Namiesto 5 zamestnancov, 20 oprávnených osôb
Najpodstatnejšie je či sa na Vás vôbec vzťahuje povinnosť písomne poveriť zodpovednú osobu dohľadom nad ochranou osobných údajov v informačných systémoch v rámci, ktorých sú u Vás vo firme spracúvané osobné údaje. V minulosti sa Vás táto povinnosť dotkla, ak ste mali päť a viac zamestnancov. V súčasnosti je potrebné začať riešiť zodpovednú osobu, ak máte 20 a viac oprávnených osôb. Medzi zamestnancom a oprávnenou osobou je rozdiel. Jednoducho je to možné vysvetliť tak, že nie každý zamestnanec je aj oprávnenou osobou, hoci každá oprávnená osoba je v podstate zamestnancom prevádzkovateľa alebo sprostredkovateľa. Podstatné je či zamestnanec prichádza v rámci pracovnej činnosti do styku s osobnými údajmi. Zodpovedná osoba by teda mala byť ustanovená najmä v podnikoch, kde je viac ľudí v administratíve ako napr. vo výrobe. Toto nové kritérium pre aplikáciu tejto povinnosti sa javí adresnejšie, keďže bude zaťažovať hlavne subjekty, ktoré vo väčšej miere spracúvajú osobné údaje a na druhej strane odľahčí podnikateľom, ktorí sa napr. venujú viac výrobným činnostiam, kde fakticky dochádza k menšej miere k spracúvaniu osobných údajov.
Oprávnenými osobami môžu byť okrem zamestnancov napr. aj brigádnici, študenti na brigáde či absolventi na absolventskej praxi. Vo vzťahu k takýmto osobám pracujúcim na základe tzv. dohôd mimo pracovného pomeru je potrebné okrem ich poučenia vykonať aj ich poverenie na oprávnenú osobu. Sme toho názoru, že postačuje to, aby pri tomto poverení oprávnenej osoby išlo o jednostranný právny úkon prevádzkovateľa alebo sprostredkovateľa, takže nie je potrebné aby bolo poverenie aj formálne prijaté. Vo vzťahu k živnostníkom takého konanie považujeme za problematické, keďže z povahy daných vzťahov by mali byť živnostníci skôr v pozícii sprostredkovateľa ako oprávnenej osoby.
Kroky pre vytvorenie funkcie zodpovednej osoby
Je vecou slobodnej úvahy koho konkrétne sa zodpovedný prevádzkovateľ alebo sprostredkovateľ rozhodne poveriť do funkcie zodpovednej osoby. Môže ale nemusí to byť Váš zamestnanec. V podstate je možné výkon funkcie zodpovednej osoby pokojne aj outsourcovať akoukoľvek fyzickou osobou, ktorá spĺňa objektívne zákonné kritériá na výkon tejto funkcie.
Každá zodpovedná osoba musí:
- byť bezúhonná,
- mať spôsobilosť na právne úkony v plnom rozsahu,
- musí disponovať platným potvrdením úradu o úspešnom vykonaní skúšky na výkon funkcie zodpovednej osoby, ktorou preukáže svoju odbornú spôsobilosť.
Zodpovedná osoba nesmie:
- byť štatutárnym orgánom zamestnávateľa zodpovednej osoby,
- byť opakovane pokutovaná za porušenie jej povinností podľa § 27 zákona č. 122/2013
- viac ako dva roky sústavne nevykonávať funkciu zodpovednej osoby; ak dva roky sústavne nebude zodpovedná osoba vykonávať svoju funkciu stratí svoje postavenie a bude musieť opäť úspešne absolvovať skúšku na výkon funkcie zodpovednej osoby.
Ak sa Vás týka povinnosť „mať“ zodpovednú osobu, tak je potrebné písomne poveriť fyzickú osobu, ktorá spĺňa všetky vyššie uvedené kritériá najneskôr do 60 dní od vtedy ako ste začali spracúvať akékoľvek osobné údaje. Písomné poverenie zodpovednej osoby je konsenzuálny právny úkon s presne ustanovenými zákonnými obsahovými náležitosťami, takže je potrebné aby ho akceptovala aj zodpovedná osoba. Od momentu písomného poverenia je potrebné oznámiť bezodkladne (najneskôr do 30 dní) dozornému orgánu presne ustanovené údaje súvisiace so zodpovednou osobou doporučenou poštovou zásielkou alebo elektronicky so zaručeným elektronickým podpisom. Ak je to z ohľadom na potreby Vašej organizácie žiaduce je možné písomne poveriť aj viac zodpovedných osôb, pričom sa postupuje rovnako.
