Zodpovedná osoba
Prevádzkovateľ alebo sprostredkovateľ, ktorý spracúva osobné údaje prostredníctvom 20 a viac oprávnených osôb, je povinný poveriť zodpovednú osobu výkonom dohľadu nad ochranou osobných údajov, ktoré spracúva.
Oprávnenou osobou je každá fyzická osoba, ktorá prichádza do styku s osobnými údajmi, ktoré sú spracúvané v informačných systémoch jej zamestnávateľa. Zamestnávateľom oprávnenej osoby môže byť prevádzkovateľ alebo sprostredkovateľ. Fyzická osoba sa stáva oprávnenou osobou až dňom jej poučenia (bližšie pozri § 21 zákona o ochrane osobných údajov). Oprávnenou osobou môžu byť okrem zamestnancov aj osoby, ktoré vykonávajú pre zamestnávateľa závislú prácu aj na základe dohôd mimo pracovného pomeru (napr. brigádnici, študenti, tzv. dohodári), ale aj osoby, ktoré vykonávajú absolventskú prax. Aj keď je zodpovedná osoba zároveň aj oprávnenou osobou, nemusí byť zamestnancom, tzn. že môže pochádzať aj z externého prostredia a výkon funkcie zodpovednej osoby je tak možný aj na základe odplatného alebo bezodplatného zmluvného vzťahu s akoukoľvek zodpovednou osobou.
Dobrovoľné poverenie zodpovednej osoby, teda iné poverenie ako na základe splnenia zákonnej povinnosti uloženej v § 23 ods. 2 zákona 122/2013, nie je možné.
Písomné poverenie na výkon funkcie zodpovednej osoby
Prevádzkovateľ alebo sprostredkovateľ písomne poveria zodpovednú osobu výkonom dohľadu nad ochranou osobných údajov formou písomného poverenia.
Písomné poverenie musí obsahovať:
- identifikačné údaje prevádzkovateľa alebo sprostredkovateľa, ktorý písomne poveruje zodpovednú osobu
- titul, meno, priezvisko a dátum narodenia poverenej zodpovednej osoby
- dátum začiatku platnosti poverenia zodpovednej osoby
- vyhlásenie prevádzkovateľa o tom, že poverená osoba spĺňa predpoklady podľa zákona na výkon funkcie zodpovednej osoby
- číslo potvrdenia o absolvovaní skúšky fyzickej osoby na výkon funkcie zodpovednej osoby a dátum vydania tohto potvrdenia
- výslovný súhlas zodpovednej osoby s jej poverením a podpis poverenej zodpovednej osoby
- odtlačok pečiatky prevádzkovateľa alebo sprostredkovateľa, ktorý písomne poveruje zodpovednú osobu
- podpis štatutárneho orgánu alebo inej osoby oprávnenej konať v mene prevádzkovateľa alebo sprostredkovateľa, ktorý písomne poveruje zodpovednú osobu.
Zodpovedná osoba je zároveň aj oprávnenou osobou prevádzkovateľa, a teda jej poverenie na výkon funkcie zodpovednej osoby musí v prílohe obsahovať aj jej písomné poučenie, ako oprávnenej osoby prevádzkovateľa. Ak prevádzkovateľ poveril výkonom dohľadu nad spracúvaním osobných údajov niekoľko zodpovedných osôb je potrebné, aby tieto písomnosti obsahovali presnú špecifikáciu povinností, ktoré v rámci dohľadu nad ochranou spracúvania osobných údajov u prevádzkovateľa v zmysle zákona vykonáva (napríklad, ktoré konkrétne informačné systémy osobných údajov má na starosti, povinnosti, ktoré v rámci dohľadu vykonáva a pod.).
Lehota na poverenie zodpovednej osoby
Písomné poverenie zodpovednej osoby je nevyhnutné vykonať najneskôr do 60 dní od začatia spracúvania osobných údajov alebo od vzniku tejto povinnosti.
Ukončenie poverenia zodpovednej osoby
Zákon predpokladá dva spôsoby ukončenia poverenia zodpovednej osoby:
A) odvolanie poverenia
B) zánik poverenia priamo zo zákona.
