Ochrana osobných údajov – zodpovedná osoba

Zákon 428/2002 Z. z. špecifikuje v §19 pojem „zodpovedná osoba“. Podľa znenia zákona musí každá firma alebo organizácia, ktorá má viac ako 5 zamestnancov, poveriť osobu, ktorá bude zodpovedná za ochranu osobných údajov. Prax je taká, že sa touto funkciou poverí zamestnanec personálneho oddelenia alebo oddelenia informatiky. Často sa stáva, že tento zamestnanec nie je znalý litery daného zákona a nevie, akú zodpovednosť na seba preberá. Povinností vyplývajúcich zo zákona nie je málo. O čo sa vlastne zodpovedná osoba musí starať a čo musí zabezpečiť?

Jednou zo základných povinností je získanie všetkých relevantných údajov o informačnom systéme, v ktorom sa budú alebo sa už spracovávajú osobné údaje a posúdenie ich zabezpečenia. Tieto informácie by zodpovednej osobe mali poskytnúť zamestnanci informatiky alebo externej audítorskej firmy prostredníctvom rizikovej analýzy, ktorá je súčasťou bezpečnostného projektu. So zabezpečením dát v informačných systémoch súvisí aj havarijné plánovanie a plány obnovy informačných systémov pri rôznych výpadkoch a haváriách. Pokiaľ zodpovedná osoba nie je informatikom, bude túto činnosť ťažko vykonávať. Ako zodpovedná osoba by mala však mať minimálne prehľad o existencii a aktuálnosti príslušných dokumentov a zabezpečovať súčinnosť s kompetentnými zamestnancami. Tu môže byť okrem oddelenia informatiky nápomocná špecializovaná externá firma.

S ochranou osobných údajov v informačných systémoch bezprostredne súvisí vypracovanie bezpečnostného projektu. Zodpovedná osoba nemusí tento projekt vypracovať, ale musí zabezpečiť jeho interné alebo externé vypracovanie. Túto činnosť je vhodné prenechať externej firme. Nie z dôvodu, že by to interní zamestnanci nezvládli, ale externá firma má na dianie vo firme alebo organizácii iný pohľad a veľakrát vidí veci, ktoré interní zamestnanci už automaticky prehliadajú. Externá firma dokáže aj vhodne usmerniť pri naštartovaní a zavádzaní bezpečnostnej politiky, nakoľko bezpečnostný projekt nie je ukončením činností smerujúcich k zabezpečeniu osobných údajov ale naopak, ich začiatkom. Táto činnosť je potom zavŕšená pravidelným auditom informačnej bezpečnosti a bezpečnostného projektu. Audit sa odporúča vykonať raz za 2-3 roky alebo po zmene IT infraštruktúry či informačného systému.

Ďalšou povinnosťou je zabezpečenie vzdelávania zamestnancov, a to nielen v oblasti ochrany osobných údajov, ale aj v oblasti informačnej bezpečnosti. Vzdelávaním zamestnancov môžeme preniesť zodpovednosť za informačnú bezpečnosť a ochranu osobných a citlivých údajov priamo na nich. Pokiaľ zamestnanci nebudú vedieť ako sa majú bezpečne správať za počítačom a na internete a nebudú mať aspoň základné povedomie o ochrane údajov a svojej identity, tak toto prenesenie zodpovednosti bude len ťažko realizovateľné. Zodpovedná osoba by mala zabezpečiť preškolenie zamestnancov aspoň raz za dva roky. Tu tiež môže byť nápomocná externá firma, ktorá školenie po obsahovej stránke zrealizuje.

Okrem týchto činností, patrí k povinnostiam zodpovednej osoby zabezpečovať styk s Úradom na ochranu osobných údajov, komunikácia s dotknutými osobami t.j. osobami, ktorých osobné údaje sa spracovávajú a administratívna činnosť okolo tejto agendy.

Kto je teda najvhodnejší na post zodpovednej osoby? Ako už bolo na začiatku spomenuté, väčšinou sú to buď zamestnanci personálneho oddelenia alebo zamestnanci informatiky. Najmenej vhodní sú zamestnanci informatiky. Majú síce najviac čo dočinenia so zabezpečením osobných údajov pri ich spracovávaní, ale mnoho krát nevedia, aké osobné údaje sa v informačných systémoch nachádzajú. Z tohto hľadiska sú lepšou voľbou zamestnanci personalistiky, hlavne na vedúcich postoch (ako napríklad riaditeľ pre riadenie ľudských zdrojov alebo prednosta úradu v samospráve). Len človek na riadiacom poste vie zaručiť, že informačná bezpečnosť bude fungovať tak ako má a jeho nariadenia a odporúčania budú akceptované.