Aký by mal byť ideálny Data Protection Officer?

V máji 2018 začne byť účinné nové európske nariadenie o ochrane údajov, ktoré zavádza v určených prípadoch povinnosť ustanoviť do funkcie odborníka na ochranu osobných údajov tzv. – Data Protection Officer alebo po slovensky zodpovednú osobu. Splnenie tejto povinnosti môže byť spojené so zvýšenými nákladmi. V článku sa dozviete, čo musí takáto osoba spĺňať a ako vhodne postupovať pri obsadzovaní tejto funkcie.

STEINIGER | law firm 14. 07. 2018 12 min.

    Kritériá na výkon funkcie zodpovednej osoby

    Aktuálne sa na našej národnej úrovni vyžaduje kombinácia bezúhonnosti, kontinuity v praxi, vylúčenia konfliktu záujmov a odbornej spôsobilosti, ktorá sa preukazuje úspešným absolvovaním skúšky, ktorú odborne i organizačne zabezpečuje Úrad na ochranu osobných údajov.

    GDPR[1]vo vzťahu ku kritériám na výkon funkcie zodpovednej osoby uvádza len, že sa má obsadzovať ľuďmi na základe ich odborných kvalít, a to najmä na základe odborných znalostí práva a postupov v oblasti ochrany osobných údajov, ako aj na základe individuálnej schopnosti plniť úlohy, ktoré článok 39 GDPR zveruje do kompetencie zodpovedných osôb.

    Z úvodných výkladových ustanovení GDPR je možné odvodiť, že „potrebná úroveň odborných znalostí by sa mala určiť, najmä v závislosti od vykonávaných operácií spracúvania údajov a od požadovanej ochrany osobných údajov, ktoré spracúva prevádzkovateľ alebo sprostredkovateľ.[2]

    Z uvedeného by som si dovolil konkludovať, že čím náročnejšie a dôležitejšie spracúvanie osobných údajov prevádzkovateľ vykonáva, tým viac by si mal dať záležať na profesijnej kvalifikácii a skúsenostiach svojej zodpovednej osoby, ktoré zaručia najmä skvelú znalosť GDPR a celkového regulačného prostredia, ako aj vnútorného prostredia organizácie (procesy, kompetencie, tok informácii, rozdelenie funkčnej pôsobnosti medzi oddeleniami a jednotlivými pracovnými pozíciami, využívané technológie, biznis modely a marketingové nástroje apod.).

    Pri ochrane osobných údajov je vhodnejšie do funkcie zodpovednej osoby paradoxne ustanoviť viac právneho ako bezpečnostného experta, ktorý však rozumie problematike kyber bezpečnosti a informačnej bezpečnosti dostatočne na to, aby vedel efektívne komunikovať s ďalšími odborníkmi pri zabezpečovaní adekvátnej bezpečnosti spracúvania osobných údajov. Vo veľkej korporátnej sfére existuje celá hierarchia ľudí, ktorá zodpovedá za dátovú bezpečnosť a chráni organizáciu pred tzv. leakmi. Títo profesionáli majú rôzne funkcie ako CIO (Chief Information Officer), CISO (Chief information Security Officer), CISPP (Certified Information Systems Security Professional) a iní, pričom náplň ich práce a zodpovedností by nemali byť podľa nášho názoru kombinovaná alebo zlučovaná s tým, čo má vykonávať zodpovedná osoba (Data Protection Officer) za oblasť ochrany osobných údajov, ktorá by mala byť optimálne zakomponovaná do celkovej riadiacej štruktúry tak, aby mala dostatočnú mieru autonómie a nebolo porušované ustanovenie článku 38 ods. 3 GDPR, ktoré vyžaduje aby organizácie, resp. prevádzkovatelia alebo sprostredkovatelia v praxi zabezpečili to, aby zodpovedná osoba pri plnení svojich zákonných úloh (článok 39 GDPR) nedostávala žiadne pokyny a podliehala priamo najvyššiemu vedeniu.

