Úloha zodpovednej osoby (DPO)

Úryvok z knihy Bruna DUMAYA: DEŠIFROVANIE GDPR – Pre manažérov, strategické oddelenia a zamestnancov spoločností a organizácií – Predslov od Gaëlle MONTEILLER

Spolu s posúdením vplyvu je úradník pre ochranu údajov (DPO) druhým symbolickým výtvorom GDPR. Vo Francúzsku logicky nahrádza úradníka pre ochranu údajov (CIL), úradníka pre ochranu údajov (CPL). Treba však poznamenať, že Európska únia už dlho odporúča vymenovanie úradníka pre ochranu údajov vo veľkých administratívnych a hospodárskych štruktúrach a že niektoré sa týmto odporúčaním riadili.

Skupina G29 pracovala na úlohe úradníka pre ochranu údajov a prijala určité „usmernenia“, ktoré boli finalizované 5. apríla 2017. Tieto podrobnosti nám pomáhajú načrtnúť kontúry a obsah tejto kľúčovej pozície.

Určenie zodpovednej osoby je povinné pre (článok 37-1):

– verejné orgány;

– organizácie, ktorých hlavné činnosti si vyžadujú pravidelné a systematické monitorovanie jednotlivcov vo veľkom rozsahu. Skupina G29 rozlišuje medzi podpornými činnosťami, ako sú mzdy alebo IT, a hlavnými činnosťami, ktoré sa týkajú hlavnej činnosti organizácie (napríklad zdravotné údaje pre nemocnicu). Podobne zaujíma veľmi široký pohľad na koncept „pravidelného a systematického monitorovania“, ktorý sa neobmedzuje len na online prostredie;

– organizácie, ktorých hlavné činnosti ich vedú k spracúvaniu „citlivých“ údajov alebo údajov týkajúcich sa odsúdení za trestné činy a priestupkov vo veľkom rozsahu (G29 poskytuje významné prvky na určenie toho, čo sa rozumie pod pojmom „vo veľkom rozsahu“).

Skupina spoločností alebo súbor verejných orgánov môže vymenovať jednu zodpovednú osobu (článok 37-2 a 37-3). Samozrejme, vymenovanie zodpovednej osoby dôrazne odporúča skupina G29, a to aj v tomto prípade ako osvedčený postup.

Zodpovednú osobu vymenúva prevádzkovateľ údajov a prípadne aj sprostredkovateľ na základe jej odborných kvalít, „najmä jej odborných znalostí právnych predpisov a postupov v oblasti ochrany údajov a jej schopnosti vykonávať svoje povinnosti“ (článok 37-5). Čím zložitejšie sú operácie spracovania, tým vyššie očakávané zručnosti.

Zodpovedná osoba za ochranu údajov môže byť interná alebo externá pre organizáciu a v druhom prípade vykonáva svoju úlohu na základe zmluvy. Ak je poskytovateľom služieb tím, musia byť špecifikované úlohy každého člena a musí byť určený vedúci tímu. WP29 odporúča, aby bola ZO ľahko „dostupná“, a preto aby mala sídlo v Európskej únii. Najmä ak má prevádzkovateľ alebo sprostredkovateľ sídlo mimo Európskej únie, je však prijateľné, aby ZO mala sídlo mimo EÚ, ak týmto spôsobom môže konať efektívnejšie.

Zodpovedná osoba nehrá len symbolickú úlohu. Prevádzkovateľ aj spracovateľ musia byť zapojení do „všetkých záležitostí týkajúcich sa ochrany osobných údajov“ (článok 38-1). Môže sa s ňou spojiť ktorákoľvek osoba, ktorej osobné údaje sa spracúvajú (článok 38-4). Má „potrebné zdroje“ na plnenie svojich povinností, má prístup k údajom a operáciám spracovania a musí byť dokonca schopná „udržiavať si svoje odborné znalosti“ (článok 38-2). Pod „potrebnými zdrojmi“ G29 myslí aj podporu prostredníctvom dohľadu, dostatočného času, materiálnych podmienok a školenia. Zodpovedná osoba je v istom zmysle posvätená.

O to viac, že jeho nezávislosť je zaručená. V skutočnosti nemôže „dostávať žiadne pokyny týkajúce sa výkonu úloh“ (článok 38-3). Prevádzkovateľ údajov a subdodávateľ nad ním nemajú žiadnu moc (majú však právomoc ho vymenovať), ktorý je zodpovedný iba „najvyššej úrovni“ svojho vedenia. Je tiež viazaný služobným tajomstvom a povinnosťou mlčanlivosti (článok 38-5).

Napriek svojmu postaveniu nie je zodpovedná osoba za ochranu údajov zodpovedná za nedodržiavanie GDPR organizáciou, ktorá ju poverila. Zodpovednosť nesie iba prevádzkovateľ a/alebo spracovateľ. Trestná zodpovednosť by mohla vzniknúť iba v prípade spoluúčasti na úmyselnom porušení.

