Postaveniu zodpovednej osoby sa v komerčnom prostredí nevenovalo toľko pozornosti, ako je tomu po nadobudnutí účinnosti všeobecného nariadenia o ochrane údajov (nariadenie GDPR). S cieľom ozrejmiť skutočný význam tohto inštitútu v práve osobných údajov sme sa rozhodli postupne publikovať niekoľko článkov na túto tému. Konkrétne v tomto článku sa pozrieme na postavenie zodpovedných osôb v slovenskom právnom poriadku, a to s dôrazom na ukotvenie tohto inštitútu v právnym normách, ako aj na základné princípy definujúce postavenie zodpovednej osoby v poňatí súčasnej legislatívy.
Historický kontext inštitútu zodpovednej osoby
Inštitút zodpovednej osoby sa prvýkrát ocitol v našom právnom poriadku 1. marca 1998, kedy nadobudol účinnosť zákon č. 52/1998 Z. z. o ochrane osobných údajov v informačných systémoch1). Prevádzkovateľ bol povinný písomne poveriť zodpovednú osobu výkonom dozoru, ak zamestnával viac ako päť osôb, pričom osobné údaje zodpovednej osoby boli sprístupňované Štatistickému úradu SR pri registrácii informačného systému2).
Nedostatky z aplikačnej praxi však viedli zákonodarcu3) k precizovaniu postavenia zodpovednej osoby4). Prijatím nového zákona o ochrane osobných údajov (428/2002 Z. z.) došlo k zavedeniu povinnosti prevádzkovateľa zabezpečiť odborné školenie zodpovedných osôb, keďže tie bez dostatočných znalostí častokrát nedokázali účinne vykonávať zverené právomoci, čím sa uplatňovanie inštitútu zodpovednej osoby míňalo svojim účinkom. Uvedená právna úprava tiež rozšírila okruh povinností zodpovednej osoby, podmienky na výkon tejto funkcie, zakotvenie princípu nezávislosti výkonu funkcie, fakultatívnu možnosť prevádzkovateľa ustanoviť zodpovednú osobu, ako aj notifikačnú povinnosť o ustanovení zodpovednej osoby.
Prijatie ďalšieho zákona o ochrane osobných údajov (122/2013 Z. z.), ktorý nahradil dovtedy platný všeobecne záväzný právny predpis (428/2002 Z. z.), bolo predovšetkým odozvou na dôslednú transpozíciu smernice Európskeho parlamentu a Rady 95/46/ES o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe týchto údajov (smernica 95/46/ES). Jednou z primárnych požiadaviek nového predpisu bola mimo iného nevyhnutnosť zvyšovať odbornosť zodpovedných osôb5), keďže táto stránka sa stále javila byť problematickým aspektom. Medzi najzásadnejšie zmeny, ktoré modifikovali obsah postavenia zodpovednej osoby možno spomenúť upustenie od obligatórneho (povinného) poverovania zodpovedných osôb, a to iba pre prípad, ak sa osobné údaje spracúvali prostredníctvom poverených osôb (z právnej úpravy vypadlo obligatórne poverovanie v prípade, ak mal prevádzkovateľ viac ako 5 zamestnancov). Ďalej sa sprísnili podmienky na výkon funkcie zodpovednej osoby, zaviedla sa skúška na overenie odborných znalostí (skúšku zabezpečoval Úrad na ochranu osobných údajov SR), upravili sa tiež náležitosti písomného poverenia a zániku tohto poverenia.
Všetky tri vyššie menované legislatívne etapy vývoja inštitútu zodpovednej osoby potvrdzujú pozitívny prístup Slovenskej republiky k jeho existencii a opodstatnenosti v našom právnom poriadku, hoci smernica 95/46/ES poverovanie zodpovedných osôb nevyžadovala6); ako v jednom zo svojich stanovísk uvádza Pracovná skupina pre ochranu údajov zriadená podľa článku 29 (v súčasnosti Európsky výbor pre ochranu údajov), prax vymenovania zodpovedných osôb sa časom rozvinula len v niekoľkých členských štátoch7). Pracovná skupina však vyslovila názor, „že zodpovedná osoba je základným kameňom zodpovednosti a že určenie zodpovednej osoby môže uľahčiť dodržiavanie predpisov a navyše poskytnúť podnikom konkurenčnú výhodu“8). Obdobne motivovaný prístup zaujal k tejto téme aj európsky zákonodarca v texte nariadenia GDPR9), ktoré je vo svojom znení platné vo všetkých členských štátoch Európskej únie.