Poverenie zodpovednej osoby je možné písomne odvolať, a to bez udania akéhokoľvek dôvodu. Prevádzkovateľ alebo sprostredkovateľ majú právo odvolať poverenú zodpovednú osobu na základe vlastného rozhodnutia, avšak je potrebné aby v tejto súvislosti dbali na to, že sú povinní umožniť zodpovednej osobe nezávislý výkon dohľadu nad ochranou osobných údajov a prijať jej oprávnené návrhy, pričom upozornenie na nedostatky alebo vyslovenie požiadavky zodpovednou osobou v súvislosti s plnením jej povinností podľa zákona o ochrane osobných údajov sa nesmie stať podnetom ani dôvodom na konanie, ktoré by zodpovednej osobe spôsobilo ujmu. V podstate je potrebné dávať pozor na to, aby ste nijako nesankcionovali z hľadiska subordinácie vyplývajúcej z povahy pracovnoprávnych vzťahov zodpovednú osobu (ak je aj Vaším zamestnancom) za to, že si plní svoje zákonné úlohy a povinnosti. Písomné poverenie zodpovednej osoby automaticky zaniká aj z objektívnych dôvodov (napr. smrť zodpovednej osoby, zánik spoločnosti bez právneho nástupcu, vzdanie sa funkcie apod.). Po odvolaní písomného poverenia alebo zániku písomného poverenia je potrebné vyriešiť otázku potreby novej zodpovednej osoby novým písomným poverením zodpovednej osoby.
Skúška
Účelom skúšky je zistiť, či fyzická osoba má potrebné odborné vedomosti na vykonávanie dohľadu nad ochranou osobných údajov. Skúška je bezplatná, termín a čas skúšok sa priebežne zverejňuje na www.personaldataprotection.gov.sk.
Skúška prebieha formou písomného testu, ktorý obsahuje 20 otázok. Za každú správne zodpovedanú otázku je možní získať jeden bod. Na vyznačenie odpovedí je stanovený limit 30 minút. Na úspešné absolvovanie skúšky je potrebné získať najmenej 15 bodov, čiže účastníci skúšky majú toleranciu 5 nesprávnych odpovedí. Ak žiadateľ neuspeje, skúšku môže absolvovať opakovane, najskôr po uplynutí 60 dní odo dňa konania predchádzajúcej skúšky.
Skúška sa vykonáva zo znalostí všeobecne záväzných právnych predpisov upravujúcich oblasť ochrany osobných údajov, takže výborná znalosť najmä samotného zákona o ochrane osobných údajov a jeho vykonávacích predpisov je základným predpokladom pre jej úspešné zvládnutie.
Úlohy a povinnosti zodpovednej osoby
Zodpovedná osoba je povinná pred začatím spracúvania osobných údajov v informačnom systéme posúdiť, či ich spracúvaním nevzniká nebezpečenstvo narušenia práv a slobôd dotknutých osôb (napr. preverí primeranosť právneho základu, primeranosť prijatých bezpečnostných opatrení v kontexte typu, spôsobu a prostriedkov spracúvania, súlad účelu spracúvania s príslušnou legislatívou, apod.). V prípade ak toto identifikuje pred začatím spracúvania alebo keď zistí porušenie záväzných pravidiel ochrany osobných údajov počas spracúvania je to vždy povinná písomne notifikovať tomu, kto ju písomne poveril (prevádzkovateľovi, sprostredkovateľovi). V prípade ak po upozornení zodpovednej osoby nie je zabezpečená bez zbytočného odkladu náprava, tak je to zodpovedná osoba povinná oznámiť dozornému orgánu. V prípade ak je zodpovedná osoba naozaj erudovaná, tak jej konaním môže vzniknúť reálny predpoklad pre eliminovanie hrozby, ktorá vyplýva z možnej finančnej ujmy spôsobenej udelením pokuty ešte pred tým ako k tomu dôjde.
Vzhľadom na to, že problematika ochrany osobných údajov je pomerne zložitá CARPATHIAN Advisory Group, s.r.o. sa rozhodla v spolupráci s lektormi Úradu na ochranu osobných údajov SR počas prechodného obdobia plynúceho na nové písomné poverenie zodpovednej osoby organizovať sériu školení, ktoré sú výbornou súčasťou odbornej prípravy na skúšku.
V prípade záujmu o účasť na odbornom seminári / školení z oblasti ochrany osobných, ktoré vedie Ondrej Zimen, lektor Úradu na ochranu osobných údajov nás prosím neváhajte kontaktovať kedykoľvek do 01.07.2014.
