Budete musieť mať vo firme špecialistu na ochranu osobných údajov?

V máji 2018 začne byť účinné nové európske nariadenie o ochrane údajov, ktoré zavádza v určených prípadoch povinnosť ustanoviť do funkcie odborníka na ochranu osobných údajov tzv. – Data Protection Officer alebo po slovensky zodpovednú osobu. Splnenie tejto povinnosti môže byť spojené so zvýšenými nákladmi. V článku sa okrem iného dočítate, koho bude táto regulácia zasahovať a ako správne postupovať pri vyhodnocovaní vzniku povinnosti kreovať vo Vašej organizácii zodpovednú osobu.

STEINIGER | law firm 07. 02. 2017 13 min.

Zodpovedná osoba včera a dnes

Právny inštitút zodpovednej osoby sa rovnako ako celá problematika ochrany osobných údajov zrodila v nemeckom právnom prostredí ešte v minulom storočí, odkiaľ sa postupne rozšírila do celého sveta.

V Slovenskom právnom poriadku je tento právny inštitút prítomný už od roku 1998, pričom medzi rokmi 1998 až 2013 bola povinnosť mať poverenú zodpovednú osobu za ochranu osobných údajov v prípadoch, keď prevádzkovateľ ako zamestnávateľ zamestnával 5 a viac zamestnancov.[1]

Po prijatí aktuálneho zákona o ochrane osobných údajov došlo s účinnosťou od 01.07.2013 k zmene tejto povinnosti tak, že povinnosť „vytvoriť“ aspoň jednu zodpovednú osobu mal taký prevádzkovateľ alebo sprostredkovateľ, ktorý pri spracúvaní osobných údajov využíval 20 a viac oprávnených osôb (i.e. rôznych fyzických osôb (napr. zamestnancov alebo externých poradcov, zamestnancov spriaznených spoločností apod., ktoré prichádzali do styku s osobnými údajmi spracúvanými vo firemných informačných systémoch), čo som osobne vnímal ako vhodnejšie kritérium pre vznik tejto povinnosti oproti dovtedy zaužívanej slovenskej praxi.

Vzhľadom na značnú kritiku zákona, nielen zo strany záujmových združení zamestnávateľov, došlo k jeho novelizácii s cieľom znížiť mieru administratívnej záťaže dopadajúcej na podnikateľov. Dôsledkom poslednej novelizácie aktuálne účinného zákona o ochrane osobných údajov teda bolo aj to, že právny inštitút zodpovednej osoby prestal mať obligatórnu konštrukciu pre vyselektované skupiny prevádzkovateľov, ale v súčasnosti je s účinnosťou od 15. apríla 2014 poverenie zodpovednej osoby na Slovensku výlučne dobrovoľné.

Toto sa však čoskoro, s účinnosťou od 25. mája 2018, zase zmení, pričom právne dôvody na vznik povinnosti poveriť vo firme odborne zdatného človeka dohľadom nad ochranou osobných údajov sú na základe aplikácie tzv. prístupu založeného na riziku (risk based approach) oveľa sofistikovanejšie ako je len počet pracovníkov prichádzajúcich do styku s osobnými údajmi. Z uvedeného dôvodu bude posúdenie vzniku povinnosti kreovať zodpovednú osobu oveľa náročnejšie ako v minulosti.

Komu vznikne povinnosť „mať“ zodpovednú osobu?

Vznik povinnosti určiť zodpovednú osobu je predmetom právnej úpravy článku 37 ods. 1 písm. a) až c) GDPR, pričom je zreteľné, že táto legislatíva je koncipovaná moderným prístupom tak, že automaticky nazaťažuje všetkých prevádzkovateľov či sprostredkovateľov (napr. podľa počtu zamestnancov), ale definuje viacero okruhov povinných subjektov, u ktorých je možné predpokladať zvýšené riziká pre ochranu soobných údajov a súkromia dotknutých osôb.