Zodpovedná osoba a nariadenie GDPR
Prijatím nariadenia GDPR sa posilnila pozícia zodpovednej osoby ako kľúčového aktéra v novom systéme správy údajov10). Nový právny rámec zároveň prostredníctvom noriem európskeho práva zjednotil podmienky určenia zodpovednej osoby, jej postavenia a úloh. V zásade je možné povedať, že inštitút zodpovednej osoby možno vymedziť najmä prostredníctvom nasledovných princípov, ktoré nepriamo vyplývajú z textu nariadenia GDPR:
a) Dostupnosť
Dostupnosť zodpovednej osoby musí byť skutočná11) a musí sa prejavovať voči všetkým zainteresovaným subjektom v systéme ochrany osobných údajov12). Medzi tieto subjekty patria najmä prevádzkovateľ alebo sprostredkovateľ, dotknuté osoby a orgán dozoru.
Prvým momentom pri plnení tejto požiadavky je informačné povedomie prostredníctvom zverejnenia kontaktných údajov zodpovednej osoby. Pre efektívne využitie inštitútu zodpovednej osoby je nevyhnutné, aby poverenie tejto osoby bolo známe všetkým organizačným útvarom podniku, ďalej dotknutej osobe pre účely uplatňovania jej subjektívnych práv vyplývajúcich z predpisov na úseku ochrany osobných údajov, no a v neposlednom rade tiež orgánu dozoru prostredníctvom splnenia notifikačnej povinnosti o poverení zodpovednej osoby, keďže tá plní úlohu kontaktného miesta pre dozorný orgán.
Reálna dostupnosť (napr. zastihnuteľnosť, kontaktovateľnosť) je následne otázkou dôkladného plnenia úloh zodpovednej osoby, za ktoré táto osoba zodpovedá.
b) Odborné kvality
Odborné kvality zodpovednej osoby13) možno definovať najmä ako (1) znalosti práva a postupov v oblasti osobných údajov, (2) spôsobilosť plniť úlohy prislúchajúce k funkcii zodpovednej osoby a tiež (3) osobné kvality (morálna integrita a vysoká profesijná etika14)). Odborné kvality sa vždy posudzujú v kontexte vykonávaných operácií spracúvania údajov a od požadovanej ochrany osobných údajov, ktoré spracúva prevádzkovateľ alebo sprostredkovateľ15). To znamená, že pri spracúvaní všeobecných osobných údajov sa bude spravidla vyžadovať menšia miera odborných kvalít než napríklad pri spracúvaní osobitnej kategórie osobných údajov (napríklad biometria).
Nemožno však opomenúť, že odborné kvality v rozsahu znalosti práva a postupov sú atribútom, ktorý má v našom právnom poriadku dlhú tradíciu a ktorému bola v rámci úprav na úseku ochrany osobných údajov venovaná náležitá pozornosť, a to najmä overovaním znalostí v podobe skúšky zabezpečovanej Úradom na ochranu osobných údajov SR. Účinnosťou nariadenia GDPR však bola povinnosť vykonať skúšku zrušená, čím sa takpovediac oslabil verifikačný mechanizmus odborných kvalít. Týmto sa povinnosť posudzovania odbornosti zodpovedných osôb preniesla na prevádzkovateľov a sprostredkovateľov.
c) Aktívna participácia16)
Zodpovedná osoba, ak bola určená, musí byť v podniku prevádzkovateľa alebo sprostredkovateľa zainteresovaná do všetkých záležitostí, ktoré súvisia s ochranou osobných údajov. Zapojenie zodpovednej osoby je preto nevyhnutnou podmienkou na plnenie úloh prislúchajúcich jej postaveniu. Ako príklad možno uviesť, že kedykoľvek prevádzkovateľ určuje nové prostriedky a účely spracúvania osobných údajov, mal by v takom prípade prizvať do tohto procesu zodpovednú osobu ako garanta zákonnosti spracúvania osobných údajov. To platí aj o iných oblastiach ako sú posudzovanie vplyvu na ochranu osobných údajov, spolupráca pri teste proporcionality, pomoc pri výbere vhodného sprostredkovateľa, školenie zamestnancov prevádzkovateľa v otázkach ochrany osobných údajov, a podobne.
