Inštitút zodpovednej osoby
pritom nie je žiadna novinka. Tento inštitút sa objavil už v Smernici Európskeho parlamentu a Rady 95/46/ES z 24. októbra 1995 o ochrane fyzických osôb pri spracovaní osobných údajov a voľnom pohybe týchto údajov. Zodpovedná osoba má svoje miesto aj v ešte zatiaľ účinnom zákone č. 122/2013 Z.z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov v z. n. p. (§ 23 a nasl.).
Nariadenie v príslušných ustanoveniach (čl. 37 až čl. 39) ustanovuje:
-
podmienky určenia zodpovednej osoby,
-
postavenie zodpovednej osoby a
-
úlohy, ktoré zodpovedná osoba plní.
Pracovná skupina pre ochranu osobných údajov vydala dokument, v ktorom sú zhrnuté usmernenia, ktoré sa týkajú zodpovedných osôb. Tento dokument bol revidovaný v apríli v roku 2017. Pracovná skupina pôsobí ako nezávislý európsky poradný orgán pre ochranu údajov a súkromia.
Za dodržiavanie predpisov v oblasti ochrany osobných údajov podľa GDPR v konečnom dôsledku zodpovedá prevádzkovateľ. Zodpovedná osoba však má prevádzkovateľovi uľahčiť dodržiavanie predpisov a komunikáciu s dozorným orgánom, ako aj dotknutými osobami.
Tento článok bližšie rozoberá povinnosť prevádzkovateľov, ktorí sú orgánmi verejnej moci či verejnoprávnymi subjektmi, mať zodpovednú osobu a takisto poukazuje na jej postavenie a úlohy, ktoré má plniť.
Prevádzkovateľ
V zmysle článku 4 ods. 7 GDPR je prevádzkovateľom
"fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt, ktorý sám alebo spoločne s inými určí účely a prostriedky spracúvania osobných údajov; v prípade, že sa účely a prostriedky tohto spracúvania stanovujú v práve únie alebo v práve členského štátu, možno prevádzkovateľa alebo konkrétne kritériá na jeho určenie určiť v práve únie alebo v práve členského štátu".
V zásade sa definícia tohto pojmu, oproti zákonu č. 122/2013 Z.z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov v z. n. p., nemení. Aj naďalej platí, že prevádzkovateľom je tá osoba, ktorá rozhodla, že bude vykonávať určitú činnosť, ktorej neoddeliteľnou súčasťou je spracúvanie osobných údajov, a určila prostriedky ich spracúvania.
Spracúvanie osobných údajov za určitým účelom pritom môže byť určitému subjektu uložené priamo zákonom. Zaistiť určitú činnosť, ktorej neoddeliteľnou súčasťou je spracúvanie osobných údajov, je napr. uložené každému zamestnávateľovi (informačný systém personalistika a mzdy), v prípade orgánov verejnej moci sú to aj iné informačné systémy (napr. informačný systém infozákon, informačný systém whistleblowing a pod.).
Určenie zodpovednej osoby
V zmysle článku 37 ods. 1 GDPR prevádzkovateľ určí zodpovednú osobu v každom prípade, keď:
a)
spracúvanie vykonáva orgán verejnej moci alebo verejnoprávny subjekt s výnimkou súdov pri výkone ich súdnej právomoci;
b)
hlavnými činnosťami prevádzkovateľa alebo sprostredkovateľa sú spracovateľské operácie, ktoré si vzhľadom na svoju povahu, rozsah a/alebo účely vyžadujú pravidelné a systematické monitorovanie dotknutých osôb vo veľkom rozsahu; alebo
c)
hlavnými činnosťami prevádzkovateľa alebo sprostredkovateľa je spracúvanie osobitných kategórií údajov podľa článku 9 vo veľkom rozsahu alebo spracúvanie osobných údajov týkajúcich sa uznania viny za trestné činy a priestupky podľa článku 10.
Orgán verejnej moci/verejnoprávny subjekt
Nariadenie vo svojich ustanoveniach nevymedzuje pojem orgán verejnej moci alebo verejnoprávny