Zodpovedná osoba môže vykonávať aj iné povinnosti a úlohy, ktoré nesmú viesť ku konfliktu záujmov (článok 38-6). Preto je pre ňu nemožné vykonávať funkcie, ktoré by ju viedli k rozhodovaniu o účeloch a prostriedkoch spracovania osobných údajov. Zodpovedná osoba preto môže sotva vykonávať riadiace funkcie organizácie alebo pracovať v rámci oddelenia zodpovedného za správu údajov. V roku 2015 vykonala CNIL štúdiu na určenie profilov zodpovedných osôb; ukázalo sa, že neexistuje typický profil: 47 % malo technický profil, 19 % právny profil a 10 % administratívny profil. Je pravdepodobné, že prinajmenšom spočiatku sa táto absencia typického profilu vyskytne aj u zodpovedných osôb.

Článok 39 GDPR uvádza povinnosti delegovanej osoby:

– informovať a poradiť prevádzkovateľovi, spracovateľovi a zamestnancom vykonávajúcim spracovanie o ich povinnostiach týkajúcich sa pravidiel spracovania osobných údajov;

– monitorovať dodržiavanie predpisov, ale aj zvyšovať povedomie a školiť zamestnancov zapojených do spracovateľských operácií;

– na požiadanie poskytnúť poradenstvo k posúdeniu vplyvu. Usmernenia WP29 jasne pripisujú zodpovednej osobe za ochranu údajov hlavnú úlohu v tomto posúdení. Je potrebné s ňou konzultovať o aktuálnosti, metodike a obsahu a následne posúdiť jeho kvalitu;

– spolupracovať s dozorným orgánom a byť preň kontaktnou osobou. V čase písania tohto článku CNIL vyvíja formulár na určenie zodpovednej osoby.

Nie je to v článku, ale G29 pridáva dodatočnú a voliteľnú úlohu zodpovednej osobe: „Nič nebráni prevádzkovateľovi alebo sprostredkovateľovi, aby zverili zodpovednej osobe úlohu viesť register operácií spracovania vykonaných v rámci zodpovednosti prevádzkovateľa alebo sprostredkovateľa.“ Možno je to návrh na uľahčenie toku informácií medzi rôznymi aktérmi?

To by nebolo zbytočné. Pretože na konci analýzy tejto funkcie si hovoríme, že nebude ľahké nájsť, a to ani vo veľkej spoločnosti, osobu, ktorá je zároveň kompetentná hrať túto dôležitú úlohu a zároveň zbavená akejkoľvek zodpovednosti za spracovanie údajov, aby sa predišlo konfliktu záujmov. Nie je naozaj jednoduché poznať ustanovenia nariadenia a najmä ich dôsledky, keď ich človek nemusí sám implementovať v kontexte svojej práce.

V tomto bode je problém s pomenovaním zodpovednej osoby za ochranu údajov jednoduchý, aj keď v skutočnosti ide o tri samostatné tvrdenia:

Pri jeho internom vymenovaní je potrebné prekonať viacero prekážok, ako napríklad sociálny aspekt a opätovné prerokovanie pracovnej zmluvy. V tomto prípade je skutočne bezpečné staviť na to, že rozsah tejto novej úlohy nebol známy pri pôvodnom podpise zmluvy. Ak k tomu pridáme pojem rizika, priamu a výlučnú podriadenosť riadeniu spoločnosti a ničomu inému, ide o podstatnú úpravu zmluvy, a teda o novú pracovnú zmluvu. A kto ju bude interne hodnotiť, kontrolovať? A kto bude vykonávať svoju prácu, keďže už nemôže byť sudcom a arbitrom...

Prijmite ho a dopyt prudko stúpne. Jeho profil je taký žiadaný veľkými a strednými spoločnosťami, že kvôli nedostatku dochádza k skutočnej inflácii. A problém zostáva: kto ho bude hodnotiť a monitorovať?

Prečo teda nedelegovať túto funkciu zodpovednej osoby (DPO) na prísahom viazaného odborníka, ktorý by mohol vykonávať svoju úlohu so zručnosťou a nezávislosťou, ktoré je interne ťažké zosúladiť? Nariadenie o tejto možnosti nič nehovorí a bude potrebné v praxi zistiť, či je to predstaviteľné a predpokladané (nič nám nebráni v tom, aby sme sa na túto tému opýtali CNIL). V každom prípade sa nám to zdá zaujímavé, ako záruka cnostného vzťahu medzi prevádzkovateľom údajov a zodpovednou osobou.

A nakoniec, môžeme sa jednoducho rozhodnúť nevymenovať zodpovednú osobu, pretože jednoducho nie ste prísne povinní tak urobiť.