Zároveň je potrebné uviesť, že miera participácie závisí od rozsahu úloh v gescii zodpovednej osoby, pričom platná legislatíva nebráni tomu, aby bol tento rozsah čo najširší (článok 39 nariadenia GDPR vymenúva len základné minimum úloh zodpovednej osoby).
d) Zázemie
Zodpovednej osobe sa musia zabezpečiť adekvátne podmienky a nevyhnutná podpora na výkon jej funkcie. Hoci nariadenie GDPR poukazuje na zdroje potrebné na plnenie úloh a zvyšovanie odborných znalostí, ako aj na prístup k osobným údajom a spracovateľský operáciám17), nemožno však tieto požiadavky vykladať reštriktívne. Zodpovedná osoba má mať podporu najvyššieho vedenia, dostatočný čas na plnenie úloh, prístup k požadovanej infraštruktúre (priestory, zariadenie, vybavenie), personálne kapacity pre vytvorenie tímu, prístup k organizačným útvarom, ktoré spracúvajú osobné údaje a možnosť si zvyšovať odbornú kvalifikáciu18). Na výkon funkcie zodpovednej osoby by sa preto malo nahliadať ako na jeden z kľúčových článkov organizačnej štruktúry prevádzkovateľa alebo sprostredkovateľa, pretože iba formálne určenie zodpovednej osoby nenapĺňa v plnom rozsahu účel požadovaný nariadením GDPR.
e) Nezávislosť
Princíp nezávislosti je vyjadrený tromi kľúčovými faktormi, a to že (1) zodpovedná osoba pri plnení úloh nedostáva žiadne pokyny, (2) za výkon jej úloh ju nemožno odvolať alebo inak postihovať a (3) v hierarchickej štruktúre má podliehať priamo najvyššiemu vedeniu prevádzkovateľa alebo sprostredkovateľa19).
Tento princíp ma svoje opodstatnenie predovšetkým pri interných zodpovedných osobách v pracovnom pomere, a to z dôvodu nerovného postavenia vo vzťahu medzi zamestnancom a zamestnávateľom. Prevádzkovateľ a sprostredkovateľ teda nemôžu vplývať na obsah stanoviska zodpovednej osoby alebo ju priamo či nepriamo sankcionovať za stanovisko, s ktorým ako nadriadení nesúhlasia.
f) Mlčanlivosť a dôvernosť informácií20)
Zodpovedná osoba je pri plnení svojich povinností viazaná mlčanlivosťou a všetky informácie, s ktorými sa pri výkone svojej funkcie oboznámi sa považujú za dôverné. Tento princíp platí tak navonok organizácie v ktorej pôsobí (teda informácie nesmú byť vyzradené osobám mimo organizácie), ako aj dovnútra organizácie (dôvernosť musí byť zachovaná aj v prípadoch, keď iné osoby v organizácii uplatňujú svoje práva dotknutej osoby, napríklad dôvernosť komunikácie medzi zodpovednou osobou a zamestnancom21), ktorého práva pri spracúvaní osobných údajov boli ohrozené alebo porušené).