Ad A) Odvolanie poverenia
Poverenie zodpovednej osoby je ukončené písomným odvolaním poverenia, a to bez udania akéhokoľvek dôvodu. Prevádzkovateľ alebo sprostredkovateľ majú právo odvolať poverenú zodpovednú osobu na základe vlastného rozhodnutia, avšak je potrebné aby dbali v tejto súvislosti na to, že sú povinní umožniť zodpovednej osobe nezávislý výkon dohľadu nad ochranou osobných údajov a prijať jej oprávnené návrhy, pričom upozornenie na nedostatky alebo vyslovenie požiadavky zodpovednou osobou v súvislosti s plnením jej povinností podľa zákona sa nesmie stať podnetom ani dôvodom na konanie, ktoré by zodpovednej osobe spôsobilo ujmu.
Ad B) Zánik poverenia priamo zo zákona
Písomné poverenie zodpovednej osoby automaticky zaniká aj z nasledovných objektívnych dôvodov upravených v § 26 ods. 2 zákona:
- smrťou zodpovednej osoby
- dňom zániku prevádzkovateľa
- dňom, kedy zodpovedná osoba prestala spĺňať podmienky na vykonávanie funkcie zodpovednej osoby
- uplynutím lehoty dvoch rokov, počas ktorých zodpovedná osoba nevykonávala svoju funkciu
- dňom skončenia pracovného pomeru, štátnozamestnaneckého pomeru, služobného pomeru alebo obdobného pracovného vzťahu zodpovednej osoby, ak je zamestnancom prevádzkovateľa a písomne sa nedohodnú na pokračovaní výkonu funkcie zodpovednej osoby podľa zákona, alebo
- dňom, kedy prevádzkovateľ prevzal písomnú žiadosť zodpovednej osoby o zrušenie jej poverenia na výkon funkcie zodpovednej osoby, ak nedošlo k inej dohode o lehote zániku.
Po odvolaní písomného poverenia alebo zániku písomného poverenia je potrebné poveriť novú zodpovednú osobu výkonom dohľadu nad ochranou osobných údajov.
Oznamovanie poverenia zodpovednej osoby Úradu na ochranu osobných údajov
Písomné poverenie zodpovednej osoby je nevyhnutné oznámiť úradu bez zbytočného odkladu, najneskôr do 30 dní odo dňa poverenia zodpovednej osoby doporučenou zásielkou alebo v podobe elektronického dokumentu podpísaného zaručeným elektronickým podpisom. Ak bolo písomne poverených viac zodpovedných osôb je takýmto spôsobom potrebné oznámiť úradu všetky písomne poverené zodpovedné osoby.
Prevádzkovateľ oznámi úradu tieto údaje
- identifikačné údaje prevádzkovateľa alebo sprostredkovateľa, ktorý písomne poveruje zodpovednú osobu
- titul, meno, priezvisko a dátum narodenia zodpovednej osoby
- deň, keď sa fyzická osoba stala zodpovednou osobou
- vyhlásenie o tom, že zodpovedná osoba spĺňa predpoklady na výkon svojej funkcie podľa zákona
- číslo potvrdenia o absolvovaní skúšky fyzickej osoby na výkon funkcie zodpovednej osoby a dátum vydania potvrdenia
- odtlačok pečiatky prevádzkovateľa
- dátum vyhotovenia oznámenia
- podpis štatutárneho orgánu alebo inej osoby oprávnenej konať v mene prevádzkovateľa alebo sprostredkovateľa, ktorý písomne poveruje zodpovednú osobu.
Ak dôjde počas výkonu funkcie zodpovednej osoby k zmenám vyššie uvedených údajov je potrebné o tom úrad bezodkladne informovať.
Predpoklady pre výkon funkcie zodpovednej osoby
Zodpovedná osoba musí spĺňať viaceré kritériá, bez ktorých nie je možné vykonávať túto funkciu. Zodpovedná osoba musí:
- byť bezúhonná
- mať spôsobilosť na právne úkony v plnom rozsahu
- musí disponovať platným potvrdením úradu o úspešnom vykonaní skúšky na výkon funkcie zodpovednej osoby, ktorou preukáže svoju odbornú spôsobilosť.
