GDPR – Zodpovedná osoba

Inštitút zodpovednej osoby je známy aj z momentálne platného zákona č. 122/2013 Z. z. o ochrane osobných údajov. V pôvodnom znení zákona z roku 2013 bolo poverenie zodpovednej osoby povinnosťou pre všetkých prevádzkovateľov, ktorí mali viac ako 20 oprávnených osôb,  t. j. zamestnancov pristupujúcich k osobným údajom. V novele z roku 2014 bola táto povinnosť zmenená na možnosť mať zodpovednú osobu. Nariadenie GDPR opäť zavádza povinnosť poveriť zodpovednú osobu, nie však pre všetkých prevádzkovateľov.

V ktorých prípadoch je nutné poveriť zodpovednú osobu hovorí článok 37 nariadenia GDPR. V návrhu slovenského zákona na ochranu osobných údajov je to §44. Prevádzkovateľ  a sprostredkovateľ sú povinní určiť zodpovednú osobu, ak:

1. spracúvanie osobných údajov vykonáva orgán verejnej moci alebo verejnoprávna inštitúcia, okrem súdov pri výkone ich súdnej právomoci,

■ Kritériom pre určenie či subjekt koná ako orgán verejnej moci je skutočnosť, či konkrétny subjekt rozhoduje o právach a povinnostiach iných osôb a tieto rozhodnutia sú štátnou mocou vynútiteľné, a či môže štát do týchto práv a povinností zasahovať. Príkladom orgánu verejnej moci sú obce, mestá, vyššie územné celky, ministerstvá, a patria k ním aj verejnoprávne inštitúcie ako univerzity.

2. hlavnými činnosťami prevádzkovateľa alebo sprostredkovateľa sú spracovateľské operácie, ktoré si vzhľadom na svoju povahu, rozsah, alebo účel vyžadujú pravidelné a systematické monitorovanie dotknutej osoby vo veľkom rozsahu,

■ Hlavná činnosť je taká činnosť, ktorá je primárnou aktivitou prevádzkovateľa. Je to činnosť, kvôli ktorej bol prevádzkovateľ založený a je jeho primárnou aktivitou a zmyslom jeho existencie.

■ Pod pojmom pravidelné a systematické monitorovanie sa myslí napríklad profilovanie na základe získaných osobných údajov v e-shopoch, sledovanie polohy na základe GPS, rôzne vernostné programy, monitorovanie zdravia a telesných procesov, behaviorálny marketing,t. j. komplexne sledované a analyzované správanie zákazníka s cieľom zvýšiť efektivitu marketingových aktivít, monitorovanie internetu prostredníctvom vecí alebo kamier.

■ Spracovanie vo veľkom rozsahu nie je explicitne dané. Existujú ale výkladové pomôcky pre určenie veľkého rozsahu, napr. počet dotknutých osôb v pomere k relevantnej populácii, rozsah celkových údajov zahrnutých do spracúvania, trvanie spracúvania, geografický rozsah aktivít.

3. hlavnými činnosťami prevádzkovateľa alebo sprostredkovateľa je aj spracúvanie osobitných kategórií osobných údajov vo veľkom rozsahu, alebo spracúvanie osobných údajov týkajúcich sa uznania viny za spáchanie trestného činu, alebo priestupku vo veľkom rozsahu.

■ Osobitnými kategóriami osobných údajov sú údaje, ktoré odhaľujú rasový alebo etnický pôvod, politické názory, náboženskú vieru, filozofické presvedčenie, členstvo v odborových organizáciách, genetické údaje, biometrické údaje, údaje týkajúce sa zdravia, údaje týkajúce sa sexuálneho života alebo sexuálnej orientácie fyzickej osoby.

Zodpovedná osoba môže byť zamestnancom prevádzkovateľa alebo sprostredkovateľa, alebo môže plniť úlohy na základe zmluvy t.j. externý konzultant, alebo firma.

Pozrite si:

Ochrana osobných údajov – pripravovaná novela podľa GDPR
GDPR – Zákonnosť spracúvania
GDPR – Oprávnený záujem
GDPR – Bezpečnosť osobných údajov