Zodpovedná osoba podľa GDPR
Vstupnou bránou zriadenia inštitútu zodpovednej osoby DPO (Data Protection Officer) je recitál (97) Nariadenia GDPR. Ak spracúvanie osobných údajov vykonáva orgán verejnej moci s výnimkou súdov alebo nezávislých justičných orgánov pri výkone ich súdnej právomoci, alebo ak v súkromnom sektore vykonáva spracúvanie prevádzkovateľ, ktorého hlavnými činnosťami sú spracovateľské operácie vyžadujúce si pravidelné a systematické monitorovanie dotknutých osôb vo veľkom rozsahu, alebo ak hlavnými činnosťami prevádzkovateľa je spracúvanie osobitných kategórii osobných údajov vo veľkom rozsahu alebo údajov týkajúcich sa uznania viny za trestné činy a priestupky, mala by prevádzkovateľovi alebo sprostredkovateľovi pri monitorovaní vnútorného dodržiavania Nariadenia GDPR pomáhať osoba s odbornými znalosťami práva a postupov v oblasti ochrany osobných údajov.
Článok 37 Nariadenia GDPR, resp. § 44 Zákona 18 ukladá povinnosť špecifickým prevádzkovateľom a sprostredkovateľom určiť zodpovednú osobu DPO. Určenie zodpovednej osoby DPO sa vyžaduje v troch konkrétnych prípadoch:
- keď spracúvanie vykonáva orgán verejnej moci alebo verejnoprávny subjekt s výnimkou súdov pri výkone ich súdnej právomoci;
- hlavnými činnosťami prevádzkovateľa alebo sprostredkovateľa sú spracovateľské operácie, ktoré si vzhľadom na svoju povahu, rozsah a / alebo účely vyžadujú pravidelné a systematické monitorovanie dotknutých osôb vo veľkom rozsahu;
- hlavnými činnosťami prevádzkovateľa alebo sprostredkovateľa je spracúvanie osobitných kategórií osobných údajov vo veľkom rozsahu alebo spracúvanie osobných údajov týkajúcich sa uznania viny za trestné činy a priestupky.
Orgán verejnej moci alebo verejnoprávny subjekt
Nariadenie GDPR nevymedzuje, čo predstavuje orgán verejnej moci alebo verejnoprávny subjekt. Pracovná skupina WP29 sa domnieva, že tento pojem sa má stanoviť v rámci vnútroštátneho práva. Podľa toho medzi orgány verejnej moci a verejnoprávne subjekty patria vnútroštátne, regionálne a miestne orgány, pojem však podľa uplatniteľných vnútroštátnych právnych poriadkov zvyčajne zahŕňa aj rôzne iné subjekty, ktoré sa riadia verejným právom.
V slovenskom právnom poriadku nie je pojem orgán verejnej moci alebo verejnoprávny subjekt pevne ukotvený, aj keď sa v právnej teórii bežne používa. Za verejnú moc považujeme takú moc, ktorá autoritatívne rozhoduje o právach a povinnostiach subjektov. Kritériom pre určenie, či subjekt koná ako orgán verejnej moci je predovšetkým skutočnosť, či subjekt rozhoduje o právach a povinnostiach iných osôb a tieto rozhodnutia sú štátnou mocou vynútiteľné, a či štát môže do týchto práv a povinností zasahovať. K verejnoprávnym subjektom zaraďujeme subjekty, ktoré sú konštituované osobitnými predpismi, poskytujú verejné služby, riadia sa verejným právom, podporujú plnenie štátnych a iných verejných úloh a pod. V týchto prípadoch je určenie zodpovednej osoby DPO taktiež povinné.
Príklady organizácií, ktoré majú povinnosť určiť zodpovednú osobu DPO v zmysle článku 37, ods. 1., písmeno a) Nariadenia GDPR (v jednotlivých členských štátoch nastáva niekedy nejednotnosť výkladu pojmu orgán verejnej moci alebo verejnoprávny subjekt, preto za výklad v širšom zmysle slova a správne zaradenie organizácie je zodpovedný každý prevádzkovateľ individuálne):
- Kancelária prezidenta, Národná rada SR, Úrad vlády SR;
- orgány štátnej správy s postavením ústredného alebo bez postavenia ústredného orgánu štátnej správy a mieste orgány štátnej správy (ministerstvá, Úrad na ochranu osobných údajov, Dopravný úrad, Pamiatkový úrad, Finančné riaditeľstvo, Verejný ochranca práv, a i.);
- orgány územnej samosprávy (obce, mestá, VÚC) a nimi kreované orgány;
- verejné zbory (Policajný zbor, Hasičský a záchranný zbor, Zbor väzenskej a justičnej stráže);
- obecné polície;
- súdy pri inom výkone ako je výkon súdnej právomoci;
- prokuratúra;
- verejnoprávne inštitúcie (RTVS, Sociálna poisťovňa, Matica slovenská, a i.);
- zdravotné poisťovne a určití poskytovatelia zdravotnej starostlivosti;
- školy;
- galérie, múzea, knižnice;
- notári, exekútori;
- ostatné orgány verejnej moci a verejnoprávne subjekty.
