streda 31. januára 2018

DPO: Úradník pre osobné údaje

Nariadenie o prísnejšej ochrane osobných údajov GDPR (General Data Protection Regulation) prikazuje niektorým firmám vytvoriť novú pozíciu – pracovníka zodpovedného za osobné údaje. Data Protection Officer (DPO) bude podľa odborníkov zakrátko lukratívnou pozíciou a nebude vôbec jednoduché ho nájsť.  

Európske nariadenie GDPR účinné od 25. mája tohto roka si podľa odhadov vyžiada zmeny procesov a systémov u približne pol milióna firiem na Slovensku za vyše 40 miliónov eur. Nariadenie zavádza niekoľko nových požiadaviek, medzi ktorými je aj povinné ustanovenie DPO – zodpovednej osoby za spracúvanie osobných údajov pre určený okruh prevádzkovateľov. Dnes je na Slovensku ustanovenie zodpovednej osoby dobrovoľné. Podľa GDPR musia mať prevádzkovatelia Data Protection Officera v troch konkrétnych prípadoch:
- Spracúvanie vykonáva orgán verejnej moci alebo verejnoprávny subjekt.
- Hlavnými činnosťami prevádzkovateľa alebo sprostredkovateľa sú také spracovateľské operácie, ktoré si vyžadujú pravidelné a systematické monitorovanie dotknutých osôb vo veľkom rozsahu.
-Hlavnými činnosťami prevádzkovateľa alebo sprostredkovateľa je spracúvanie osobitných kategórií údajov vo veľkom rozsahu alebo spracúvanie osobných údajov týkajúcich sa uznania viny za trestné činy a priestupky.

Pojem „veľký rozsah“ nie je nikde presne kvantifikovaný. Aby firma zistila, či spadá do tejto kategórie, môže si pomôcť vysvetlením pracovnej skupiny pri Európskej komisii WP29, ktorá vydáva k GDPR metodické usmernenia. Za určujúce faktory veľkého rozsahu považuje počet dotknutých osôb, objem údajov alebo rozsah rôznych položiek údajov, dĺžku trvania alebo stálosť činnosti spracúvania a geografický rozsah spracovateľskej činnosti.

Kompetencie a úlohy DPO sú veľmi široké. Monitoruje dodržiavanie nových požiadaviek na ochranu osobných údajov a súvisiacich právnych predpisov, poskytuje informácie, poradenstvo a odporúčania vedeniu či spolupracuje s Úradom na ochranu osobných údajov. DPO majú reguláciou garantované nezávislé postavenie, musia byť prizývané na zasadnutia manažmentu a budú musieť byť pri rozhodnutiach vplývajúcich na ochranu osobných údajov. Zodpovedná osoba nemusí byť iba interný zamestnanec firmy, môže túto funkciu zastávať aj externe na základe zmluvy. Zároveň podniky patriace do jednej skupiny si môžu zvoliť iba jedného DPO.