23.7.2018
ID: 4156upozornenie pre užívateľov
Praktické aspekty právnej úpravy zodpovednej osoby podľa čl. 37 a nasl. GDPR (I. časť)
Takmer dva mesiace po nadobudnutí účinnosti GDPR sa prvotný nápor práce pri zabezpečovaní súladu spracovateľských operácií s jeho ustanoveniami zmiernil. Už teraz je však nepochybné, že k problematike GDPR bude potrebné sa periodicky vracať, okrem iného aj z dôvodu očakávaných usmernení a aplikačnej a rozhodovacej praxe zo strany dozorných orgánov a príslušných súdov k ustanoveniam nariadenia.
 |
Jednou z povinností, ktorú GDPR upravuje, je povinnosť prevádzkovateľov a sprostredkovateľov ustanoviť tzv. zodpovednú osobu (v tomto texte budeme z dôvodu udomácnenia sa niektorých anglických pojmov používať aj skratku „DPO“, zodpovedajúcu označeniu data protection officer).
Aj keď koncept zodpovednej osoby nie je v slovenských podmienkach úplne nový[1], právna úprava tohto inštitútu podľa GDPR je podstatne odlišná. Najvýraznejšie rozdiely badať napr. v podmienkach vzniku povinnosti určiť zodpovednú osobu, zrušení povinnosti zodpovednej osoby absolvovať skúšku na výkon funkcie pred Úradom na ochranu osobných údajov SR („Úrad“), v rozsahu práv a povinností zodpovednej osoby ako aj v požiadavkách na zabezpečenie podmienok pre riadny výkon jej funkcie zo strany prevádzkovateľa alebo sprostredkovateľa.
V praxi sa tak objavili nejasnosti pri interpretácii a aplikácii ustanovení upravujúcich zodpovednú osobu; niektorým takým otázkam sa venujeme nižšie.
Kedy je určenie DPO povinné?
Nariadenie upravuje tri situácie, kedy je určenie DPO povinné, a to:
- ak spracúvanie vykonáva orgán verejnej moci alebo verejnoprávny subjekt s výnimkou súdov pri výkone ich súdnej právomoci;
- ak hlavnými činnosťami prevádzkovateľa alebo sprostredkovateľa sú spracovateľské operácie, ktoré si vzhľadom na svoju povahu, rozsah a/alebo účely vyžadujú pravidelné a systematické monitorovanie dotknutých osôb vo veľkom rozsahu; alebo
- ak hlavnými činnosťami prevádzkovateľa alebo sprostredkovateľa je spracúvanie osobitných kategórií údajov[2] (tzv. „citlivých údajov“) vo veľkom rozsahu alebo spracúvanie osobných údajov týkajúcich sa uznania viny za trestné činy a priestupky.
Vyššie uvedené podmienky nie je potrebné splniť kumulatívne, t. j. na vznik povinnosti ustanoviť DPO stačí splnenie ktorejkoľvek z nich.
Keďže uvedené ustanovenie obsahuje niekoľko nie celkom jasných pojmov, k tejto problematike bolo prijaté Usmernenie Pracovnej skupiny 29[3] (WP 243 zo dňa 13.12.2016, rev. 5.4.2017, ďalej aj „Usmernenie“) s cieľom prispieť k objasneniu kritérií určujúcich existenciu povinnosti určiť zodpovednú osobu. Určujúcimi kritériami sú:
Orgán verejnej moci alebo verejnoprávny subjekt
Obsah tohto pojmu GDPR neupravuje a aplikuje sa vnútroštátne právo. Pri definovaní, či subjekt koná ako orgán verejnej moci, bude rozhodujúce, či rozhoduje o právach a povinnostiach iných osôb a tieto rozhodnutia sú vykonateľné. V slovenských podmienkach pôjde napr. o štátne orgány, ďalej obce, mestá, VÚC a nimi kreované orgány, verejnoprávne inštitúcie (napr. RTVS, verejné vzdelávacie inštitúcie), iné právnické osoby napojené na verejný rozpočet, notári či exekútori.
