• Naše služby na mieru

      Vyberte si oblasť, s ktorou vám vieme pomôcť – rýchlo, spoľahlivo a odborne.

      Ochrana osobných údajov

      Kybernetická bezpečnosť

      Bezpečnosť práce

      Online poradca

      Šikana a kyberšikana

      Ochrana oznamovateľa

      Anonymizér dokumentov

      Segregácia

      Prehľad služieb

    • Riešenia prispôsobené pre váš segment

      Vyberte typ organizácie alebo podnikania a pozrite si riešenia šité na mieru.

      Obec

      Mesto

      Škola

      Školské zariadenie

      Zdravotníctvo

      Štátna správa

      E-shop

      Malý podnik

      Veľký podnik

      Iný subjekt

  • Referencie
  • EN
Konzultácia zdarma

FAQ: Môže byť zodpovedná osoba aj zamestnanec úradu?

Áno, zodpovedná osoba môže byť aj zamestnancom úradu. V praxi sa často stretávame so situáciou, kedy organizácia nemá kapacity na to, aby na funkciu zodpovednej osoby (v oblasti ochrany osobných údajov) poverila externého odborníka. Z tohto dôvodu sa zamestnávatelia prirodzene obracajú na interné kapacity – teda svojich vlastných zamestnancov. Jednou z otázok, ktoré často vyvstávajú, je, či sa tou zodpovednou osobou môže stať aj niekto, kto je priamo zamestnaný na úrade – či už ide o obecný, mestský, alebo iný verejný orgán. Tento článok podrobne vysvetľuje legislatívne požiadavky, výhody aj potenciálne riziká takejto praxe.

V nasledujúcich kapitolách si rozoberieme právne vymedzenie zodpovednej osoby podľa Nariadenia GDPR, prejdeme si podmienky, ktoré musí spĺňať, a vysvetlíme, ako sa táto funkcia dá zladiť s už existujúcimi pracovnými povinnosťami zamestnanca úradu. Taktiež sa zameriame na konflikt záujmov, nezávislosť výkonu funkcie a možné praktické príklady. Ak zvažujete vymenovať zodpovednú osobu spomedzi vlastných zamestnancov, tento článok vám poskytne podrobný pohľad na problematiku.

Právne vymedzenie zodpovednej osoby podľa GDPR

Funkcia zodpovednej osoby, tzv. DPO (Data Protection Officer), je ukotvená v článkoch 37 až 39 Nariadenia (EÚ) 2016/679 – všeobecného nariadenia o ochrane osobných údajov známeho ako GDPR. Zodpovedná osoba má byť expertom na ochranu osobných údajov a jej hlavným cieľom je:

  • Informovať a radiť prevádzkovateľovi alebo sprostredkovateľovi o jeho povinnostiach podľa GDPR.
  • Sledovať súlad so zákonmi, politikami a postupmi v oblasti ochrany údajov.
  • Poskytovať poradenstvo v súvislosti s posudzovaním vplyvu na ochranu údajov.
  • Pôsobiť ako kontaktná osoba pre Úrad na ochranu osobných údajov SR.

Z uvedeného vyplýva, že hlavnou úlohou DPO nie je spracovávať osobné údaje, ale dohliadať na to, aby ich spracúvanie prebiehalo v súlade s legislatívou.

Možnosť interného vymenovania zodpovednej osoby

GDPR výslovne neprikazuje, aby bola zodpovedná osoba externou entitou. Naopak, článok 37 ods. 6 umožňuje vymenovanie internej zodpovednej osoby, pokiaľ má zamestnanec odborné znalosti a je schopný funkciu plniť nezávisle. Z tohto dôvodu je úplne legitímne a bežné, že:

  • Zodpovedná osoba je priamo zamestnaná u prevádzkovateľa (napr. obce, mestského úradu či štátneho orgánu).
  • Funkciu zodpovednej osoby vykonáva popri inej pracovnej náplni, ak to neohrozuje jej nezávislosť.

Pre obecné a mestské úrady je teda často výhodné vymenovať interného zamestnanca, ktorý už má prehľad o vnútorných procesoch a môže efektívne dohliadať na súlad s GDPR.