Povinnosť poveriť zodpovednú osobu výkonom dohľadu na ochranou osobných údajov vznikne prevádzkovateľom alebo sprostredkovateľom, ktorí:

  • majú postavenie orgánu verejnej moci s výnimkou súdov pri výkone ich súdnej právomoci;
  • vykonávajú také spracovateľské operácie s osobnými údajmi, ktoré sú súčasťou ich hlavných činností a ktoré si vzhľadom na svoju povahu, rozsah a/alebo účely vyžadujú pravidelné a systematické monitorovanie dotknutých osôb vo veľkom rozsahu;
  • vykonávajú v rámci svojich hlavných činností spracovateľské operácie s osobitnou kategóriou osobných údajov alebo s údajmi týkajúcimi sa viny za trestné činy a priestupky.[2]

Ide o pomerne všeobecné vymedzenie okruhov povinných subjektov, ktoré bolo v decembri 2016 interpretované smerom k praxi usmernením pracovnej skupiny WP 29[3], takže je možné presnejšie identifikovať konkrétne okruhy subjektov, ktoré budú regulátormi považované za subjekty, ktorým GDPR ukladá povinnosť poveriť do funkcie zodpovednú osobu.

Ad) Orgány verejnej moci (článok 37 ods. 1 písm. a) GDPR)

GDPR presne nedefinuje pojem orgány verejnej moci („public authority or body“). Podľa pracovnej skupiny WP 29 ide o pojem, ktorý by mal byť vykladaný v intenciách národného práva príslušného členského štátu.

V nadväznosti na vyššie uvedené je vhodné uviesť, že v slovenskom právnom poriadku nie je pojem „orgán verejnej moci“ nikde definovaný, ale v právnej teórii sa bežne používa. V danej veci môžeme poukázať na Uznesenie Ústavného súdu Českej a Slovenskej Federatívnej Republiky (prvého senátu) zo dňa 9. júna 1992 sp. zn. I. ÚS 191/92, ktorým sa stanovili kritériá na určenie, či subjekt koná ako orgán verejnej moci.[4]

Ako interpretačnú pomôcku tiež možno použiť podľa nás aj ustanovenie zo zákona o e-Governmente[5], kde sa výkonom verejnej moci rozumie „konanie orgánu verejnej moci v rozsahu podľa osobitných predpisov, vo veciach práv, právom chránených záujmov a povinností fyzických osôb alebo právnických osôb.“[6]

Verejnou mocou je taká moc, ktorá autoritatívne rozhoduje o právach a povinnostiach subjektov, či už priamo alebo sprostredkovane. Subjekt, o ktorého právach alebo povinnostiach rozhoduje orgán verejnej moci, nie je v rovnoprávnom postavení s týmto orgánom a obsah rozhodnutia tohto orgánu nezávisí od vôle subjektu. Verejnú moc vykonáva štát predovšetkým prostredníctvom orgánov moci zákonodarnej, výkonnej a súdnej a za určitých podmienok ju môže vykonávať aj prostredníctvom ďalších subjektov. Kritériom pre určenie či iný subjekt koná ako orgán verejnej moci je skutočnosť, či konkrétny subjekt rozhoduje o právach a povinnostiach iných osôb a tieto rozhodnutia sú štátnou mocou vynútiteľné, či môže štát do týchto práv a povinností zasahovať.[7]

Na základe vyššie uvedeného bude teda podľa nášho právneho názoru potrebné skonštatovať, že na Slovensku vznikne povinnosť poveriť do funkcie zodpovednej osoby vhodného človeka všetkým orgánom verejnej správy s vlastnou právnou subjektivitou, pričom táto povinnosť vznikne najmä:

  • ústredným orgánom štátnej správy (ministerstvá, zákonom určené štátne úrady s celoslovenskou pôsobnosťou);
  • iným štátnym orgánom s celoslovenskou pôsobnosťou, ktoré nemajú postavenie ústredného orgánu štátnej správy (napr. Úrad na ochranu osobných údajov SR, Verejný ochranca práv, Úrad splnomocnenca vlády pre rómske komunity, Dopravný úrad apod.);
  • miestnym orgánom štátnej správy, resp. okresným úradom – podľa nášho názoru aj napriek tomu, že majú v zmysle zákona č. 130/2013 Z. z. o organizácii miestnej štátnej správy a o zmene a doplnení niektorých zákonov ako preddavkové organizácie Ministerstva vnútra SR limitovanú právnu subjektivitu);
  • orgánom územnej samosprávy (napr. obce, mestá, VÚC);
  • policajnému zboru a prokuratúre;
  • obecným políciám,
  • ozbrojeným silám SR;
  • Zboru väzenskej a justičnej stráže SR;
  • kancelárii prezidenta, Úradu vlády SR, Národnej rade SR;
  • súdom pri vedení inej agendy ako je výkon súdnej právomoci (napr. okresné súdy v sídle kraja vykonávajúce správu obchodného registra);
  • verejnoprávnym korporáciám (napr. RTVS);
  • verejnoprávnym inštitúciám (Sociálna poisťovňa, školy, apod.);
  • Zdravotným poisťovniam a určitým poskytovateľom zdravotnej starostlivosti;
  • Štátnym fondom (napr. Štátny fond rozvoja bývania);
  • Špecifickým orgánom zriadeným osobitným zákonom, ak vykonávajú autonómne verejnú moc podľa príslušných zákonov (napr. Rada pre vysielanie a retransmisiu, Organizácie kolektívnej správy autorských práv apod.).

Na druhej strane v zmysle vyššie uvedeného výkladu relevantného ustanovenia GDPR podľa nás nevznikne povinnosť kreovať zodpovedné osoby:

  • všeobecným súdom a Ústavnému súd SR pri výkone ich súdnej právomoci;
  • príspevkovým a rozpočtovým organizáciám, ktoré spravujú majetok orgánov verejnej moci, ale nerozhodujú autonómne o právach a právom chránených záujmoch ľudí alebo firiem na základe osobitných zákonov (napr. Slovenská správa ciest apod.);
  • štátnym alebo obecným podnikom (napr. Lesy Slovenskej republiky);
  • obchodným spoločnostiam so štátnou alebo obecnou majetkovou účasťou (napr. Jadrová a vyraďovacia spoločnosť, a.s., TIPOS, národná lotériová spoločnosť, a.s.);
  • pozemkovým spoločenstvám, urbárom akomposesorátom.

Otázne je podľa nášho názoru postavenie notárov a exekútorov z hľadiska aplikácie dôvodu na kreovanie zodpovednej osoby podľa článku 37 ods. 1 písm. a) GDPR, pretože títo prevádzkovatelia v podstate nahrádzajú súdy pri výkone súdnej právomoci ako súdni komisári pri výkone verejnej moci v dedičskom konaní alebo v exekučnom konaní, ale nemajú postavenie súdov. Z uvedeného hľadiska je teda do určitej miery otázne, či budú mať notári a exekútori povinnosť kreovať zodpovednú osobu, čo by mohlo byť pre tieto subjekty dosť zaťažujúce. V tomto smere bude podľa nás vecou regulátora ako sa rozhodne postupovať pri aplikovaní tohto ustanovenia na notárov a exekútorov, pretože vo vzťahu k nim je podľa nás možný rôzny a zároveň protichodný výklad tohto ustanovenia. V tomto kontexte však Pracovná skupina WP 29 odporúča v rovine dobrej praxe, aby aj súkromné organizácie vykonávajúce pôsobnosť orgánov verejnej moci vymenovali zodpovednú osobu, ktorá by mala potom pokrývať nielen spracovateľské operácie s osobnými údajmi spadajúcimi pod výkon verejnej moci, ale aj ďalšie interné spracúvanie osobných údajov (napr. manažment zamestnaneckej databázy).[8]

Ad) Pravidelné a systematické monitorovanie vo veľkom rozsahu, ktoré je súčasťou hlavných činností (článok 38 ods. 2 písm. b) GDPR)