Podľa čl. 37 ods. 3 GDPR, pre viaceré takéto orgány alebo subjekty sa môže určiť jedna zodpovedná osoba (napr. orgány a osoby spadajúce pod obec môžu mať ustanovenú spoločnú zodpovednú osobu).
Hlavné činnosti
Jedným z rozlišovacích kritérií pri určovaní povinnosti ustanoviť DPO je, či určité spracovateľské operácie sú „hlavnými činnosťami“ prevádzkovateľa alebo sprostredkovateľa, alebo nimi nie sú. To, či ide o hlavnú činnosť, by sa malo posudzovať vo vzťahu k cieľom prevádzkovateľa alebo sprostredkovateľa, t. j. k hlavnému zámeru jeho existencie. Ak je určitá aktivita nevyhnutná na dosiahnutie základných cieľov prevádzkovateľa alebo sprostredkovateľa, s vysokou pravdepodobnosťou bude považovaná za hlavnú činnosť. Za také činnosti možno považovať napr. poskytovanie zdravotnej starostlivosti zo strany nemocnice, poskytovanie prepravy osôb zo strany dopravných podnikov, vzdelávaciu činnosť zo strany vzdelávacích inštitúcií či monitorovanie priestorov prístupných verejnosti zo strany SBS spoločností.
Naopak, ak ide pomocné činnosti, bez ktorých by sa hlavné činnosti nedalo efektívne realizovať, také činnosti nebudú považované za hlavné. Pôjde napr. o vedenie mzdovej agendy zamestnancov, úkony súvisiace s poskytovaním stravy v školských zariadeniach či IT podpora.
Veľký rozsah
Ďalším rozlišovacím kritériom pre určenie povinnosti ustanoviť DPO je to, či určité spracovateľské operácie sú realizované „vo veľkom rozsahu“. Hoci nariadenie tento pojem nedefinuje, existujú určité faktory, ktorých posúdenie môže pomôcť pri určení splnenia kritéria spracovania „vo veľkom rozsahu“, napr.: počet dotknutých osôb, ktorých sa spracúvanie týka, vyjadrený buď ako konkrétne číslo alebo ako podiel príslušnej populácie, objem spracúvaných údajov alebo rozsah jednotlivých položiek údajov, dĺžka trvania alebo trvalosť spracúvania údajov, či geografický rozsah spracovateľskej činnosti.
Príkladmi spracúvania vo veľkom rozsahu sú napr. spracúvanie údajov pacientov v rámci činnosti nemocnice, spracúvanie údajov cestujúcich poskytovateľom hromadnej dopravy, spracúvanie údajov internetovým vyhľadávačom za účelom behaviorálnej reklamy, spracúvanie poskytovateľom telefonických alebo internetových služieb a pod.
Pravidelné a systematické monitorovanie
Pojem monitorovanie zahŕňa všetky formy sledovania a profilovania na internete, avšak neobmedzuje sa iba na online prostredie. Pravidelnosť by mala vykazovať známky prebiehania a opakovania sa v určitom časovom úseku, prípadne nepretržitosť a systematickosť by mala vykazovať známky plánovania, organizácie alebo určenej stratégie.
Kto určuje DPO – prevádzkovateľ, sprostredkovateľ, všetci alebo nikto?
Článok 37 ods. 1 GDPR ukladá povinnosť ustanoviť DPO tak prevádzkovateľom[4], ako aj sprostredkovateľom[5]. To znamená, že každý prevádzkovateľ a sprostredkovateľ by si mal vykonať samostatné posúdenie, či má povinnosť určiť DPO, a to na základe vyššie uvedených kritérií.
