V druhej časti načatej témy sa venujeme otázke určenia zodpovednej osoby. Obsahovo sa zameriavame najmä na pôsobenie zodpovedných osôb v súkromnom sektore. Článok je tiež obohatený o praktické príklady, ktoré pomôžu porozumieť niektorým problematickým javom.
Povinnosť určiť zodpovednú osobu
Nariadenie GDPR taxatívnym spôsobom vymedzuje tieto 3 situácie1), pri ktorých majú prevádzkovateľ a sprostredkovateľ povinnosť určiť zodpovednú osobu:
1.) spracúvanie vykonáva orgán verejnej moci alebo verejnoprávny subjekt s výnimkou súdov pri výkone ich súdnej právomoci;
2.) hlavnými činnosťami prevádzkovateľa alebo sprostredkovateľa sú spracovateľské operácie, ktoré si vzhľadom na svoju povahu, rozsah a/alebo účely vyžadujú pravidelné a systematické monitorovanie dotknutých osôb vo veľkom rozsahu; alebo
3.) hlavnými činnosťami prevádzkovateľa alebo sprostredkovateľa je spracúvanie osobitných kategórií údajov vo veľkom rozsahu alebo spracúvanie osobných údajov týkajúcich sa uznania viny za trestné činy a priestupky.
Ak nie sú splnené vyššie uvedené predpoklady, tak zodpovedná osoba nemusí byť určená, hoci jej dobrovoľné určenie je výhodou, k čomu sa ešte v tomto článku vrátime.
Zodpovedná osoba v súkromnom sektore
Povinné určenie
Ak sú teda splnené predpoklady pre určenie zodpovednej osoby, musia tak urobiť prevádzkovateľ a sprostredkovateľ ako subjekty spracúvania osobných údajov. Táto povinnosť teda neprislúcha len prevádzkovateľovi, ale tiež sprostredkovateľovi, ak sám spĺňa niektorú z vyššie uvedených podmienok, hoci sa nepodieľa na určení účelov a prostriedkov spracúvania osobných údajov, ale vykonáva spracovateľské operácie.
Pre oblasť súkromného sektora sú relevantné druhý a tretí predpoklad, a preto si k nim vymedzíme základné pojmové znaky, medzi ktoré patria:
a) hlavná činnosť prevádzkovateľa/sprostredkovateľa
Podľa nariadenia GDPR „sa v súkromnom sektore hlavné činnosti prevádzkovateľa týkajú jeho primárnych činností, a nie spracúvania osobných údajov ako vedľajšej činnosti“2). Podľa pracovnej skupiny pre ochranu údajov zriadenej podľa článku 29 (v súčasnosti Európsky výbor pre ochranu údajov) „možno hlavné činnosti považovať za kľúčové operácie nevyhnutné na dosiahnutie cieľov prevádzkovateľa alebo sprostredkovateľa“3). Odporúča sa preto neopomínať tie spracovateľské operácie, ktoré tvoria neoddeliteľnú súčasť hlavnej činnosti prevádzkovateľa alebo sprostredkovateľa4).
-
Príklad
Pri prepravných spoločnostiach je hlavnou činnosťou doručovanie tovaru na miesto určenia. Na tento účel dochádza k spracúvaniu osobných údajov odosielateľov a príjemcov zásielok. Spracúvanie týchto osobných údajov sa preto považuje za hlavnú činnosť prepravných spoločností. Na druhej strane, spracúvanie osobných údajov na účely mzdovej evidencie, výberových konaní uchádzačov o zamestnanie, monitorovania priestorov prevádzky prepravcu kamerovým systémom alebo vedenia kníh návštev, sa nebude považovať za hlavnú činnosť. Pôjde spravidla len o doplnkové (vedľajšie) činnosti, ktoré majú podporný charakter vo vzťahu k primárnej podnikateľskej činnosti prepravnej spoločnosti.
b) veľký rozsah
Tento pojmový znak môže spôsobovať v praxi isté komplikácie, keďže je na úvahe prevádzkovateľa alebo sprostredkovateľa, či sa má spracúvanie vykonávať alebo sa už vykonáva vo veľkom rozsahu. Hoci definícia tohto slovného spojenia sa nenachádza priamo v normatívnom texte nariadenia GDPR, no isté smerovanie pri výklade tohto pojmu nám ponúka odôvodnenie (recitál) 91 nariadenia GDPR, podľa ktorého cieľom spracovateľských operácií veľkého rozsahu „je spracúvať značný objem osobných údajov na regionálnej, vnútroštátnej alebo nadnárodnej úrovni, ktoré by mohli ovplyvniť veľký počet osôb a ktoré pravdepodobne povedú k vysokému riziku“5). O spracúvanie vo veľkom rozsahu nepôjde, ak sa týka spracúvania „osobných údajov pacientov alebo klientov jednotlivým lekárom, iným zdravotníckym pracovníkom alebo právnikom“6).