Pravidelné a systematické monitorovanie
Druhý, konkrétny prípad, kedy je prevádzkovateľ povinný určiť zodpovednú osobu DPO, je v zmysle článku 37, ods. 1., písmeno b) Nariadenia GDPR. Je to v situáciach, keď hlavnými činnosťami prevádzkovateľa alebo sprostredkovateľa je pravidelné a systematické monitorovanie dotknutých osôb vo veľkom rozsahu.
Ani pojem pravidelné a systematické monitorovanie dotknutých osôb nie je v Nariadení GDPR vymedzený, myšlienka sledovania správania dotknutých osôb však spomína recitál (24) a jednoznačne zahŕňa všetky formy sledovania a profilovania na internete vrátane sledovania a profilovania na účely behaviorálnej reklamy:
Na určenie toho, či spracovateľskú činnosť možno považovať za „sledovanie správania“ dotknutej osoby, by sa malo zistiť, či sú fyzické osoby sledované na internete vrátane prípadného následného využitia technologických riešení spracúvania osobných údajov, ktoré spočívajú v profilovaní fyzickej osoby na účely prijatia rozhodnutia týkajúceho sa tejto osoby alebo na účely analýzy či predvídania osobných preferencií, správania a postojov tejto osoby.
Pojem monitorovanie sa však netýka iba online prostredia a online sledovanie by sa malo považovať len za jeden z príkladov sledovania správania dotknutých osôb. Treba poznamenať, že recitál (24) je zameraný na exteritoriálne uplatňovanie Nariadenia GDPR. Okrem toho je aj rozdiel medzi formuláciou sledovanie správania a pravidelné a systematické monitorovanie dotknutých osôb, ktoré sa preto môžu považovať za rozdielne pojmy.
Príklady činností, ktoré môžu predstavovať pravidelné a systematické monitorovanie dotknutých osôb:
- prevádzka telekomunikačnej siete, poskytovanie telekomunikačných služieb;
- presmerovanie emailov;
- behaviorálna reklama, marketingové činnosti založené na údajoch;
- profilovanie a bodovanie na účely posudzovania rizík (napr. na účely bodového hodnotenia úverového rizika, určenia výšky poistného, predchádzania podvodom, odhaľovania prania špinavých peňazí, a pod.);
- sledovanie polohy (napríklad s použitím mobilných aplikácií);
- monitorovanie údajov o psychickej a fyzickej zdatnosti a o zdravotnom stave prostredníctvom zariadení nosených na tele;
- priemyselná televízia;
- vernostné programy;
- hybridné zariadenia (napríklad inteligentné meracie prístroje, inteligentné vozidlá, inteligentná domácnosť, a pod.).
Osobitné kategórie údajov alebo údaje týkajúce sa uznania viny za trestné činy a priestupky
Tretí, konkrétny prípad, kedy je prevádzkovateľ povinný určiť zodpovednú osobu DPO, je v zmysle článku 37, ods. 1., písmeno c) Nariadenia GDPR. Je to v situáciach, keď hlavnými činnosťami prevádzkovateľa alebo sprostredkovateľa je spracúvanie osobitných kategórií osobných údajov (článok 9 Nariadenia GDPR) vo veľkom rozsahu alebo spracúvanie osobných údajov týkajúcich sa uznania viny za trestné činy a priestupky (článok 10 Nariadenia GDPR).
Osobitnými kategóriami sú údaje, ktoré odhaľujú rasový alebo etnický pôvod, politické názory, náboženskú vieru, filozofické presvedčenie, členstvo v odborových organizáciách, genetické a biometrické údaje, údaje týkajúce sa zdravia alebo údaje týkajúce sa sexuálneho života a sexuálnej orientácie fyzickej osoby. Pri tejto skupine prevádzkovateľov, ktorí spracúvajú osobitné kategórie osobných údajov, však WP29 vo svojich usmerneniach neuvádza žiadne konkrétne vzorové príklady činností, z ktorých vyplýva povinnosť určiť zodpovednú osobu DPO.