    Otázne je ako v rámci recepcie GDPR do nového národného zákona o ochrane osobných údajov pristúpi zákonodarca k otázke skúšky zodpovednej osoby, ktoré sa aktuálne v Slovenskej republike vykonávajú podľa vyhlášky č. 165/2013 Z. z.,ktorou sa ustanovujú podrobnosti o skúške fyzickej osoby na výkon funkcie zodpovednej osoby. Vzhľadom na trend neísť moc nad rámec toho čo vyžaduje GDPR je možné predpokladať, že skúšky zodpovednej osoby s príchodom účinnosti GDPR skončia a už nebudú obnovené. V súčasnosti nie je na našej národnej úrovni možné bez úspešne absolvovanej skúšky zodpovednej osoby vykonávať túto funkciu.

    Koho poveriť funkciou zodpovednej osoby?

    V niektorých prípadoch môže byť úplne dostačujúce poverenie in-house právnika, ktorý si dostatočne naštuduje problematiku a odkonzultuje si implementačné otázky so skúsenejšími kolegami zameranými viac na „Data Privacy Law“ alebo osloví priamo dozorný orgán so žiadosťou o konzultáciu.

    V niektorých prípadoch je vhodné zachovať kontinuitu a ponechať vo funkcii doterajšiu zodpovednú osobu za podmienky, že sa v minulosti osvedčila.

    V niektorých prípadoch je vhodné rozšíriť compliance tím a poveriť aj ďalšie zodpovedné osoby, s tým, že rozsah agendy sa primerane prerozdelí alebo sa dočasne delegujú konkrétne úlohy na novo prijaté zodpovedné osoby (napr. zodpovednosť za konverziu na GDPR vo vzťahu ku konkrétnej časti organizácie apod.).

    V niektorých prípadoch je vhodné využiť outsourcing služieb zodpovednej osoby, alebo kombináciu outsourcingu a in-house obsadenia funkcie zodpovednej osoby, čomu sa bližšie venujeme pred záverom tohto článku.

    V niektorých prípadoch môže byť dokonca najefektívnejšie poveriť do funkcie zodpovednej osoby právnickú osobu, ktorá sa zaviaže vykonávať pôsobnosť zodpovednej osoby prostredníctvom multidisciplinárneho tímu odborníkov zvládajúcich právne otázky, právne zastupovanie pred dozornými orgánmi, projektový manažment i problematiku informačnej a kybernetickej bezpečnosti a dokážu vytvoriť pevný most medzi internými compliance oddeleniami a IT, rovnako ako usmerniť aj HR, PR a Sales z hľadiska procesov spracúvania osobných údajov.

    V každom prípade by však zodpovedná osoba vždy podľa nášho názoru mala byť:

    • nezávislá od vedenia organizácie (i. e. neprichádza do úvahy, aby túto funkciu zabezpečoval štatutárny orgán alebo iný člen vedenia organizácie);
    • odborníkom s preukázateľnou znalosťou práva a postupov v oblasti ochrany osobných údajov (napr. už v praxi vykonávala funkciu zodpovednej osoby aj pred prijatím GDPR, má certifikáciu napr. CIPP/E (Certified Information Privacy Professional Europe), príp. prax spojenú s prácou v dozornom orgáne apod.);
    • odborníkom so skvele zvládnutou znalosťou GDPR z hľadiska jeho pochopenia (napr. interakcie jednotlivých ustanovení) a obsahovej náplne jednotlivých povinností a schopnosťou praktickej aplikácie na reálne podmienky spracúvania osobných údajov vyskytujúce sa bežne v praxi (napr. cloudy, cezhraničné prenosy, biometria, profilovanie atď.);
    • odborníkom schopným v praxi aplikovať tzv. risk based approach (článok 39 ods. 2 GDPR) v zmysle, ktorého je zodpovedná osoba povinná zohľadňovať riziko spojené so spracovateľskými operáciami, pričom berie na vedomie povahu, rozsah, kontext a účely spracúvania osobných údajov;
    • osobou s nenarušenou povesťou z hľadiska bezúhonnosti, profesionálnej etiky a osobnej integrity;
    • osoba bez konfliktu záujmov vo vzťahu k organizácii, v ktorej vykonáva funkciu zodpovednej osoby (napr. osoba zodpovedná za informačnú bezpečnosť (CISO) by bola zároveň aj zodpovednou osobou (DPO), čo by v prípade určitého zlyhania spojeného s porušením ochrany osobných údajov mohlo viesť k skrývaniu nedostatkov, za ktoré je zodpovedný CISO a nesplneniu povinností a úloh, ktoré má za úlohu vykonať DPO).