Pracovná skupina odporúča pri posudzovaní rozsahu spracúvania zohľadniť nasledovné faktory:
• počet dotknutých osôb, ktorých sa spracúvanie týka (vyjadrený ako konkrétne číslo alebo ako podiel príslušnej populácie),
• objem údajov a/alebo rozsah rôznych položiek údajov, ktoré sa spracúvajú,
• dĺžka trvania alebo stálosť (trvalosť) činnosti spracúvania údajov,
• geografický rozsah spracovateľskej činnosti.7)
-
Príklad 1
Letecká spoločnosť usadená v Európskej únii prepravila v roku 2018 viac ako 13,9 miliónov cestujúcich. Realizovala spolu 150 963 letov v rámci Európy, Blízkeho východu, Afriky, Ázie a Severnej Ameriky. Vzhľadom na vysoký počet cestujúcich z rôznych geografických oblastí sveta musí mať táto letecká spoločnosť, ak spĺňa ďalšie pojmové znaky, určenú zodpovednú osobu, keďže spracúvanie osobných údajov cestujúcich sa vykonáva vo veľkom rozsahu.
Príklad 2
Všeobecný lekár v okrese Nitra prevádzkuje vlastnú ambulanciu pre dospelých. V súvislosti s touto činnosťou vedie v evidencii zdravotnú dokumentáciu 2041 pacientov. Vzhľadom na výnimku pre lekárov a zdravotníckych pracovníkov sa nebude považovať spracúvanie osobných údajov pacientov za spracúvanie vo veľkom rozsahu.
c) pravidelné a systematické monitorovanie
Pravidelné a systematické monitorovanie má spojitosť so „sledovaním správania“ dotknutej osoby, a to nielen výlučne v online prostredí, ak táto činnosť spočíva v profilovaní fyzickej osoby na účely prijatia rozhodnutia týkajúceho sa tejto osoby alebo na účely analýzy či predvídania osobných preferencií, správania a postojov tejto osoby8). Pracovná skupina uvádza ako príklady prevádzku telekomunikačnej siete, poskytovanie telekomunikačných služieb (napr. mobilní operátori), marketingové činnosti založené na údajoch, sledovanie polohy využitím mobilných zariadení, behaviorálna reklama9), a podobne.
-
Príklad
Maloobchodný reťazec so zmiešaným sortimentom potravín a drogérie sa v rámci stratégie posilnenia vzťahov so zákazníkmi rozhodol uviesť do praxe vernostný program. Záujemcom o využitie vernostného programu vystavil plastovú kartičku, ktorú predložia vždy pri platbe. Na konci mesiaca im reťazec doručí 10 zľavových kupónov v rozmedzí hodnôt 5 % až 20 %, pričom minimálne 5 kupónov je vecne zameraných na tie produkty, ktoré za posledné obdobie predstavujú u tohto zákazníka najväčšiu frekvenciu nákupov. Ak preto zákazník počas uplynulého mesiaca vo zvýšenej miere nakupoval konkrétny produkt, tak nie je žiadna náhoda, ak mu práve na tento produkt príde v nasledujúcom mesiaci kupón s 15 % zľavou. Takéto sledovanie preferencií nákupov napĺňa zmysel pojmového znaku pravidelného a systematického monitorovania.
