Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov), ktoré nadobudne účinnosť 25. mája 2018 (ďalej len "Nariadenie" alebo "GDPR") ustanovuje určitým prevádzkovateľom povinnosť určiť zodpovednú osobu.
Inštitút zodpovednej osoby podľa nového nariadenia o ochrane údajov
JUDr.
Tatiana
Mičudová
Inštitút zodpovednej osoby
pritom nie je žiadna novinka. Tento inštitút sa objavil už v Smernici Európskeho parlamentu a Rady 95/46/ES z 24. októbra 1995 o ochrane fyzických osôb pri spracovaní osobných údajov a voľnom pohybe týchto údajov. Zodpovedná osoba má svoje miesto aj v ešte zatiaľ účinnom zákone č. 122/2013 Z.z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov v z. n. p. (§ 23 a nasl.).Nariadenie v príslušných ustanoveniach (čl. 37 až čl. 39) ustanovuje:
-
podmienky určenia zodpovednej osoby,
-
postavenie zodpovednej osoby a
-
úlohy, ktoré zodpovedná osoba plní.
Pracovná skupina pre ochranu osobných údajov vydala dokument, v ktorom sú zhrnuté usmernenia, ktoré sa týkajú zodpovedných osôb. Tento dokument bol revidovaný v apríli v roku 2017. Pracovná skupina pôsobí ako nezávislý európsky poradný orgán pre ochranu údajov a súkromia.
Za dodržiavanie predpisov v oblasti ochrany osobných údajov podľa GDPR v konečnom dôsledku zodpovedá prevádzkovateľ. Zodpovedná osoba však má prevádzkovateľovi uľahčiť dodržiavanie predpisov a komunikáciu s dozorným orgánom, ako aj dotknutými osobami.
Tento článok bližšie rozoberá povinnosť prevádzkovateľov, ktorí sú orgánmi verejnej moci či verejnoprávnymi subjektmi, mať zodpovednú osobu a takisto poukazuje na jej postavenie a úlohy, ktoré má plniť.
Prevádzkovateľ
V zmysle článku 4 ods. 7 GDPR je prevádzkovateľom
"fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt, ktorý sám alebo spoločne s inými určí