    Čo má vlastne zodpovedná osoba robiť?

    Úlohám zodpovednej osoby sa bližšie venujú ustanovenia článku 39 GDPR. Zodpovedná osoba má za úlohu monitorovať súlad s GDPR v individuálnych podmienkach konkrétnej organizácie, pričom zabezpečuje tvorbu interných pravidiel, zvyšuje povedomie a odbornú pripravenosť zamestnancov pracujúcich s osobnými údajmi, či vykonáva interné audity a posúdenia vplyvov na ochranu údajov podľa článku 35 GDPR. Na druhej strane je úlohou zodpovednej osoby viesť a udržiavať spoluprácu i konzultácie s dozorným orgánom a zároveň mu byť k dispozícii v prípade kontrol a rôznych právnych konaní. Syntéza činnosti DPA (dozorného orgánu) a DPO (zodpovednej osoby) tak posilňuje de facto faktor dozoru aj bez nutnosti efektu represívneho konania zo strany štátu, resp. DPA.

    Veľmi podstatnou úlohou zodpovednej osoby je poskytovať kontinuálne poradenstvo a informácie týkajúce sa ochrany osobných údajov jednak do vnútra organizácie smerom k prevádzkovateľom a sprostredkovateľom, a jednak smerom navonok smerom k dotknutým osobám, ktorých osobné údaje sú predmetom spracúvania. V tejto súvislosti je preto vhodné nezabudnúť vhodne zverejniť kontaktné údaje zodpovednej osoby (napr. na oficiálnom firemnom webe, v korporátnych materiáloch, obchodných podmienkach apod.).

    Akými kvalitami by mala zodpovedná osoba disponovať?

    Na webe som našiel k tejto téme jeden celkom výstižný článok, ktorý spájal jednotlivé vlastnosti ideálne pre zodpovednú osobu s konkrétnymi profesiami, pre ktoré sú tieto vlastnosti typizované ako ideálna vlastnosť.

    Vychádzajúc z tohto článku[3] by sme v skratke chceli zreprodukovať niektoré z týchto profesií a časť ich všeobecnej pracovnej náplne, ktoré aj my považujeme za ideálne pre výkon funkcie zodpovednej osoby:

    • compliance officer – dobrá zodpovedná osoba tiež efektívne presadzuje vo vnútri organizácie právo a pravidlá potrebné na dodržanie všeobecne záväznej regulácie a zároveň konformne vo vzťahu k nákladom a ostatným záujmom organizácie;
    • CEO (Chief Executive Officer / výkonný riaditeľ) - dobrá zodpovedná osoba tiež usmerňuje oddelenie ako úspešný CEO – potrebuje víziu, výkon, organizáciu, diplomatickú úprimnosť a pragmatizmus;
    • manager – dobrá zodpovedná osoba tiež efektívne zabezpečuje v organizácii povedomie o prijatých interných compliance postupoch a pravidlách, usmerňuje, kontroluje a vynucuje dodržiavanie prijatých pravidiel;
    • vyšetrovateľ – dobrá zodpovedná osoba je tiež vnímavá, tvrdohlavá, pátrajúca a orientovaná na detail, pričom je schopná spojiť zdanlivo nesúvisiace udalosti s faktami. Zároveň by mala byť tiež zodpovedná osoba dostatočne zvedavá a ochotná sa pýtať nahlas aj nepríjemné otázky.
    • letuška – dobrá zodpovedná osoba je tiež priateľská, príjemná a poskytuje excelentný servis počas toho, ako udržiava ostatných v bezpečí.