Vychádzajúc z príkladov pracovnej skupiny WP29 a našich záverov (uverejnené sú v publikácii Sprievodca svetom GDPR) môžeme stanoviť limity pre DPO u prevádzkovateľov, ktorí spracúvajú osobitné kategórie osobných údajov, a ktorým takto môže vzniknúť zákonná povinnosť určenia zodpovednej osoby DPO (prevádzkovateľ pritom nemusí vykonávať žiadnu sprostredkovateľskú činnosť):
- politické strany a hnutia;
- odborové organizácie;
- národné športové zväzy;
- registrované cirkvi a náboženské spoločnosti;
- prevádzkovatelia, ktorí na potvrdzujúce úkony a rozpoznávanie svojich klientov využívajú biometrické údaje (biometrický podpis, hlasové rozpoznávanie, …);
- tretí sektor – mimovládne organizácie, ktorých hlavné činnosti sú spojené so spracúvaním osobných údajov citlivej povahy, a ktoré pôsobia celoslovensky alebo nadnárodne, teda občianske združenia, nadácie a neziskové organizácie činné v oblasti menšín a komunít (napr. podpora integrovania rómskej menšiny, LGBT komunity); ďalej náboženské združenia a spolky; organizácie pracujúce s údajmi týkajúcich sa zdravia alebo zdravotnej starostlivosti (napr. zdravotné a telesné handicapy, autizmus, rakovina kŕčka maternice, rakovina prsníkov, drogová závislosť, alkoholizmus, …);
- a iné.
PREKLADOVÝ MIŠMAŠ
Na záver tejto časti sa ešte raz vrátime k spracúvaniu osobných údajov jednotlivým právnikom a jeho zákonnej povinnosti určiť zodpovednú osobu DPO (viď Sprievodca svetom GDPR). Áno, recitál (91) síce jednoznačne stanovuje, že za spracúvanie osobných údajov vo veľkom rozsahu sa nepovažuje spracúvanie osobných údajov jednotlivým právnikom, ale vzťahuje sa podmienka vo veľkom rozsahu aj na spracúvanie osobných údajov týkajúcich sa uznania viny za trestné činy alebo priestupky aj pre slovenskú jazykovú verziu Nariadenia GDPR?
Článok 37, ods. 1, písmeno c) Nariadenia GDPR:
- hlavnými činnosťami prevádzkovateľa alebo sprostredkovateľa je spracúvanie osobitných kategórií osobných údajov podľa článku 9 vo veľkom rozsahu alebo spracúvanie osobných údajov týkajúcich sa uznania viny za trestné činy a priestupky podľa článku 10.
Ustanovenie môžeme rozdeliť na dve samostatné významové časti a teda povinnosť určiť zodpovednú osobu DPO vzniká, ak hlavnými činnosťami prevádzkovateľa alebo sprostredkovateľa je buď:
- spracúvanie osobitných kategórií osobných údajov podľa článku 9 vo veľkom rozsahu
alebo
- spracúvanie osobných údajov týkajúcich sa uznania viny za trestné činy a priestupky podľa článku 10.
V zmysle vyššie uvedeného je každý prevádzkovateľ, ktorý spracúva osobné údaje týkajúce sa uznania viny za trestné činy alebo priestupky, povinný určiť zodpovednú osobu DPO bez ohľadu na to, v akom veľkom rozsahu tieto osobné údaje spracúva! Či?
Napríklad v anglickej verzii Nariadenia GDPR:
- the core activities of the controller or the processor consist of processing on a large scale of special categories of data pursuant to Article 9 and personal data relating to criminal convictions and offences referred to in Article 10.
je použitá spojka a, a teda povinnosť určiť zodpovednú osobu DPO má prevádzkovateľ, ktorý spracúva citlivé osobné údaje a zároveň spracúva aj osobné údaje týkajúce sa uznania viny. V tomto prípade sa má spojka a považovať tak, ako keby tam bola spojka alebo.
ZÁVEROM
Už pred samotným prijatím Nariadenia GDPR pracovná skupina WP29 zastávala názor, že zodpovedná osoba DPO je základným kameňom zodpovednosti a že určenie zodpovednej osoby DPO môže uľahčiť dodržiavanie predpisov a navyše poskytnúť podnikom konkurenčnú výhodu. Okrem uľahčenia dodržiavania predpisov zavedením nástrojov zodpovednosti (ako je napríklad uľahčenie posúdení vplyvu na ochranu osobných údajov a vykonávanie alebo uľahčovanie auditov) pôsobia zodpovedné osoby DPO ako sprostredkovatelia medzi zainteresovanými stranami (napríklad dozornými orgánmi, dotknutými osobami a útvarmi v rámci organizácie). Aj v prípadoch, keď sa určenie zodpovednej osoby DPO v Nariadení GDPR výslovne nevyžaduje, môže byť pre organizácie občas užitočné určiť zodpovednú osobu DPO dobrovoľne. Takéto dobrovoľne konanie prevádzkovateľa nad rámec zákonom určených povinností je vítané.
