Zodpovedné osoby podľa nariadenia GDPR

Inštitút zodpovednej osoby pritom nie je novinkou, ktorú prináša Nariadenie. Tento inštitút sa objavil už predtým v Smernici Európskeho parlamentu a Rady 95/46/ES z 24. októbra 1995 o ochrane fyzických osôb pri spracovaní osobných údajov a voľnom pohybe týchto údajov a svoje miesto má aj v ešte zatiaľ účinnom zákone č. 122/2013 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov (§ 23 a nasl.).

GDPR počíta so zodpovednou osobou ako s hlavným aktérom nového nastavania systému správy osobných údajov. Nariadenie v príslušných ustanoveniach (čl. 37 až čl. 39) ustanovuje:

• podmienky určenia zodpovednej osoby,
• postavenie zodpovednej osoby a
• úlohy, ktoré zodpovedná osoba plní.

Pracovná skupina pre ochranu osobných údajov vydala dokument, v ktorom zhrnula usmernenia týkajúce sa zodpovedných osôb, ktorý bol revidovaný v apríli 2017. Pracovná skupina je nezávislým európskym poradným orgánom pre ochranu údajov a súkromia.

Určenie zodpovednej osoby môže, podľa Pracovnej skupiny pre ochranu osobných údajov, uľahčiť dodržiavanie predpisov. Za dodržiavanie predpisov v oblasti ochrany osobných údajov však v konečnom dôsledku zodpovedá prevádzkovateľ alebo sprostredkovateľ.

Tento článok bližšie rozoberá po­vinnosť prevádzkovateľov a sprostredkovateľov mať zodpovednú osobu, poukazuje na jej postavenie a úlohy, ktoré má plniť.

Prevádzkovateľ

V zmysle článku 4 ods. 7 GDPR je prevádzkovateľom „fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt, ktorý sám alebo spoločne s inými určí účely a prostriedky spracúvania osobných údajov; v prípade, že sa účely a prostriedky tohto spracúvania stanovujú v práve Únie alebo v práve členského štátu, možno prevádzkovateľa alebo konkrétne kritériá na jeho určenie určiť v práve Únie alebo v práve členského štátu“.

V zásade sa definícia tohto pojmu nemení oproti zákonu č. 122/2013 Z. z. o ochrane osobných údajov. Aj naďalej platí, že prevádzkovateľom je tá osoba, ktorá rozhodla, že bude vykonávať určitú činnosť, ktorej neoddeliteľnou súčasťou je spracúvanie osobných údajov, a určila prostriedky ich spracúvania.

Spracúvanie osobných údajov za určitým účelom pritom môže byť určitému subjektu uložené priamo zákonom. Zaistiť určitú činnosť, ktorej neoddeliteľnou súčasťou je spracúvanie osobných údajov, je napr. uložené každému zamestnávateľovi (informačný systém personalistika a mzdy).

Určenie zodpovednej osoby

Podľa článku 37 ods. 1 Nariadenia prevádzkovateľ určí zodpovednú osobu v každom prípade, keď:

1. spracúvanie vykonáva orgán verejnej moci alebo verejnoprávny subjekt s výnimkou súdov pri výkone ich súdnej právomoci;
2. hlavnými činnosťami prevádzkovateľa alebo sprostredkovateľa sú spracovateľské operácie, ktoré si vzhľadom na svoju povahu, rozsah a/alebo účely vyžadujú pravidelné a systematické monitorovanie dotknutých osôb vo veľkom rozsahu; alebo
3. hlavnými činnosťami prevádzkovateľa alebo sprostredkovateľa je spracúvanie osobitných kategórií údajov podľa článku 9 vo veľkom rozsahu alebo spracúvanie osobných údajov týkajúcich sa uznania viny za trestné činy a priestupky podľa článku 10.

Pojem hlavné činnosti prevádzkovateľa

Článok 37 ods. 1 písm. b) aj c) odkazujú na „hlavné činnosti prevádzkovateľa“. V zmysle recitálu 97 nariadenia sa „v súkromnom sektore hlavné činnosti prevádzkovateľa týkajú jeho primárnych činností, a nie spracúvania osobných údajov ako vedľajšej činnosti. Potrebná úroveň odborných znalostí by sa mala určiť najmä v závislosti od vykonávaných operácií spracúvania údajov a od požadov