d) osobitné kategórie údajov a údaje týkajúce sa uznania viny za trestné činy a priestupky
Posledný pojmový znak pozostáva z dvoch alternatívnych kategórií osobných údajov, takže postačuje, ak sa spracúvajú vo veľkom rozsahu ako hlavná činnosť aspoň osobné údaje vecne obsiahnuté v jednej z uvedených kategórií. V anglickej verzii nariadenia GDPR je totižto medzi obomi kategóriami nesprávne uvedená spojka „a“ [v článku 37 ods. písm. c)], čo naznačuje, že toto ustanovenie sa uplatní iba v prípade, ak dochádza k súčasnému spracúvaniu osobných údajov oboch dotknutých kategórií, teda osobitnej kategórie osobných údajov (článok 9 nariadenia GDPR) a údajov týkajúcich sa uznania viny za trestné činy a priestupky (článok 10 nariadenia GDPR). Podobná chyba je napríklad aj v českom, francúzskom a španielskom preklade, ale v slovenskom, nemeckom a talianskom preklade je už správna spojka „alebo“. Pracovná skupina vo svojom stanovisku uvádza, že „neexistuje nijaký politický dôvod, pre ktorý by sa obidve kritériá museli uplatňovať súčasne“ a že „text by sa teda mal vykladať tak, akoby tam bola uvedená spojka „alebo““10).
Naproti tomu, iná chyba týkajúca sa toho istého článku [37 ods. 1 písm. c)] je v slovenskom preklade nariadenia GDPR. Pozrite si nižšie vyznačené časti prekladov a ich pozíciu v texte:
-
SK: hlavnými činnosťami prevádzkovateľa alebo sprostredkovateľa je spracúvanie osobitných kategórií údajov podľa článku 9 vo veľkom rozsahu alebo spracúvanie osobných údajov týkajúcich sa uznania viny za trestné činy a priestupky podľa článku 10.
CZ: hlavní činnosti správce nebo zpracovatele spočívají v rozsáhlém zpracování zvláštních kategorií údajů uvedených v článku 9 a osobních údajů týkajících se rozsudků v trestních věcech a trestných činů uvedených v článku 10.
EN: the core activities of the controller or the processor consist of processing on a large scale of special categories of data pursuant to Article 9 and personal data relating to criminal convictions and offences referred to in Article 10.
Problémom je nesprávne umiestnenie slovného spojenia „vo veľkom rozsahu“ v slovenskom preklade (preložené len v spojitosti s osobitnou kategóriou osobných údajov pred spojkou „alebo“), čo značí, že pre spracúvanie osobných údajov týkajúcich sa uznania viny za trestné činy a priestupky by sa nevyžadovalo splnenie podmienky vo veľkom rozsahu. Samozrejme, že podmienka veľkého rozsahu musí byť splnená aj pre osobné údaje týkajúce sa uznania viny za trestné činy a priestupky. V slovenskom zákone o ochrane osobných údajov (18/2018 Z. z.) je dotknuté slovné spojenie správne pripojené ku každej z dvoch uvedených kategórií osobných údajov11).
Dobrovoľné určenie
Ak prevádzkovateľ a sprostredkovateľ nespĺňajú podmienky na povinné určenie zodpovednej osoby, môžu si ju určiť dobrovoľne. Nariadenie GDPR tomu nebráni, práve naopak. Tento krok je pozitívne vnímaný aj dozorným orgánom. Rovnaký postup je odporúčaný aj v prípade pochybností o splnení podmienok na povinné určenie. Medzi povinne a dobrovoľne určenou zodpovednou osobou nie je žiadny rozdiel. V obidvoch prípadoch sú na zodpovednú osobu kladené rovnaké zákonné požiadavky.
Prevádzkovateľ a sprostredkovateľ musia byť schopní preukázať súlad spracúvania osobných údajov s nariadením GDPR, k čomu ich zaväzuje tzv. princíp zodpovednosti.
S dôrazom na tento princíp by sa mali adekvátne nastaviť všetky parametre internej politiky spracúvania osobných údajov. To platí aj pri čiastkových analýzach, akými sú napríklad testy proporcionality a zlučiteľnosti, ako aj posúdenie vplyvu (DPIA). Správne riadenie procesov na úseku ochrany osobných údajov si vyžaduje znalosti, ktorých nositeľom môže byť práve zodpovedná osoba. Dobrovoľné určenie zodpovednej osoby je vždy dobrým rozhodnutím, ak potenciálne riziká plynúce zo spracúvania osobných údajov prevyšujú nad okolnosťami (napr. náklady alebo nízky rozsah spracovateľských činností), z dôvodu ktorých zodpovedná osoba nebola určená.
