosti s posudzovaním vplyvu na ochranu údajov.
  • Pôsobiť ako kontaktná osoba pre Úrad na ochranu osobných údajov SR.

Z uvedeného vyplýva, že hlavnou úlohou DPO nie je spracovávať osobné údaje, ale dohliadať na to, aby ich spracúvanie prebiehalo v súlade s legislatívou.

Možnosť interného vymenovania zodpovednej osoby

GDPR výslovne neprikazuje, aby bola zodpovedná osoba externou entitou. Naopak, článok 37 ods. 6 umožňuje vymenovanie internej zodpovednej osoby, pokiaľ má zamestnanec odborné znalosti a je schopný funkciu plniť nezávisle. Z tohto dôvodu je úplne legitímne a bežné, že:

  • Zodpovedná osoba je priamo zamestnaná u prevádzkovateľa (napr. obce, mestského úradu či štátneho orgánu).
  • Funkciu zodpovednej osoby vykonáva popri inej pracovnej náplni, ak to neohrozuje jej nezávislosť.

Pre obecné a mestské úrady je teda často výhodné vymenovať interného zamestnanca, ktorý už má prehľad o vnútorných procesoch a môže efektívne dohliadať na súlad s GDPR.

Požiadavky na nezávislosť funkcie

Jednou z kľúčových podmienok je, že zodpovedná osoba musí byť schopná plniť svoje úlohy nezávislo a bez konfliktu záujmov. Znamená to:

  • Nesmie byť vo funkcii, ktorá rozhoduje o účeloch a prostriedkoch spracúvania osobných údajov.
  • Musí mať prístup k vedeniu organizácie a byť chránená pred postihom za výkon svojich povinností.
  • Nesmie mať iný úradný záujem, ktorý by mohol narúšať jej objektivitu.

V kontexte úradu to môže znamenať, že starosta obce, vedúci oddelenia IT alebo personalista by nemali byť zodpovednou osobou z dôvodu možného konfliktu záujmov. Naopak, zamestnanec oddelenia vnútornej kontroly môže byť vhodným kandidátom.

Výhody interného zodpovedného zamestnanca

Využitie interného zamestnanca ako zodpovednej osoby prináša viacero praktických výhod:

  • Nižšie náklady – odpadá potreba platiť externého experta alebo konzultačnú firmu.
  • Rýchlejšia interná komunikácia – zamestnanec už pozná procesy a ľudí v organizácii.
  • Možnosť pružného plánovania – pri zmene legislatívy môže okamžite reagovať a iniciovať úpravy politiky spracúvania údajov.

Aj napriek týmto výhodám je však potrebné zabezpečiť pravidelné školenia, zdroje a podporu, aby si zamestnanec zachoval požadovanú úroveň kvalifikácie.

Potenciálne riziká a ako im predchádzať

Interné poverenie síce môže byť praktické, no prináša aj možné úskalia, ktoré je potrebné zvážiť:

  • Nedostatok odbornosti – ak zamestnanec nemá skúsenosti s ochranou údajov, môže dôjsť k chybám.
  • Konflikt záujmov – ak zastáva paralelne inú funkciu, kde rozhoduje o spracovaní údajov.
  • Nedostatočná nezávislosť – ak sa nachádza pod tlakom nadriadených pri posudzovaní súladu s GDPR.

Predísť týmto rizikám možno:

  1. Prehodnotením organizačnej štruktúry pred vymenovaním DPO.
  2. Vytvorením vnútorného dokumentu, ktorý definuje zodpovednosti, právomoci a podmienky výkonu funkcie.
  3. Zabezpečením nezávislého prístupu k vedeniu a ochrany pred postihom (napr. diskrétnosť a dôvernosť).

Praktické príklady z praxe verejnej správy

V reálnej praxi sa stretávame s týmito schémami nasadenia DPO v úradoch:

  • Malé obce – často je zodpovedná osoba súčasne zamestnanec obecného úradu, napríklad pracovník sekretariátu.
  • Mestá – vymenúvajú zodpovednú osobu z oddelenia legislatívy alebo právneho oddelenia.
  • Štátne úrady – často volia kombinovaný model – interný zamestnanec s podporou externého konzultanta.

Všetky tieto prístupy môžu byť správne, ak sú dobre dokumentované a funkcia DPO je vykonávaná v súlade s pravidlami GDPR.