Ak zodpovedná osoba nebude viac ako dva roky sústavne vykonávať funkciu zodpovednej osoby, stratí svoje postavenie a bude musieť opäť úspešne absolvovať skúšku na výkon funkcie zodpovednej osoby.
Skúška fyzickej osoby na výkon funkcie zodpovednej osoby
Účelom skúšky je zistiť, či fyzická osoba má potrebné odborné vedomosti na vykonávanie dohľadu nad ochranou osobných údajov. Skúška v sídle úradu je bezplatná, termín a čas bude zverejňovaný priebežne na webovom sídle úradu. Skúšku je možné vykonať aj mimo sídla úradu. Za skúšky mimo sídla úradu sa platí poplatok organizátorovi skúšky.
Skúška prebieha formou písomného testu, ktorý obsahuje 20 otázok. Za každú správne zodpovedanú otázku je jeden bod. Každá otázka má len 1 správnu odpoveď. Na vyznačenie odpovedí je stanovený limit 30 minút. Na úspešné absolvovanie skúšky je potrebné získať najmenej 15 bodov. Ak žiadateľ neuspeje, skúšku môže absolvovať opakovane, najskôr po uplynutí 60 dní odo dňa konania predchádzajúcej neúspešnej skúšky.
Skúška sa vykonáva zo znalostí všeobecne záväzných právnych predpisov upravujúcich oblasť ochrany osobných údajov. Konkrétny okruh otázok je uvedený v prílohe vyhlášky č. 164/2013 Z. z. úradu, ktorou sa ustanovujú podrobnosti o skúške fyzickej osoby na výkon funkcie zodpovednej osoby. Okruhmi otázok sú:
- základné ľudské práva a slobody
- ochrana osobných údajov podľa zákona
- ochrana osobnosti v občianskom práve
- spracúvanie osobných údajov v pracovnoprávnych vzťahoch a súkromie zamestnanca na pracovisku a v spoločných priestoroch zamestnávateľa
- trestný čin neoprávneného nakladania s osobnými údajmi.
Úlohy a povinnosti zodpovednej osoby
Zodpovedná osoba je povinná pred začatím spracúvania osobných údajov v informačnom systéme posúdiť, či ich spracúvaním nevzniká nebezpečenstvo narušenia práv a slobôd dotknutých osôb (napr. preverí primeranosť právneho základu, primeranosť prijatých bezpečnostných opatrení v kontexte typu, spôsobu a prostriedkov spracúvania, súlad účelu spracúvania s príslušnou legislatívou, apod.)
Zistenie narušenia práv a slobôd dotknutých osôb pred začatím spracúvania alebo porušenia zákonných ustanovení v priebehu spracúvania osobných údajov je zodpovedná osoba povinná bez zbytočného odkladu vždy písomne oznámiť tomu, kto ju písomne poveril.
V prípade ak po upozornení zodpovednej osoby nie je zabezpečená bez zbytočného odkladu náprava, tak je to zodpovedná osoba povinná oznámiť úradu.
Zodpovedná osoba
- je kontaktnou osobou u prevádzkovateľa pre úrad
- komunikuje s úradom
- poskytuje úradu potrebnú súčinnosť pri plnení jeho úloh
- dohliada na správne a kontinuálne plnenie základných povinností prevádzkovateľa
- zabezpečuje poučenie oprávnených osôb
- vybavuje žiadosti dotknutých osôb v súvislosti s uplatňovaním ich práv
- komplexne zabezpečuje bezpečnostné opatrenia a ich aktualizáciu
- dohliada na výber sprostredkovateľov
- dáva „pozor“ na vzťah so sprostredkovateľom aj počas trvania zmluvného vzťahu
- dohľad nad cezhraničným prenosom osobných údajov
- rieši agendu registrácii alebo evidencie informačných systémov osobných údajov.
JUDr. Jaroslav Zaremba úspešne vykonal skúšku na Úrade na ochranu osobných údajov SR na výkon funkcie zodpovednej osoby.