Požiadavky na nezávislosť funkcie

Jednou z kľúčových podmienok je, že zodpovedná osoba musí byť schopná plniť svoje úlohy nezávislo a bez konfliktu záujmov. Znamená to:

  • Nesmie byť vo funkcii, ktorá rozhoduje o účeloch a prostriedkoch spracúvania osobných údajov.
  • Musí mať prístup k vedeniu organizácie a byť chránená pred postihom za výkon svojich povinností.
  • Nesmie mať iný úradný záujem, ktorý by mohol narúšať jej objektivitu.

V kontexte úradu to môže znamenať, že starosta obce, vedúci oddelenia IT alebo personalista by nemali byť zodpovednou osobou z dôvodu možného konfliktu záujmov. Naopak, zamestnanec oddelenia vnútornej kontroly môže byť vhodným kandidátom.

Výhody interného zodpovedného zamestnanca

Využitie interného zamestnanca ako zodpovednej osoby prináša viacero praktických výhod:

  • Nižšie náklady – odpadá potreba platiť externého experta alebo konzultačnú firmu.
  • Rýchlejšia interná komunikácia – zamestnanec už pozná procesy a ľudí v organizácii.
  • Možnosť pružného plánovania – pri zmene legislatívy môže okamžite reagovať a iniciovať úpravy politiky spracúvania údajov.

Aj napriek týmto výhodám je však potrebné zabezpečiť pravidelné školenia, zdroje a podporu, aby si zamestnanec zachoval požadovanú úroveň kvalifikácie.

Potenciálne riziká a ako im predchádzať

Interné poverenie síce môže byť praktické, no prináša aj možné úskalia, ktoré je potrebné zvážiť:

  • Nedostatok odbornosti – ak zamestnanec nemá skúsenosti s ochranou údajov, môže dôjsť k chybám.
  • Konflikt záujmov – ak zastáva paralelne inú funkciu, kde rozhoduje o spracovaní údajov.
  • Nedostatočná nezávislosť – ak sa nachádza pod tlakom nadriadených pri posudzovaní súladu s GDPR.

Predísť týmto rizikám možno:

  1. Prehodnotením organizačnej štruktúry pred vymenovaním DPO.
  2. Vytvorením vnútorného dokumentu, ktorý definuje zodpovednosti, právomoci a podmienky výkonu funkcie.
  3. Zabezpečením nezávislého prístupu k vedeniu a ochrany pred postihom (napr. diskrétnosť a dôvernosť).

Praktické príklady z praxe verejnej správy

V reálnej praxi sa stretávame s týmito schémami nasadenia DPO v úradoch:

  • Malé obce – často je zodpovedná osoba súčasne zamestnanec obecného úradu, napríklad pracovník sekretariátu.
  • Mestá – vymenúvajú zodpovednú osobu z oddelenia legislatívy alebo právneho oddelenia.
  • Štátne úrady – často volia kombinovaný model – interný zamestnanec s podporou externého konzultanta.

Všetky tieto prístupy môžu byť správne, ak sú dobre dokumentované a funkcia DPO je vykonávaná v súlade s pravidlami GDPR.

Odporúčania pre úrady pri výbere zodpovednej osoby

Pri výbere vhodného kandidáta na internú funkciu DPO úradom odporúčame:

  • Dôkladne posúdiť pracovnú náplň zamestnanca z hľadiska konfliktu záujmov.
  • Overiť, či má zamestnanec dostatočné vedomosti o GDPR a slovenskom zákone o ochrane osobných údajov.
  • Poskytnúť mu dostatočné prostriedky, čas a podporu na výkon jeho funkcie.
  • Pravidelne hodnotiť stav súladu s GDPR a aktualizovať interné metodiky.

Záver

Zodpovedná osoba môže byť aj zamestnancom úradu – a je to pomerne častá prax, najmä vo verejnej správe. Dôležité je však dodržať všetky požiadavky GDPR na odbornú spôsobilosť, nezávislosť a predchádzanie konfliktu záujmov. Zamestnanec, ktorý má prehľad o procesoch v rámci úradu, môže byť výborným kandidátom, ak má vytvorené vhodné podmienky – a ak sa jeho ďalšie pracovné povinnosti neprekrývajú s rozhodovacími právomocami v oblasti spracúvania údajov.

Ak si nie ste istí, neváhajte kontaktovať odborníkov v oblasti ochrany osobných údajov, prípadne Úrad na ochranu osobných údajov SR, ktorý vie poskytnúť oficiálne usmernenia k tejto téme.