    Outsourcing alebo in-house?

    Z článku 37 ods. 5 GDPR je zrejmé, že sa zachováva kontinutia a rovnako ako doteraz bude možné kreovať zodpovednú osobu z vlastných personálnych zdrojov (napr. vhodne zameraný právnik z compliance oddelenia) alebo využiť služby rôznych externých poradenských spoločností, či profesionálov pôsobiacich na „voľnej“ nohe.

    Táto otázka je citlivá, keďže zodpovedná osoba s ohľadom na jej špecifické postavenie a prístup k vnútro-firemným citlivým informáciám môže byť vnímaná a v mnohých sektoroch je aj vnímaná ako neakceptovateľné riziko, ak by mala byť z externého prostredia, pretože konvenčne sa má za to, že vlastní zamestnanci sú lepšie kontrolovateľní a existujú menšie riziká (napr. priemyselnej špionáže, porušenia obchodného tajomstva apod.).

    Toto je podľa nášho názoru v čase sofistikovaných NDA zmlúv, budovania reputácie kvalitného poskytovateľa a vysokej konkurencie na trhu s konzultačnými službami možné považovať za prekonaný prístup, za predpokladu, že sa v rámci outsourcingu siahne po skutočne profesionálnom dodávateľovi s dostatočnými referenciami a riadnou legitimitou členov zapojených do poskytovania služby, ktorý bude na seba ochotný prebrať primerané právne záruky i zodpovednosť na základe riadnych zmluvných záväzkov.

    Potreba zohľadniť osobitné nezávislé postavenie zodpovednej osoby vyžadované v článku 38 GDPR podľa nás tiež nepriamo nahráva v prospech outsourcingu tejto funkcie, pretože zodpovedná osoba nemôže byť za výkon svojich zákonných úloh nikdy odvolaná alebo inak sankcionovaná (článok 38 ods. 3 GDPR), čo môže byť zo strany zodpovednej osoby – zamestnanca zneužívané viac ako zo strany zodpovednej osoby - externého obchodného partnera (napr. je vylúčené spochybňovanie a súdne napadnutie platného ukončenia pracovného pomeru apod.). Samozrejme vyčlenenie vlastného zamestnanca len na plnenie funkcie zodpovednej osoby alebo kumulovanie tejto agendy s inou pracovnou agendou nemusí byť všade efektívne.

    Ďalším rozhodným faktorom ovplyvňujúcim konečné rozhodnutie je v súkromnom sektore určite nákladovosť a efektivita konkrétnej formy zabezpečenia zodpovednej osoby – a.k.a. faktúra bez DPH vs super hrubá mzda zamestnanca alebo zamestnacov. Na riešenie uvedenej dilemy je potrebné doplniť veľa premenných, takže toto posúdenie by si mala zvážiť každá firma samostatne, a to s ohľadom na jej špecifické postavenie na trhu. Podľa nás nie je možné jednoznačne skonštatovať, že outsourcing bude za každých okolností pre každú firmu výhodnejší a efektívnejší, no zároveň si myslíme, že pri vhodne zvolenom dodávateľovi, príp. efektívnej kombinácii outsourcingu a vlastných zdrojov by to tak za určitých okolností mohlo byť.

    Pred oslovením konkrétneho subjektu spôsobilého zabezpečiť externe funkciu zodpovednej osoby (napr. www.carpathianag.com) je vhodné vykonať internú analýzu svojich očakávaní, dostupnosti vnútorných finančných i personálnych zdrojov, výkonnosti a odbornej spôsobilosti vlastných personálnych zdrojov ako aj možných dopadov na iné činnosti a core biznis. Zároveň by sa mali zohľadniť aj iné ako len zjavné prevádzkové náklady spojené s outsourcingom zodpovednej osoby, a to reálne compliance riziká spojené s administratívnymi pokutami, ktoré môžu byť podľa GDPR ukladané naozaj v enormnej výške a schopnosť zodpovednej osoby tieto riziká minimalizovať alebo eliminovať. Z hľadiska efektivity je tiež určite vhodné vopred zisiť a detailne dohodnúť činnosti, ktoré bude externá zodpovedná osoba zabezpečovať.