Odporúčania pre úrady pri výbere zodpovednej osoby

Pri výbere vhodného kandidáta na internú funkciu DPO úradom odporúčame:

  • Dôkladne posúdiť pracovnú náplň zamestnanca z hľadiska konfliktu záujmov.
  • Overiť, či má zamestnanec dostatočné vedomosti o GDPR a slovenskom zákone o ochrane osobných údajov.
  • Poskytnúť mu dostatočné prostriedky, čas a podporu na výkon jeho funkcie.
  • Pravidelne hodnotiť stav súladu s GDPR a aktualizovať interné metodiky.

Záver

Zodpovedná osoba môže byť aj zamestnancom úradu – a je to pomerne častá prax, najmä vo verejnej správe. Dôležité je však dodržať všetky požiadavky GDPR na odbornú spôsobilosť, nezávislosť a predchádzanie konfliktu záujmov. Zamestnanec, ktorý má prehľad o procesoch v rámci úradu, môže byť výborným kandidátom, ak má vytvorené vhodné podmienky – a ak sa jeho ďalšie pracovné povinnosti neprekrývajú s rozhodovacími právomocami v oblasti spracúvania údajov.

Ak si nie ste istí, neváhajte kontaktovať odborníkov v oblasti ochrany osobných údajov, prípadne Úrad na ochranu osobných údajov SR, ktorý vie poskytnúť oficiálne usmernenia k tejto téme.

Neriskujte pokutu až 10 000 €. Pomôžeme vám vypracovať smernicu NIS 2 pre vašu organizáciu alebo firmu. Bude si to vyžadovať 30 min vášho času a ani nemusíte nikam cestovať.

Akciová ponuka do 20. 2. 2026

Implementácia smernice NIS 2
15 EUR
20,00 EUR / mesiac

Často kladené otázky

Čo je phone scam?

Úvod Telefónny podvod, známy tiež ako „phone scam,“ je čoraz bežnejší spôsob, akým sa podvodníci snažia získať osobné údaje alebo peňažné prostriedky od ľudí. Využívajú pri tom telefónne hovory alebo textové správy, ktoré sa môžu zdať dôveryhodné, avšak ich skutočným cieľom je podviesť obeť. Podvodníci sa často vydávajú za autority, ako sú banky, vládne inštitúcie […]

Zobraziť celú odpoveď

Čo je USB-borne attack?

**Čo je USB-borne attack?** USB-borne attack, alebo útok prenosom cez USB, je bezpečnostná hrozba, ktorá využíva USB zariadenie na šírenie škodlivého softvéru alebo na zneužitie systému. Tieto útoky patria medzi najstaršie a najrozšírenejšie metódy kybernetických útokov, pretože USB zariadenia sú bežne používané na prenos dát medzi počítačmi. Útočníci môžu manipulovať s USB zariadeniami tak, aby […]

Zobraziť celú odpoveď

Čo je to kybernetický útok DNS spoofing?

Čo je to kybernetický útok DNS spoofing? DNS spoofing je jednou z foriem kybernetických útokov, ktorá sa zameriava na kompromitovanie systému doménových mien (DNS), ktorý slúži ako „internetové telefónne zoznamy“. Vďaka DNS prebieha preklad doménových mien ako „www.priklad.sk“ na IP adresy, ktoré sú pre počítače zrozumiteľné. DNS spoofing umožňuje útočníkovi manipulovať s odpoveďami DNS serverov, […]

Zobraziť celú odpoveď

Čo je to kybernetický útok XSS (Cross-site scripting)?

Čo je to kybernetický útok XSS (Cross-site scripting)? XSS (Cross-site Scripting) je druh kybernetického útoku, ktorý sa využíva na vloženie škodlivého kódu do webových aplikácií. Útočníci môžu takto manipulovať s webovým obsahom, ukradnúť údaje alebo vykonať iné škodlivé aktivity. Hoci sa tento útok môže zdať jednoduchý, jeho dôsledky môžu byť významné a zasiahnuť používateľov i […]

Zobraziť celú odpoveď

Čo je pharming?

Pharming je relatívne nový druh kybernetického podvodu, ktorý ohrozuje bezpečnosť používateľov internetu. Je to technika, ktorá útočníkom umožňuje presmerovať legitímny webový prenos na falošné webové stránky. Tieto podvodné stránky často vyzerajú takmer identicky ako pôvodné stránky, čo znamená, že neopatrní používatelia môžu nevedomky zadať svoje osobné údaje, heslá a iné citlivé informácie, ktoré potom útočníci […]

Zobraziť celú odpoveď