Varianty určenia
Najbežnejšími variantmi určenia zodpovednej osoby sú:
a) viacero podnikov poverí jednu zodpovednú osobu,
b) zamestnanie vlastnej (internej) zodpovednej osoby,
c) využitie služieb externej zodpovednej osoby.
Vyššie uvedené varianty je možné využiť bez ohľadu na to, či ide o povinné alebo dobrovoľné určenie zodpovednej osoby. Skupina podnikov si môže určiť spoločnú zodpovednú osobu, ak bude splnená požiadavka jej dostupnosti z každej prevádzkarne. Túto možnosť využívajú predovšetkým majetkovo alebo inak spriaznené obchodné spoločnosti (napr. materská spoločnosť a jej dcérske spoločnosti si určia jednu zodpovednú osobu).
Interná zodpovedná osoba sa oplatí väčším podnikom, kde sa spracúvanie osobných údajov vykonáva vo veľkom rozsahu a teda je požadovaná jej úplná zainteresovanosť v interných procesoch prevádzkovateľa alebo sprostredkovateľa. Na druhej strane, externá zodpovedná osoba môže byť vhodným riešením pre malých a stredných podnikateľov, kde je vznik potenciálnych incidentov spojených so spracúvaním osobných údajov nízky. Navyše ustanovenie externej zodpovednej osoby predstavuje z pohľadu nákladov lacnejšie riešenie.
Na čo nezabudnúť vo vzťahu k zodpovednej osobe
-
Odporúčania v skratke
• pri výbere preveriť odborné kvality,
• nesmie to byť osoba zodpovedná za riadenie procesu určovania účelov a prostriedkov spracúvania (napr. konateľ alebo manažér oddelenia),
• v zmluvnom vzťahu vymedziť rozsah úloh zodpovednej osoby,
• určenie treba nahlásiť Úradu na ochranu osobných údajov SR (pri oboch spôsoboch určenia, t. j. povinné aj dobrovoľné),
• informovať zamestnancov a iné osoby o určení zodpovednej osoby,
• musí byť garantovaná dostupnosť zodpovednej osoby,
• aktívne prizývať zodpovednú osobu k všetkým konzultáciám a rozhodovaniam o ochrane osobných údajov,
• poskytnúť zázemie,
• neovplyvňovať zodpovednú osobu pri plnení jej úloh (princíp nezávislosti).
1) Článok 37 ods. 1 písm. a), b) a c) nariadenia GDPR.
2) Odôvodnenie (recitál) 97 nariadenia GDPR.
3) Usmernenie Pracovnej skupiny pre ochranu údajov zriadenej podľa článku 29 týkajúce sa zodpovedných osôb, číslo WP 243 rev.01 zo dňa 5. apríla 2017, strana 8.
4) Usmernenie Pracovnej skupiny pre ochranu údajov zriadenej podľa článku 29 týkajúce sa zodpovedných osôb, číslo WP 243 rev.01 zo dňa 5. apríla 2017, strana 8.
5) Odôvodnenie (recitál) 91 nariadenia GDPR.
6) Odôvodnenie (recitál) 91 nariadenia GDPR.
7) Usmernenie Pracovnej skupiny pre ochranu údajov zriadenej podľa článku 29 týkajúce sa zodpovedných osôb, číslo WP 243 rev.01 zo dňa 5. apríla 2017, strana 7.
8) Odôvodnenie (recitál) 24 nariadenia GDPR.
9) Usmernenie Pracovnej skupiny pre ochranu údajov zriadenej podľa článku 29 týkajúce sa zodpovedných osôb, číslo WP 243 rev.01 zo dňa 5. apríla 2017, strana 10.
10) Usmernenie Pracovnej skupiny pre ochranu údajov zriadenej podľa článku 29 týkajúce sa zodpovedných osôb, číslo WP 243 rev.01 zo dňa 5. apríla 2017, strana 10.
11) § 44 ods. 1 písm. c) zákona č. 18/2018 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov: „Prevádzkovateľ a sprostredkovateľ sú povinní určiť zodpovednú osobu, ak hlavnými činnosťami prevádzkovateľa alebo sprostredkovateľa je spracúvanie osobitných kategórií osobných údajov podľa § 16 vo veľkom rozsahu alebo spracúvanie osobných údajov týkajúcich sa uznania viny za spáchanie trestného činu alebo priestupku podľa § 17 vo veľkom rozsahu.“