    V neposlednej miere je tiež otázkou pri rozhodovaní vnímanie prípadnej externej zodpovednej osoby zo strany zákazníkov Vašej firmy. Niekde to nemusí byť vôbec problém (napr. online marketingový sektor), inde to môže vyvolať nedôveru (napr. platobné, či bankové služby). Tieto obavy by však po účinnosti GDPR mohli pomôcť rozptýliť certifikácie a rôzne pečate alebo značky, ktoré si určite časom zabezpečí aj mnoho poskytovateľov služieb zodpovednej osoby.

    Poslednou kľúčovou oblasťou, ktorú je tiež potrebné posúdiť je dopad na existujúci personálny stav a prípadné náklady spojené s ich optimalizáciou v prípade jej nahradenia externou zodpovednou osobou (napr. redukcia stavov na internom compliance oddelení).

    Má zmysel dobrovoľné poverenie zodpovednej osoby nad rámec povinnosti?

    Áno má, a to bez ohľadu, že je to pre nás „biznis friendly“ tvrdenie. Ako sme už uviedli princíp zodpovednosti mohutne podporovaný celým znením GDPR prevádzkovateľov a sprostredkovateľov povzbudzuje, aby boli vo vlastnom záujme pripravení preukázať súlad vlastných podmienok spracúvania osobných údajov s požiadavkami a dodržiavaním povinností stanovených v GDPR.

    Práve v tomto Vám vie byť nápomocná práve profesionálna zodpovedná osoba, ktorá presne vie ako nastaviť a právne zabezpečiť potrebné procesy, aby potom v prípade potreby mohla s úsmevom a šanónom/mi s pripravenými dokumentami privítať inšpektorov začínajúcich kontrolu spracúvania osobných údajov alebo bola pevným pilierom, o ktorý sa firma podoprie v prípade zistenia bezpečnostných incidentov spojených s rizikom úniku osobných údajov.

    Záver

    Podľa toho ako je GDPR postavené, tak zodpovedná osoba by sa mala stať jedným z kľúčových znakov prítomnosti tzv. princípu zodpovednosti (za súlad s GDPR).

    Poverenie vhodného profesionála do funkcie zodpovednej osoby môže šetriť peniaze fiktívne v rovine eliminácie alebo minimalizácie compliance rizika (pokuty za porušenie GDPR môžu byť ukladané až v desiatkach miliónov EUR), ale aj reálne v rovine vhodne nastaveného outsourcingu, ktorý bude lacnejší a efektívnejší ako vlastní zamestnanci v prípade vzniku povinnosti kreovať zodpovednú osobu.

    Z tohto hľadiska je na úrovni vedenia každej organizácie, aby posúdilo vznik povinnosti zabezpečiť poverenie takéhoto špecialistu (viac sa dočítate tu) a rozhodlo o forme jeho zabezpečenia (outsourcing / in house) a s tým súvisiacich konaniach a rozhodnutiach (napr. verejné obstarávanie / prieskum trhu, negociácia, kontraktácia, zmeny organizačného poriadku, vyčlenenie personálnych a finančných zdrojov).

    Povinnosť poveriť zodpovednú osobu dohľadom nad spracúvaním osobných údajov sa do nášho právneho poriadku vráti s účinnosťou od 25. mája 2018. Nesplnenie povinnosti poveriť zodpovednú osobu bude sankcionované až do výšky 10 miliónov EUR alebo 2% celosvetového ročného obratu.

    JUDr. Ondrej Zimen

    Táto e-mailová adresa je chránená pred spamovacími robotmi. Na jej zobrazenie potrebujete mať nainštalovaný JavaScript.

     

    Poznámky pod čiarou:

    [1] Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) – ďalej len ako „GDPR“.

    [2] Úvodné ustanovenie (97) GDPR.

    [3] K. Royal: What makes a good privacy officer? Dostupné na internete: https://iapp.org/news/a/what-makes-a-good-privacy-officer/ [online].[cit 13.02.2017].