V praxi môžu ohľadne ustanovenia DPO nastať rôzne situácie: pre ilustráciu, ak malá firma pôsobiaca lokálne napr. v oblasti účtovných služieb využíva služby sprostredkovateľa, ktorého hlavnou činnosťou je cielená online reklama, činnosť prevádzkovateľa nebude zakladať povinnosť určiť DPO, avšak činnosť sprostredkovateľa túto povinnosť založiť môže. Ak by však toho istého sprostredkovateľa využil napr. prevádzkovateľ hromadnej prepravy, povinnosť ustanoviť DPO by mohli mať obaja.
Častou bude aj situácia, kedy povinnosť určiť DPO nebude mať žiaden z uvedených subjektov, pretože nebude spĺňať podmienky uvedené v čl. 37 ods. 1 GDPR. To však nevylučuje, že sa subjekt rozhodne DPO ustanoviť dobrovoľne – napr. ako konkurenčnú výhodu alebo pre uľahčenie komunikácie s dotknutými osobami či dozornými orgánmi. Aj DPO ustanovený na dobrovoľnej báze musí spĺňať podmienky pre výkon činnosti, ako napr. nezávislosť, potrebné (personálne, priestorové, technické a pod.) vybavenie, odborné kvality atď.
Podľa čl. 37 ods. 2 GDPR skupina podnikov môže určiť jednu zodpovednú osobu, ak je ľahko dostupná z každej prevádzkarne. Podmienka dostupnosti by mala byť splnená vo vzťahu k dotknutým osobám, dozorným orgánom, ako aj samotnej spoločnosti alebo orgánu verejnej moci. Dostupnosť okrem iného predpokladá, že zodpovedná osoba bude vedieť komunikovať v jazyku relevantnom pre dotknuté osoby a dozorné orgány, t.j. ak ide o subjekt vykonávajúci spracúvanie osobných údajov s cezhraničným prvkom, môže byť nevyhnutné, aby DPO komunikoval v lokálnom jazyku príslušného dozorného orgánu a dotknutých osôb.
DPO ako zamestnanec alebo cez outsourcing?
Podľa čl. 37 ods. 6 GDPR zodpovedná osoba môže byť zamestnancom prevádzkovateľa alebo sprostredkovateľa, ktorý zodpovednú osobu ustanovuje, alebo DPO môže plniť úlohy pre prevádzkovateľa alebo sprostredkovateľa na základe zmluvy o poskytovaní služieb uzavretej s ním. Osobou poskytujúcou služby zodpovednej osoby môže byť v takom prípade tak fyzická osoba – podnikateľ, ako aj právnická osoba, pričom v rámci nej môže povinnosti vyplývajúce zo zmluvy o poskytovaní služieb vykonávať aj tím viacerých ľudí. V tom prípade je však potrebné, aby každá osoba, ktorá sa podieľa na poskytovaní služieb DPO v mene právnickej osoby, spĺňala požiadavky odborných kvalít, nezávislosti a pod., ktoré GDPR na zodpovednú osobu kladie.
Zmluva s DPO by mala upravovať ako nevyhnutné minimum nasledovné oblasti: rozsah a charakter služieb, ktoré má DPO poskytovať a jeho povinnosti; povinnosti prevádzkovateľa / sprostredkovateľa; postupy v prípade konfliktných názorov (t.j. úprava postupov v prípade názorových rozporov medzi odporúčaniami DPO a jeho klientom); odmena za poskytovanie služieb; zodpovednosť za škodu; vylúčenie konfliktu záujmov v čase uzavretia zmluvy a dojednanie postupu, ak sa konflikt vyskytne v priebehu jej trvania; mlčanlivosť; sústavné vzdelávanie DPO (a súvisiace náklady a pod.); skončenie zmluvy a prípadne, ktoré povinnosti DPO „prežijú“ aj po jej skončení; vrátenie / zmazanie osobných údajov.
Odporúčame samozrejme konzultovať obsah zmluvy s právnikom, keďže jednotlivé ustanovenia by mali byť šité na mieru daného vzťahu a charakteru spracovateľských operácií.
