Portál určený zdravotníckym pracovníkom, právnikom a zamestnancom štátnych a verejných inštitúcií

Online časopis

Zodpovedná osoba a posúdenie vplyvu na spracovanie osobných údajov vo svetle GDPR

Dátum: Rubrika: Právo

Zodpovedná osoba alebo v skratke DPO (Data Protection Officer) je osoba, ktorá má za úlohu zabezpečiť dohľad nad ochranou osobných údajov pri spracúvaní osobných údajov u prevádzkovateľa alebo sprostredkovateľa. Inými slovami, má pomáhať prevádzkovateľom a sprostredkovateľom dodržiavať Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (Všeobecné nariadenie o ochrane údajov – GDPR) (ďalej len „Nariadenie“) pri spracúvaní osobných údajov.

Novinkou, ktorú prinieslo Nariadenie v súvislosti so zodpovednou osobou je stanovenie povinnosti pre vymedzené subjekty túto zodpovednú osobu ustanoviť. Obligatórne musí byť zodpovedná osoba ustanovená ak:

  1. Spracúvanie osobných údajov vykonáva orgán verejnej moci alebo verejnoprávny subjekt (napr. ministerstvá, obec, Národná banka Slovenska, Národný bezpečnostný úrad). Z tejto povinnosti Nariadenie vylučuje súdy pri výkone ich súdnej právomoci. Tieto subjekty majú povinnosť ustanoviť zodpovednú osobu bez ohľadu na to, aké kategórie alebo v akom rozsahu spracúvajú osobné údaje. Aj napriek tomu, že na súdoch je ustanovená zodpovedná osoba, bude z jej činnosti vyňatá oblasť výkonu súdnej právomoci vzhľadom na zachovanie nezávislosti súdnictva.
  2. Hlavnými činnosťami prevádzkovateľa alebo sprostredkovateľa sú spracovateľské operácie, ktoré si vzhľadom na svoju povahu, rozsah a/alebo účely vyžadujú pravidelné a systematické monitorovanie dotknutých osôb vo veľkom rozsahu.
    Všetky podmienky musia byť splnené súčasne, teda musí ísť o spracovateľské operácie predstavujúce hlavnú činnosť prevádzkovateľa, ktoré si vyžadujú vzhľadom na svoju povahu, rozsah a/alebo účely pravidelné a systematické monitorovanie dotknutých osôb a súčasne musí ísť o spracúvanie osobných údajov vo veľkom rozsahu. Hlavnou činnosťou prevádzkovateľa alebo sprostredkovateľa je jeho primárna činnosť, ktorou dosahuje svoj cieľ, zmysel prečo vôbec vznikol. Ako príklad môžeme uviesť nemocnicu, ktorá má za úlohu poskytovať zdravotnú starostlivosť, čo nemôže účinne vykonávať bez spracovania údajov týkajúcich sa zdravotného stavu pacientov. Spracovanie týchto údajov sa považuje za hlavnú činnosť. Ostatné činnosti, ako napríklad vedenie personálnej agendy alebo prevádzkovanie kamerového systému za účelom ochrany aktív nemocnice sú považované za vedľajšie činnosti.
    Medzi činnosti, ktoré pravidelne a systematicky monitorujú dotknutú osobu môžeme zaradiť napríklad sledovanie polohy mobilným zariadením. Treťou podmienkou, ktorá musí byť splnená, aby vznikla povinnosť ustanoviť zodpovednú osobu, je spracovanie osobných údajov veľkého rozsahu. Hneď na úvod je potrebné uviesť, že Nariadenie v tejto súvislosti pojem veľký rozsah nevymedzuje. Pri určovaní, či pôjde o veľký rozsah alebo nie, je potrebné zohľadniť niekoľko faktorov. Dôležité je zistiť počet dotknutých osôb, vyjadrený konkrétnym číslom alebo pomerom k príslušnému obyvateľstvu, objem spracúvaných osobných údajov, a v neposlednom rade aj geografický rozmer. Príkladom spracovania osobných údajov vo veľkom rozsahu môže byť činnosť bánk pri poskytovaní bežných služieb svojim klientom.
  3. Hlavnou činnosťou prevádzkovateľa alebo sprostredkovateľa je spracúvanie osobitných kategórií osobných údajov vo veľkom rozsahu alebo spracúvanie osobných údajov týkajúcich sa uznania viny za trestné činy a priestupky. Do osobitnej kategórie osobných údajov Nariadenie zaraďuje osobné údaje, ktoré odhaľujú rasový alebo etnický pôvod, politické názory, filozofické alebo náboženské presvedčenie, členstvo v odborovej organizácii, genetické údaje, biometrické údaje, údaje týkajúce sa zdravia, sexuálnej orientácie alebo sexuálneho života.
  4. Takáto požiadavka vyplýva z práva Únie alebo práva členského štátu.

V ostatných prípadoch Nariadenie nestanovuje povinnosť ustanoviť zodpovednú osobu a ponecháva rozhodnutie na zvážení každého prevádzkovateľa, resp. sprostredkovateľa. V praxi môže nastať aj situácia, že vo vzťahu prevádzkovateľa a sprostredkovateľa podmienku ustanoviť zodpovednú osobu naplní len jeden subjekt (len prevádzkovateľ alebo len sprostredkovateľ).

Tým chceme uviesť, že aj napriek vzťahu, ktorý medzi subjektmi existuje, neprenáša sa povinnosť ustanoviť zodpovednú osobu na druhú zmluvnú stranu. V prípade pochybnosti, či subjekt má povinnosť ustanoviť zodpovednú osobu, je potrebné vykonať hĺbkovú analýzu spracúvania osobných údajov. Do úvahy prichádza aj konzultácia s Úradom na ochranu osobných údajov ako dozorným orgánom.

Aké úlohy musí plniť zodpovedná osoba?

Nariadenie určuje minimálny rozsah úloh, ktoré musí zodpovedná osoba plniť. Medzi tieto úlohy patrí poskytovanie informácií a poradenstva prevádzkovateľovi alebo sprostredkovateľovi a jeho zamestnancom, ktorí pracujú s osobnými údajmi o ich povinnostiach vyplývajúcich im z Nariadenia a ostatných právnych predpisov Únie alebo členského štátu týkajúcich sa ochrany osobných údajov.

Ďalšou z úloh zodpovednej osoby je monitorovanie súladu s Nariadením, ostatnými právnymi predpismi Únie alebo členského štátu, ktoré sa týkajú ochrany osobných údajov a s pravidlami prevádzkovateľa alebo sprostredkovateľa v súvislosti s ochranou osobných údajov. Na tento účel poslúžia audity spracúvania osobných údajov.

Úlohou zodpovednej osoby je aj rozdeľovanie povinností medzi za

Pre zobrazenie článku nemáte dostatočné oprávnenia.

Odomknite si prístup k odbornému obsahu na portáli.
Prístup k obsahu portálu majú len registrovaní používatelia portálu. Pokiaľ ste už zaregistrovaný, stačí sa prihlásiť.

Ak ešte nemáte prístup k obsahu portálu, využite 10-dňovú demo licenciu zdarma (stačí sa zaregistrovať).



Bezplatný odpovedný servis pre predplatiteľov

Vaše otázky môžete zadať na www.otazkyodpovede.sk.

Seriály