Tento dôvod na vznik povinnosti ustanoviť zodpovednú osobu sa týka „hlavných činností“ prevádzkovateľa alebo sprostredkovateľa. Podľa bodu 97 úvodných ustanovení GDPR sa v súkromnom sektore „hlavné činnosti“ týkajú primárnych činností a nie spracúvania osobných údajov ako vedľajšej činnosti. Podľa Pracovnej skupiny WP 29 môžu byť „hlavné činnosti“ považované za kľúčové operácie nevyhnutné na dosiahnutie prevádzkovateľových alebo sprostredkovateľových cieľov. Napríklad hlavnou činnosťou nemocnice je poskytovanie zdravotnej starostlivosti. Efektívne a bezpečné poskytovanie zdravotnej starostlivosti nie je možné bez toho, aby nedochádzalo k spracúvaniu osobných údajov v zdravotnej dokumentácii pacientov. Preto by takéto spracúvanie osobných údajov malo byť považované za jednu z hlavných činností a nemocnica musí vymenovať zodpovednú osobu.[9]

Ako ďalší príklad možno uviesť súkromnú bezpečnostnú službu, ktorá vykonáva dohľad a správu kamerového systému vo viacerých nákupných centrách. Využívanie kamerového systému je súčasťou hlavných činností spoločnosti spojených so spracúvaním osobných údajov, preto takáto spoločnosť musí vymenovať zodpovednú osobu.[10] Ako typický príklad vedľajšej a nie hlavnej činnosti zas WP 29 uvádza podporné IT služby, pri ktorých môže dochádzať k spracúvaniu osobných údajov, pretože ide iba o podporné činnosti na zabezpečenie hlavnej činnosti organizácie. Avšak toto je možné takýmto spôsobom interpretovať podľa nášho názoru iba vo vzťahu k organizácii využívajúcej outsourcing IT podpory a nemalo by to platiť vo vzťahu k poskytovateľovi IT podpory, pre ktorého môžu byť takéto činnosti spojené so spracúvaním údajov v postavení sprostredkovateľa (napr. zálohovanie údajov na vlastné servery), čo už bude potrebné považovať za súčasť hlavných činností poskytovateľa IT podpory. Takémuto subjektu potom podľa nášho názoru naopak môže vzniknúť povinnosť kreovať zodpovednú osobu podľa ustanovenia článku 38 ods. 2 písm. b) GDPR, pretože predmetná povinnosť zasahuje rovnako aj sprostredkovateľov.

Ďalším kľúčovým definičným znakom pre vznik povinnosti podľa predmetného ustanovenia GDPR je spracúvanie osobných údajov vo veľkom rozsahu. Podľa bodu 91 úvodných ustanovení GDPR je možné spracúvaním osobných údajov vo veľkom rozsahu rozumieť také spracúvanie, ktorého cieľom je spracúvať značný objem osobných údajov na regionálnej, vnútroštátnej alebo nadnárodnej úrovni, ktoré by mohlo ovplyvniť veľký počet dotknutých osôb a ktoré pravdepodobne povedie k vysokému riziku. Na druhej strane za spracúvanie osobných údajov vo veľkom rozsahu by sa nemalo považovať spracúvanie osobných údajov pacientov alebo klientov jednotlivým lekárom, iným zdravotným pracovníkom alebo právnikom, i.e. je tu viditeľná snaha uľahčiť dopad regulačných povinností vo vzťahu k takým subjektom, ktoré nebudú spracúvať osobné údaje v takom (veľkom) rozsahu ako štátne orgány, či väčšie nemocnice hoci budú mať podobnú agendu.

Podľa WP 29 je pri hodnotení atribútu „spracúvania vo veľkom rozsahu“ vhodné posudzovať nasledovné faktory:[11]

  • počet dotknutých osôb, a to vo vzťahu ku konkrétnym číslam alebo k relevantnej populácii;
  • rozsah a rozličnosť dát zahrnutých do celkového spracúvania
  • trvanie spracúvania osobných údajov;
  • geografický rozsah spracovateľských operácii.