g) Zamedzenie konfliktu záujmov22)
Konflikt záujmov môže mať naozaj rôzne roviny a je na prevádzkovateľovi alebo sprostredkovateľovi, aby definoval potenciálne strety alebo situácie, kedy je vylúčené súbežné plnenie úloh zodpovednej osoby s vykonávaním iných pracovných funkcií. O jasnom konflikte záujmov by sme mohli hovoriť napríklad v prípadoch, keď sa funkcia zodpovednej osoby koncentruje v rukách členov štatutárneho orgánu, vedúcich zamestnancov alebo manažérov zodpovedných za riadenie procesu určovania účelov a prostriedkov spracúvania osobných údajov. Za posúdenie konfliktu záujmov zodpovedajú prevádzkovateľ a sprostredkovateľ, no a v neposlednom rade tiež v medziach profesijnej etiky aj externá zodpovedná osoba vykonávajúca túto funkciu na základe zmluvy o poskytovaní služieb.
h) Vylúčenie osobnej zodpovednosti vo vzťahu k zákonnosti spracúvania
Hoci má určená zodpovedná osoba povinnosť dohliadať na zákonnosť spracúvania osobných údajov, no zodpovednosť za potenciálne porušenie predpisov na úseku ochrany osobných údajov znášajú v plnej miere prevádzkovateľ a sprostredkovateľ. Zodpovednú osobu preto nepostihujú sankcie orgánu dozoru. To však neznamená, že prevádzkovateľ a sprostredkovateľ nemôžu voči zodpovednej osobe vyvodiť regresnú zodpovednosť, ak je napríklad medzi nedôsledným plnením povinností zodpovednej osoby a sankcionovaným porušením predpisov príčinná súvislosť. Nároky prevádzkovateľa a sprostredkovateľa voči zodpovednej osobe (napr. náhrada škody, odňatie poverenia vykonávať funkciu zodpovednej osoby) teda zostávajú zachované.
Niekoľko odporúčaní na záver
Bez ohľadu na zákonnú povinnosť ustanoviť zodpovednú osobu platí, že každý prevádzkovateľ alebo sprostredkovateľ by mal mať kvalitnú, zodpovednú a legálnu internú politiku ochrany osobných údajov. V podnikateľskom prostredí je to v konečnom dôsledku v záujme každého podnikateľa, pretože prístup k osobným údajom klientov je vlastne prístupom podnikateľa k samotným klientom. V prípade absentujúcich a vhodne nastavených mechanizmov pri spracúvaní osobných údajov rastie reputačné riziko. Odborne spracovaná dokumentácia, precízne nastavené procesy reakcie na uplatnené práva klientov ako dotknutých osôb a bezpečnosť informačných systémov posilňujú kredibilitu každej organizácie. Súčasná prísna legislatíva si vynucuje zvýšenú zodpovednosť v oblasti ochrany súkromia, a preto sa priamo úmerne k tomu zvýšil aj význam zodpovedných osôb ako dôveryhodných poradcov pre oblasť osobných údajov. Okrem iného, dobrovoľné určenie zodpovednej osoby je krok, ktorý je pozitívne vnímaný dozorným orgánom.
Pri výbere zodpovednej osoby je potrebné zohľadňovať predovšetkým odborné kvality konzultanta, splnenie požiadavky zamedzenia konfliktu záujmov a vyhnúť sa poskytovateľom služieb, ktorí ponúkajú vzorové riešenia (vopred pripravenú dokumentáciu alebo organizačno-technické riešenie, ktoré používajú v každom jednom prípade bez zohľadnenia osobitostí alebo spracovateľských operácií prevádzkovateľa alebo sprostredkovateľa). Keďže prevažná väčšina spracovateľských operácií sa vykonáva prostriedkami informačných technológií (IT), môže byť v takom prípade pri výbere výhodou, ak zodpovedná osoba disponuje poznatkami z tejto oblasti alebo ak za ňou stojí tím IT špecialistov. V rámci zmluvného vzťahu je taktiež vhodné detailne vymedziť rozsah úloh zodpovednej osoby a v prípade externého konzultanta zadefinovať podmienky pre jeho reálnu dostupnosť, aby ustanovenie zodpovednej osoby nebolo len čisto formálne.
V prípadoch, keď prevádzkovateľ zamýšľa vymedziť nové účely a prostriedky spracúvania osobných údajov, ktoré môžu viesť k vysokému riziku pre práva a slobody fyzických osôb (napr. spracúvanie biometrie), sa odporúča už v procese plánovania prizvať zodpovednú osobu, ktorá pomôže s vykonaním posúdenia vplyvu alebo vykonaním testu proporcionality ešte pred začatím spracúvania osobných údajov.
