Zodpovednú osobu musíte určiť, ak ste orgán verejnej moci, ak vaše hlavné činnosti zahŕňajú rozsiahle a systematické monitorovanie osôb, alebo ak rozsiahlo spracúvate osobitné kategórie údajov (čl. 37 GDPR). V ostatných prípadoch je dobrovoľná. Môže byť interná alebo externá, podstatné je, aby mala odborné znalosti, nezávislé postavenie a žiadny konflikt záujmov.

Obsah

Firma sa dopočuje o zodpovednej osobe a urobí jednu z dvoch vecí. Buď túto rolu automaticky pridelí niekomu, kto už má „niečo s počítačmi alebo s ľuďmi“, teda vedúcemu IT, personalistke alebo rovno konateľovi. Alebo mávne rukou so slovami „to je len pre veľké firmy, nás sa to netýka“. Obe cesty bývajú chyba a obe pramenia z nepochopenia, čo zodpovedná osoba vlastne je.

Zodpovedná osoba (po anglicky Data Protection Officer, DPO) nie je titul, ktorý pridelíte niekomu k jeho práci. Je to rola s presnými podmienkami: musí byť odborná, nezávislá a nesmie byť v konflikte záujmov. A povinnosť mať ju sa neriadi tým, akí ste veľkí, ale tým, čo robíte. Zle obsadená zodpovedná osoba je pritom horšia než žiadna, lebo vytvára zdanie súladu, ktoré pri kontrole spľasne.

Kedy musíte mať zodpovednú osobu?

GDPR vymenúva tri situácie, v ktorých je zodpovedná osoba povinná. Prvou je, ak spracúvanie vykonáva orgán verejnej moci alebo verejnoprávny subjekt. Úrady a organizácie verejnej správy teda zodpovednú osobu majú vždy. Druhou je, ak vaše hlavné činnosti spočívajú v operáciách, ktoré si vyžadujú rozsiahle a systematické monitorovanie dotknutých osôb. Treťou je, ak vaše hlavné činnosti spočívajú v rozsiahlom spracúvaní osobitných kategórií údajov, teda citlivých údajov o zdraví, biometrii a podobne.

Kľúčové slová sú „hlavné činnosti“ a „rozsiahle“. Ak je spracúvanie osobných údajov len sprievodným javom vášho podnikania, napríklad bežná mzdová a zákaznícka agenda výrobnej firmy, povinnosť vám zvyčajne nevzniká. Ak je ale spracúvanie a monitorovanie ľudí jadrom toho, čím sa živíte, alebo pracujete vo veľkom s citlivými údajmi, povinnosť je namieste. V hraničných prípadoch sa oplatí posúdenie zdokumentovať, aby ste vedeli preukázať, prečo ste zodpovednú osobu určili alebo neurčili.

Čo zodpovedná osoba reálne robí?

Tu je ďalší rozšírený omyl: že zodpovedná osoba je ten, kto „za GDPR zodpovedá“, a keď sa niečo pokazí, je to jej problém. Nie je to tak. Zodpovednosť za súlad s GDPR nesie vždy prevádzkovateľ, teda vedenie firmy. Zodpovedná osoba je odborný poradca a dohliadateľ, nie hromozvod.

GDPR jej úlohy vymenúva jasne. Informuje a radí prevádzkovateľovi aj zamestnancom o ich povinnostiach. Monitoruje dodržiavanie GDPR vo firme. Poskytuje poradenstvo pri posúdení vplyvu na ochranu údajov, čiže pri DPIA. Spolupracuje s dozorným orgánom a je preň kontaktným bodom, rovnako je kontaktným bodom pre dotknuté osoby pri uplatňovaní ich práv. Je to teda rola, ktorá kombinuje odbornosť, dohľad a komunikáciu, nie výkonná funkcia, ktorá by za firmu robila jej rozhodnutia.

Aké postavenie musí mať?

Toto je časť, ktorú firmy najčastejšie podcenia, a pritom rozhoduje o tom, či je zodpovedná osoba platná, alebo len na papieri. GDPR žiada, aby bola zapojená do všetkých vecí ochrany údajov včas, aby mala na svoju prácu zdroje a najmä aby bola nezávislá. Nezávislosť znamená, že jej nikto nesmie dávať pokyny, ako má svoje úlohy plniť, nesmie byť za ich výkon postihovaná a má reportovať najvyššiemu vedeniu.