Ak sa subjekt rozhodne vyriešiť funkciu DPO prostredníctvom interného zamestnanca (prípadne viacerých zamestnancov), ako minimum je potrebné v organizačnej štruktúre vytvoriť túto pracovnú pozíciu, prípadne zákonným spôsobom upraviť náplň práce existujúceho zamestnanca, súladne s čl. 39 nariadenia definovať jeho úlohy a v rámci organizácie zabezpečiť, aby DPO mal vytvorené vhodné podmienky na vykonávanie činnosti. Samozrejme je potrebné zabezpečiť, aby zamestnanec bol riadne oboznámený s právami a povinnosťami, ktoré mu z legislatívy o ochrane osobných údajov, prípadne interných smerníc zamestnávateľa upravujúcich túto problematiku, vyplývajú.
Na rozdiel od prechádzajúcej legislatívy, DPO nebude musieť absolvovať skúšku na výkon funkcie pred Úradom; k problematike postavenia a úloh DPO sa budeme bližšie venovať v ďalšej časti tohto článku.
Ako oznámiť DPO Úradu na ochranu osobných údajov?
Ak z analýzy povinnosti ustanoviť zodpovednú osobu vyplynulo, že prevádzkovateľ alebo sprostredkovateľ túto povinnosť má, ale aj v prípade dobrovoľného určenia DPO, je potrebné kontaktné údaje určenej zodpovednej osoby oznámiť Úradu. Úrad za týmto účelom vytvoril online formulár, prostredníctvom ktorého je možné tak urobiť a ktorý je možné nájsť tu.
Preukázateľnosť
V súlade so zásadou zodpovednosti podľa čl. 5 ods. 2 GPDR odporúčame, aby prevádzkovatelia a sprostredkovatelia zdokumentovali internú analýzu, na základe ktorej stanovili, či majú alebo nemajú povinnosť určiť zodpovednú osobu. Úrad je oprávnený žiadať preukázanie toho, že prevádzkovateľ alebo sprostredkovateľ túto okolnosť zvážili a podrobili analýze podľa príslušných kritérií. Bez príslušnej dokumentácie by sa táto povinnosť preukazovala ťažko, najmä v prípadoch, kedy DPO ustanovený nebol, hoci aj správne.
JUDr. Helga Maďarová, CIPP/E, CIPM,
advokát
Dvořák Hager & Partners,
advokátska kancelária, s.r.o.
Cintorínska 3/a
811 08 Bratislava
Tel.: + 421 2 327864 - 11
Fax: + 421 2 327864 - 41
e-mail: bratislava@dhplegal.com
______________________________
[1] Viď. § 23 a nasl. zákona č. 122/2013 Z. z. v znení neskorších predpisov.
[2] Sú to osobné údaje, ktoré odhaľujú rasový alebo etnický pôvod, politické názory, náboženské alebo filozofické presvedčenie alebo členstvo v odborových organizáciách, a spracúvanie genetických údajov, biometrických údajov na individuálnu identifikáciu fyzickej osoby, údajov týkajúcich sa zdravia alebo údajov týkajúcich sa sexuálneho života alebo sexuálnej orientácie fyzickej osoby.
[3] Pracovná skupina zriadená podľa článku 29 smernice 95/46/ES; do jej nahradenia Európskym výborom pre ochranu údajov v dôsledku nadobudnutia účinnosti GDPR bola nezávislým európskym poradným orgánom pre ochranu údajov a súkromia. Jej úlohy sú definované v článku 30 smernice 95/46/ES a v článku 15 smernice 2002/58/ES.
[4] Fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt, ktorý sám alebo spoločne s inými určí účely a prostriedky spracúvania osobných údajov; v prípade, že sa účely a prostriedky tohto spracúvania stanovujú v práve Únie alebo v práve členského štátu, možno prevádzkovateľa alebo konkrétne kritériá na jeho určenie určiť v práve Únie alebo v práve členského štátu.
[5] Fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt, ktorý spracúva osobné údaje v mene prevádzkovateľa.
© EPRAVO.SK – Zbierka zákonov, judikatúra, právo | www.epravo.sk