1) § 17 ods. 2 zákona č. 52/1998 Z. z. o ochrane osobných údajov v informačných systémoch.
2) § 20 ods. 3 písm. d) zákona č. 52/1998 Z. z. o ochrane osobných údajov v informačných systémoch, § 1 vyhlášky Štatistického úradu SR č. 155/1998 Z. z., ktorou sa ustanovujú podrobnosti o spôsobe, forme a postupe pri registrácii informačného systému obsahujúceho osobné údaje.
3) Dôvodová správa k vládnemu návrhu zákona č. 428/2002 Z. z. o ochrane osobných údajov, parlamentná tlač 2. volebného obdobia č. 1382 (dostupné na www.nrsr.sk).
4) § 19 zákona č. 428/2002 Z. z. o ochrane osobných údajov.
5) Dôvodová správa k vládnemu návrhu zákona č. 122/2013 Z. z. o ochrane osobných údajov, parlamentná tlač 6. volebného obdobia č. 358 (dostupné na www.nrsr.sk).
6) Smernica 95/46/ES vo svojom článku 18 ods. 2 požadovala, aby prevádzkovateľ, ak poverí zodpovednú osobu (úradníka na ochranu osobných údajov), zaručil tejto osobe nezávislé uplatňovanie vnútroštátnych právnych noriem, ktoré implementujú túto smernicu.
7) Usmernenie Pracovnej skupiny pre ochranu údajov zriadenej podľa článku 29 týkajúce sa zodpovedných osôb, číslo WP 243 rev.01 zo dňa 5. apríla 2017, strana 5.
8) Usmernenie Pracovnej skupiny pre ochranu údajov zriadenej podľa článku 29 týkajúce sa zodpovedných osôb, číslo WP 243 rev.01 zo dňa 5. apríla 2017, strana 5.
9) Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov).
10) Usmernenie Pracovnej skupiny pre ochranu údajov zriadenej podľa článku 29 týkajúce sa zodpovedných osôb, číslo WP 243 rev.01 zo dňa 5. apríla 2017, strana 6.
11) Usmernenie Pracovnej skupiny pre ochranu údajov zriadenej podľa článku 29 týkajúce sa zodpovedných osôb, číslo WP 243 rev.01 zo dňa 5. apríla 2017, strana 12.
12) Princíp dostupnosti vyplýva najmä z ustanovení článkov 37 ods. 2, 37 ods. 7, 38 ods. 5 [v spojení s článkami 13 ods. 1 písm. b) a 14 ods. 1 písm. b)] a 39 ods. 1 písm. e) nariadenia GDPR.
13) Princíp odborných kvalít vyplýva najmä z ustanovení článkov 37 ods. 5 a 38 ods. 2 nariadenia GDPR.
14) Usmernenie Pracovnej skupiny pre ochranu údajov zriadenej podľa článku 29 týkajúce sa zodpovedných osôb, číslo WP 243 rev.01 zo dňa 5. apríla 2017, strana 13.
15) Odôvodnenie (recitál) 97 nariadenia GDPR.
16) Princíp participácie vyplýva najmä z ustanovenia článkov 38 ods. 1 nariadenia GDPR.
17) Článok 38 ods. 2 nariadenia GDPR.
18) Usmernenie Pracovnej skupiny pre ochranu údajov zriadenej podľa článku 29 týkajúce sa zodpovedných osôb, číslo WP 243 rev.01 zo dňa 5. apríla 2017, strana 16.
19) Článok 38 ods. 3 nariadenia GDPR.
20) Článok 38 ods. 5 nariadenia GDPR.
21) Usmernenie Pracovnej skupiny pre ochranu údajov zriadenej podľa článku 29 týkajúce sa zodpovedných osôb, číslo WP 243 rev.01 zo dňa 5. apríla 2017, strana 14.
22) Článok 38 ods. 6 nariadenia GDPR.
