Pripravované zmeny v ochrane osobných údajov – zodpovedná osoba

Nariadenie Európskeho parlamentu 2016/679 o ochrane fyzických osôb pri spracúvaní osobných údajov opäť zavádza povinnosť mať zodpovednú osobu. Kým v pôvodnom zákone č. 122 o ochrane osobných údajov z roku 2013 táto povinnosť platila podľa počtu oprávnených osôb, t.j. zamestnancov pristupujúcich k osobným údajom, teraz je taxatívne vymenované koho sa to týka, bez ohľadu na počet zamestnancov.

Prevádzkovateľ a sprostredkovateľ určia zodpovednú osobu v každom prípade, keď:

■ spracúvanie vykonáva orgán verejnej moci alebo verejnoprávny subjekt,

■ hlavnými činnosťami prevádzkovateľa alebo sprostredkovateľa sú spracovateľské operácie, ktoré si vzhľadom na svoju povahu, rozsah a/alebo účely vyžadujú pravidelné a systematické monitorovanie dotknutých osôb vo veľkom rozsahu,

■ hlavnými činnosťami prevádzkovateľa alebo sprostredkovateľa je spracúvanie osobitných kategórií údajov vo veľkom rozsahu.

Koho sa to bude konkrétne týkať? Budú to hlavne orgány verejnej správy alebo samosprávy, t.j. vyššie územné celky, mestá, obce a subjekty v ich zriaďovateľskej pôsobnosti, bez ohľadu na to, aké osobné údaje spracúvajú. Taktiež by sa to malo týkať veľkých spoločností, ktoré monitorujú zamestnancov a majú v personálnych a mzdových agendách rodné čísla, prípadne iné osobné údaje osobitnej kategórie (napr. členstvo v odborovej organizácií).

Dôležité bude to, ako sa zadefinuje pojem „vo veľkom rozsahu“, ktorý v nariadení nie je definovaný. Časom by sa mal vytvoriť štandard, na základe ktorého sa bude vedieť objektívnym a kvantitatívnym spôsobom určiť čo znamená „vo veľkom rozsahu“ vo vzťahu k určitým bežným spracovateľským činnostiam. Taktiež pojem „pravidelné a systematické monitorovanie dotknutých osôb“ nie je v nariadení presne definovaný, ale určite zahŕňa všetky formy sledovania (tracking) a profilovania na internete, cielenú reklamu, kamerové systémy alebo monitorovania áut prostredníctvom GPS zariadení. Pojem monitorovanie však nie je obmedzený len na online prostredie a online sledovanie.

Čo sa týka samotnej zodpovednej osoby, tak tá musí disponovať odbornými kvalitami v oblasti ochrany osobných údajov a spôsobilosťou plniť úlohy zodpovednej osoby podľa nariadenia. Oproti terajšiemu zákonu ale odpadá povinnosť absolvovania skúšky na úrade. Notifikačná povinnosť voči úradu ostala zachovaná. Zodpovednou osobou môže byť aj právnická osoba, pokiaľ sa zaručí identifikovanie jednej určenej osoby zodpovednej za spracúvanie osobných údajov u konkrétneho prevádzkovateľa.

Viac informácii nájdete v tomto dokumente.

Pozrite si:

Ochrana osobných údajov – pripravovaná novela
Pripravované zmeny v ochrane osobných údajov – zákonnosť spracúvania