Na základe vyššie uvedených právnych úvah poskytla WP 29 aj prvé príklady toho, čo považuje za spracúvanie osobných údajov vo veľkom rozsahu:[12]

  • spracúvanie osobných údajov pacienta, ktoré realizuje nemocnica v bežnom obchodnom styku;
  • spracúvanie osobných údajov cestujúcej verejnosti zo strany dopravcov na úrovni miest;
  • geo-lokalizácia zákazníka zo strany medzinárodného reťazca poskytujúceho rýchle občerstvenie na štatistické účely s využitím sprostredkovateľa poskytujúceho takúto službu;
  • bežné spracúvanie osobných údajov zo strany banky alebo poisťovne,
  • spracúvanie osobných údajov pri využívaní behaviorálnej reklamy poskytovateľom internetového vyhľadávača;
  • spracúvanie prevádzkových a lokalizačných údajov zo strany mobilných operátorov alebo poskytovateľov internetového pripojenia;

V súvislosti s faktorom „spracúvania vo veľkom rozsahu“ je možné očakávať zo strany regulačného prostredia (napr. WP29, resp. po účinnosti GDPR už Európsky výbor pre ochranu údajov, jednotlivé DPA, prípadne EDPS) postupom času podľa nášho názoru aj bližšiu kvantifikáciu tohto pojmu napr. stanovením konkrétnych hodnôt (treshold).

Posledným faktorom, ktorý ovplyvňuje vznik povinnosti kreovať zodpovednú osobu je prítomnosť pravidelného a systematického monitorovania dotknutej osoby. Hoci pojem „pravidelné a systematické monitorovanie, resp. sledovanie dotknutej osoby“ nie je v GDPR nikde explicitne definovaný, opäť je možné nájsť určité usmernenie v úvodných ustanoveniach GDPR[13], kde sa uvádza, že do tohto pojmu jasne spadajú všetky formy online trackingu a profilovania[14] dotknutej osoby, vrátane behaviorálnej reklamy.

Pracovná skupina WP 29 tento prístup GDPR defacto rozširuje tým, že konštatovala, že sledovanie, resp. monitoring dotknutých osôb nie je obmedzený len na online prostredie, s čím je možné sa stotožniť. Z uvedeného hľadiska je vhodné zvážiť možnosť vzniku povinnosti kreovať zodpovednú osobu podľa článku 38 ods. 2 písm. b) GDPR aj v prípadoch masívneho nasadenia určitých kontrolných mechanizmov na väčší počet zamestnancov (napr. kamerové systémy, geolokalizácia motorových vozidiel, elektronická dochádzka, rôzne koncepty biometrických systémov apod.) alebo pri monitorovaní rozľahlejších verejných priestorov, ktoré navštevujú veľké počty dotknutých osôb (napr. námestia, nákupné centrá, siete obchodov, zábavné parky apod.).

Pravidelnosť a systematickosť monitorovania, resp. sledovania dotknutých osôb WP 29 interpretuje zjednodošene povedané tak, že ide o kontinuálne spracúvanie, ktoré prebieha v určitých intervaloch za určité obdobie, ktoré sa opakuje v stanovených časoch alebo sa neustále periodicky odohráva, a to na základe nastavení systému, príp. ako súčasť vopred zvolenej stratégie prevádzkovateľa alebo sprostredkovateľa. Čiže tento atribút naplnia v podstate všetci prevádzkovatelia, ktorí budú realizovať rozsiahle monitorovanie dotknutých osôb na základe vopred racionálne vymedzeného účelu doplneného potrebnou konfiguráciou zvolených prostriedkov spracúvania alebo sprostredkovatelia, ktorí budú na dopyt po takýchto účeloch spracúvania osobných údajov reflektovať svojou vlastnou ponukou služieb určených na outsourcing pre prevádzkovateĺom. Povolenie prípadných excesov potrebných na to, aby nedošlo k aplikácii súvisiacej povinnosti bude musieť asi „obrúsiť“ až aplikačná prax jednotlivých dozorných orgánov na čo si budeme musieť ešte počkať.

