Osobné údaje a Vaša firma: Zodpovedná osoba

V máji 2018 prichádza do účinnosti nová a tentokrát jednotná regulácia ochrany osobných údajov platná v celej Európskej Únii. Ide o európske  nariadenie GDPR. V našom seriály o ochrane osobných údajov sa budeme postupne venovať všetkým jeho podstatným inštitútom. Medzi tieto inštitúty patrí aj tzv. Zodpovedná osoba. V súčasnosti je vytvorenie Zodpovednej osoby vo firme výlučne dobrovoľné, no nová legislatíva to mení na povinnosť. 

JUDr. Filip Petrinec, PhD. 25. 04. 2017 2 min.

Prekonaný princíp kreácie Zodpovednej osoby založený na počte pracovníkov firmy , ktorí sa oboznamujú s osobnými údajmi bude nahradený tzv. princípom „risk based approach“, čiže hodnotením rizika, do ktorého sa osobné údaje môžu dostať. V zmysle toho budete musieť vo firme individuálne posúdiť, či vzhľadom na toto riziko musíte ustanoviť Zodpovednú osobu.

Dôvody kedy bude potrebné ustanoviť Zodpovednú osobu sú napríklad tieto:

-          Rozsiahle monitorovanie v rámci hlavných činností  firmy

Tu je potrebné posudzovať to, či sa monitorovanie osobných údajov uskutočňuje na pravidelnej a systematickej báze. Rozhodujúce však je aj to, či je tento proces súčasťou hlavných činností firmy. Hlavné činnosti závisia predovšetkým od povahy danej spoločnosti a jej predmetu podnikania. V zásade hovoríme o takom nakladaní s osobnými údajmi, ktoré bezprostredne smeruje k naplneniu hlavného predmetu podnikania. Napríklad hlavnou činnosťou nemocnice je poskytovanie lekárskej starostlivosti. V záujme dosiahnutia tohto cieľa je potrebné monitorovať a nakladať s osobnými údajmi. Vzniká teda povinnosť ustanoviť Zodpovednú osobu.

-          Osobitné kategórie osobných údajov

Tu hovoríme o osobných údajoch, ktoré majú najmä citlivejší charakter ako bežné identifikátory. Patria sem najmä informácie o rase, sexuálnej orientácii, zdravotnom stave, ale aj o politických názoroch, genetických údajoch a podobne. Táto kategória sa však z pohľadu povinnosti ustanoviť Zodpovednú osobu stáva relevantnou, až v okamihu, keď dochádza k rozsiahlemu spracovávaniu osobných údajov, tak ako je tomu v prvom prípade. Teda, túto povinnosť bude mať napríklad nemocnica, avšak nie obvodný lekár pracujúci s relatívne malým počtom pacientov.

Jednou z podstát nariadenia GDPR bola aj snaha o nahradenie rigidných princípov flexibilitou a proporcionalitou. Výsledkom je vytvorenie priestoru pre právnu úvahu, ktorý však prináša so sebou aj mnohé otázky v rámci výkladovej praxe jednotlivých ustanovení.

Ak Vás táto téma upútala a chceli by ste sa dozvedieť, akými interpretačnými kľúčmi sa bude potrebné riadiť, prečítajte si článok právneho experta na ochranu osobných údajov, ktorý nájdete len na PrávneNoviny.sk.