GDPR (čl. 37 až 39) zavádza vo vzťahu k určitým spoločnostiam a organizáciám v pozícii prevádzkovateľa i sprostredkovateľa povinnosť ustanoviť zodpovednú osobu (DPO, Data Protection Officer), ostatným spoločnostiam a organizáciám to necháva na zváženie. V každom prípade prináša ustanovenie zodpovednej osoby nezanedbateľné výhody.

Aj v prípade, ak spoločnosť a organizácia nemusí podľa GDPR ustanoviť zodpovednú osobu, potrebuje určiť osobu, ktorá bude mať v kompetencii plnenie úloh v oblasti ochrany osobných údajov.

Zodpovednou osobou môže byť interný zamestnanec spoločnosti a organizácie, ale aj externá fyzická alebo právnická osoba. GDPR nešpecifikuje konkrétne kvalifikačné požiadavky na zodpovednú osobu. Zodpovedná osoba má disponovať odbornými znalosťami práva a postupov v oblasti ochrany osobných údajov a spôsobilosťou plniť úlohy zodpovednej osoby.

Naši interní odborníci, ktorí poskytujú klientom služby zodpovednej osoby, majú nielen požadované odborné znalosti, praktické skúsenosti, ale aj certifikáciu v oblasti informačnej bezpečnosti, čo zaručuje vysokú úroveň poskytovanej služby zodpovednej osoby.

Povinne musí ustanoviť zodpovednú osobu (DPO) prevádzkovateľ i sprostredkovateľ, ak:

• je orgánom verejnej moci alebo verejnoprávnym subjektom, a to bez ohľadu na to, aké kategórie osobných údajov spracúva a v akej miere (s výnimkou súdov pri výkone ich súdnej právomoci);
• hlavnými činnosťami prevádzkovateľa/sprostredkovateľa sú spracovateľské operácie, ktoré si vzhľadom na svoju povahu, rozsah alebo účel vyžadujú pravidelné a systematické monitorovanie dotknutých osôb vo veľkom rozsahu; hlavnými činnosťami prevádzkovateľa/sprostredkovateľa je spracúvanie citlivých údajov vo veľkom rozsahu alebo spracúvanie osobných údajov týkajúcich sa uznania viny za trestné činy a priestupky;
• ak to vyžaduje osobitný predpis alebo medzinárodná zmluva, ktorou je SR viazaná.

Povinnosť ustanoviť zodpovednú osobu v písm. b) a c) sa viaže na hlavné činnosti prevádzkovateľa/sprostredkovateľa, čo sú činnosti, ktoré súvisia s predmetom jeho podnikania. Ustanovenie zodpovednej osoby tak nie je povinné pre prevádzkovateľa/sprostredkovateľa v prípade, keď spracovateľské operácie vykonáva len ako pomocné činnosti k dosiahnutiu základných cieľov svojej činnosti.

Pre určenie, či ide o spracúvanie osobných údajov vo veľkom rozsahu, je potrebné zvážiť objem spracovávaných osobných údajov, ich rôznorodosť, dobu uchovávania či geografický rozsah územia, z ktorého spracúvané osobné údaje pochádzajú.

Dobrovoľne môže zodpovednú osobu ustanoviť ktorýkoľvek prevádzkovateľ a sprostredkovateľ a iné subjekty zastupujúce kategórie prevádzkovateľov alebo sprostredkovateľov, ak to uznajú za vhodné. Zodpovedná osoba môže konať v mene takýchto združení a iných subjektov zastupujúcich prevádzkovateľov alebo sprostredkovateľov.