S tým súvisí zákaz konfliktu záujmov, ktorý je v praxi najčastejším kameňom úrazu. Zodpovednou osobou nemôže byť ten, kto zároveň rozhoduje o účeloch a prostriedkoch spracúvania, lebo by kontroloval sám seba. V praxi to znamená, že to spravidla nemôže byť konateľ, vedúci IT, personálny ani marketingový riaditeľ. Práve preto automatické pridelenie tejto roly „šéfovi IT“ býva chyba, ktorá zodpovednú osobu robí neplatnou.

Interná verzus externá zodpovedná osoba

GDPR výslovne pripúšťa, že zodpovedná osoba môže byť váš zamestnanec alebo externý dodávateľ na základe zmluvy. Obe cesty majú svoje pre a proti a nie je univerzálne správna odpoveď.

Interná zodpovedná osoba pozná firmu zvnútra a je stále po ruke. Naráža ale na dve prekážky: musíte nájsť niekoho bez konfliktu záujmov, čo v malej firme býva ťažké, a musíte ho vyškoliť a priebežne vzdelávať, keďže ochrana údajov sa vyvíja. Externá zodpovedná osoba prináša odbornosť a nezávislosť od prvého dňa, nemá konflikt záujmov a pre menšie firmy a organizácie býva nákladovo výhodnejšia než udržiavanie internej kapacity. Jej limitom je, že firmu musí najskôr spoznať a nie je fyzicky prítomná každý deň.

Z praxe externej zodpovednej osoby vidím, že práve pre firmy a organizácie, ktorým povinnosť vzniká, ale nemajú objem na vlastné oddelenie, býva externé riešenie najrozumnejšie: dostanú odbornosť a nezávislosť bez toho, aby museli budovať a školiť internú rolu, ktorá by aj tak väčšinu času nebola plne vyťažená.

Ako sa rozhodnúť

Nezačínajte otázkou „koho tým poveríme“, ale otázkou „vzniká nám povinnosť a ak áno, kto ju môže vykonávať bez konfliktu záujmov“. Najprv teda posúďte, či do niektorého z troch prípadov spadáte, a posúdenie si zapíšte. Ak povinnosť vzniká, prejdite ľudí vo firme a čestne si priznajte, kto z nich nie je v konflikte záujmov a má na to odbornosť a čas. Ak taký človek nie je, čo je v menších firmách bežné, je namieste zvážiť externé riešenie.

Zvyčajne tu zaznie námietka: „veď stačí niekoho menovať a máme to splnené“. Lenže samotné menovanie nie je splnenie povinnosti. Ak menovaná osoba nie je nezávislá, je v konflikte záujmov alebo nemá odbornosť, úrad ju neuzná a vy máte falošný pocit súladu. Lepšie žiadna zodpovedná osoba tam, kde nie je povinná, než zle obsadená tam, kde má byť poriadne.

Ak potrebujete posúdiť, či vám povinnosť vzniká, alebo hľadáte externú zodpovednú osobu bez konfliktu záujmov, presne toto pre firmy a organizácie robíme. Vašu situáciu posúdime a prípadne prevezmeme rolu zodpovednej osoby za vás. Viac informácií nájdete na našej stránke o ochrane osobných údajov. Celý rámec GDPR pre firmy a organizácie sme zhrnuli v úvodnom článku série.

Časté otázky

Kedy musí firma mať zodpovednú osobu (DPO)?

Ak je orgánom verejnej moci, ak jej hlavné činnosti zahŕňajú rozsiahle a systematické monitorovanie osôb, alebo ak rozsiahlo spracúva osobitné kategórie údajov (čl. 37 GDPR). V ostatných prípadoch je zodpovedná osoba dobrovoľná.

Môže byť zodpovednou osobou konateľ alebo vedúci IT?

Spravidla nie. Zodpovednou osobou nemôže byť ten, kto rozhoduje o účeloch a prostriedkoch spracúvania, lebo by bol v konflikte záujmov. Týka sa to najmä konateľa, vedúceho IT, personálneho a marketingového riaditeľa.

Aký je rozdiel medzi internou a externou zodpovednou osobou?

Interná pozná firmu a je stále dostupná, ale musí byť bez konfliktu záujmov a treba ju školiť. Externá prináša odbornosť a nezávislosť od začiatku a pre menšie firmy býva lacnejšia, no firmu musí najprv spoznať.

Zodpovedá DPO za porušenia GDPR vo firme?

Nie. Za súlad s GDPR zodpovedá prevádzkovateľ, teda vedenie firmy. Zodpovedná osoba radí, monitoruje a komunikuje s úradom, ale nie je výkonným rozhodovateľom ani nositeľom právnej zodpovednosti za firmu.