Spracúvanie osobitných kategórii osobných údajov vo veľkom rozsahu (článok 37 ods. 1 písm. c) GDPR)

Osobitné kategórie osobných údajov sú tradične v ochrane osobných údajov vyselektované kategórie údajov, ktorých povaha má citlivejší charakter ako bežné identifikátory. GDPR vymedzuje túto skupinu osobných údajov v ustanoveniach článku 9 (napr. údaje odhaľujúce rasový pôvod, politické názory, sexuálnu orientáciu a sexuálny život, genetické údaje,biometrické údaje, údaje o členstve v odboroch, údaje týkajúce sa zdravia), pričom genetické, biometrické a údaje sa týkajúce zdravia sú aj samostatne legálne definované v článku 4 GDPR.

Na vznik povinnosti kreovať zodpovednú osobu podľa tohto ustanovenia je teda potrebné kumulatívne splnenie dvoch atribútov: I) spracúvania osobitnej kategórie osobných údajov a II) veľkého rozsahu ich spracúvania .

Podľa tohto ustanovenia teda povinnosť kreovať zodpovednú osobu vznikne napr. väčším zdravotníckym zariadeniam, ale nevznikne tzv. obvodným lekárom v menších súkromných ordináciách alebo vznikne prevádzkovateľovi sociálnej siete, ale nevznikne prevádzkovateľovi malého lokálneho komunitného portálu združujúceho úzko profilovanú sociálnu skupinu.

Záver

V oblasti ochrany osobných údajov obzvlášť platí, že každý prípad musí byť posudzovaný individuálne, lebo aj jednotlivé podmienky spracúvania osobných údajov sa skoro vždy zásadne odlišujú, a to nielen z pohľadu informačnej bezpečnosti, ale aj vnútorných procesov a biznis modelov, ktoré potrebujú pracovať s údajmi.

Niektorým skupinám prevádzkovateľov, či sprostredkovateľov môže vzniknúť povinnosť kreovať zodpovednú osobu hneď podľa viacerých ustanovení GDPR, iným nevznikne vôbec. Posúdenie toho, či vo Vašej organizácii vznikne povinnosť kreovať zodpovednú osobu je vhodné vykonať ešte v priebehu roku 2017, aby v závislosti od interných rozhodovacích procesov (napr. rozhodnutie či bude zodpovedná osoba z interného prostredia alebo outsourcing, verejné obstarávanie, negociácia a kontraktácia externého dodávateľa, vyčlenenie finančných zdrojov, zmeny v organizačnej štruktúre) stihlo dôjsť k povereniu vhodnej a kvalifikovanej zodpovednej osoby najneskôr do 25. mája 2018.

Vhodne zvolená zodpovedná osoba je silným prvkom pre preukazovanie súladu s GDPR a pre potrebné nastavenie compliance procesov a bezpečnostných opatrení vo Vašej firme. Z vlastných skúseností mojej doterajšej praxe, v ktorej vykonávam aj funkciu zodpovednej osoby, môžem skonštatovať, že na zodpovednej osobe sa neoplatí šetriť (napr. „násilné“ vymenovanie nedostatočne kvalifikovaného zamestnanca), keďže len samotné nesplnenie povinnosti kreovať dostatočne kvalifikovanú zodpovednú osobu bude musieť byť podľa GDPR sankcionované až do výšky 10 miliónov EUR alebo až do výšky 2% z celosvetového obratu za predchádzajúci rok, a to podľa toho ktorá suma by bola vyššia.

Autor: JUDr. Ondrej Zimen

Táto e-mailová adresa je chránená pred spamovacími robotmi. Na jej zobrazenie potrebujete mať nainštalovaný JavaScript.

  • Poznámky pod čiarou
  • Súvisiace právne predpisy