Nemôžete vyplniť toto pole
Domov / Blog / Čo je to úradník pre ochranu údajov DPO?

Čo je to úradník pre ochranu údajov DPO?

Ak spravujete web, e-shop, firmný intranet alebo akýkoľvek systém, ktorý pracuje s osobnými údajmi, skôr či neskôr narazíte na otázku: „Potrebujeme DPO?“ A hneď nato prichádza druhá, ešte dôležitejšia: „Čo presne DPO robí a čo od neho GDPR vlastne chce?“

Úradník pre ochranu údajov, často označovaný skratkou DPO (z anglického Data Protection Officer), je osoba, ktorá v organizácii dohliada na to, aby sa ochrana osobných údajov riešila systematicky, odborne a preukázateľne v súlade s GDPR. Nie je to „papierová“ funkcia. DPO je v praxi poradca, kontrolór aj komunikačný most medzi organizáciou, dotknutými osobami (ľuďmi, ktorých údaje spracúvate) a dozorným orgánom.

V tomto článku vám zhrniem, čo je DPO, kedy je povinný, čo má robiť, aké má mať postavenie v organizácii a na čo si dať pozor, aby menovanie DPO nebolo len formálne.

DPO jednoducho: čo to znamená v praxi

DPO je odborník na ochranu osobných údajov, ktorého úlohou je pomáhať organizácii plniť povinnosti podľa GDPR a zároveň pôsobiť ako kontaktná osoba pre:

  • zamestnancov a vedenie organizácie,
  • dotknuté osoby (napríklad zákazníkov, pacientov, žiakov, používateľov webu),
  • dozorný orgán (na Slovensku najmä Úrad na ochranu osobných údajov SR).

Dôležité je pochopiť jednu vec: DPO nemá byť „IT-čkár, čo spraví cookies lištu“, ani právnik, ktorý raz ročne skontroluje dokumenty. DPO má byť zapojený priebežne, pri procesoch, projektoch a zmenách, ktoré sa týkajú osobných údajov.

Prečo sa DPO často rieši pri weboch, cookies a analytike

V bežnej praxi sa ochrana osobných údajov rieši už pri relatívne „nevinnej“ veci, ako sú cookies. Mnohé weby napríklad uvádzajú, že:

  • používajú cookies pre pohodlné prehliadanie,
  • zlepšujú výkon webu cez analýzu návštevnosti.

Aj takáto analytika môže znamenať spracúvanie osobných údajov (typicky online identifikátorov, IP adries, identifikátorov zariadení). DPO síce nerieši každé nastavenie cookies lišty, ale má byť človek, ktorý nastaví pravidlá hry: aké údaje zbierame, prečo, na akom právnom základe, ako dlho, komu ich posielame a ako o tom informujeme používateľov.

Preto je DPO praktický najmä tam, kde sa osobné údaje spracúvajú pravidelne a vo väčšom rozsahu, alebo kde existuje vyššie riziko pre práva jednotlivcov.

Kedy je DPO povinný podľa GDPR

GDPR stanovuje, že v určitých situáciách musí organizácia DPO určiť. Typicky ide o tieto prípady:

1) Verejné orgány a verejné subjekty

Ak ste verejný orgán alebo verejný subjekt, DPO je spravidla povinnosť.

2) Rozsiahle a pravidelné monitorovanie osôb

Ak hlavná činnosť organizácie zahŕňa pravidelné a systematické monitorovanie jednotlivcov vo veľkom rozsahu, DPO je povinný.

Príklady z praxe môžu byť:

  • rozsiahle sledovanie správania používateľov (napríklad profilovanie),
  • niektoré formy online behaviorálnej reklamy,
  • monitorovanie prostredníctvom kamerových systémov vo veľkom rozsahu.

3) Rozsiahle spracúvanie osobitných kategórií údajov alebo údajov o trestných činoch

Ak spracúvate vo veľkom rozsahu:

  • zdravotné údaje,
  • biometrické údaje,
  • genetické údaje,
  • údaje odhaľujúce rasový alebo etnický pôvod, náboženstvo, politické názory a podobne,
  • údaje o odsúdeniach a trestných činoch,

DPO býva povinný.

Poznámka z praxe: „vo veľkom rozsahu“ nie je len o počte záznamov. Posudzuje sa aj povaha údajov, dĺžka spracúvania, počet dotknutých osôb, geografický rozsah, účel a rizikovosť.

A čo ak DPO povinný nie je?

Aj keď vám povinnosť nevzniká, DPO môžete určiť dobrovoľne. Pre mnohé organizácie to dáva zmysel, napríklad keď:

  • chcú mať jasnú osobu zodpovednú za koordináciu GDPR,
  • potrebujú „jedno miesto pravdy“ pri interných otázkach a incidentoch,
  • chcú zlepšiť pripravenosť na kontrolu,
  • majú zložitejší ekosystém dodávateľov a systémov (CRM, mailing, analytika, call centrum).

Dobrovoľné určenie DPO však nie je len názov na vizitke. Ak DPO určíte, musíte mu zabezpečiť postavenie a podmienky podľa GDPR podobne, ako keby bol povinný.

Čo presne DPO robí: kľúčové úlohy a zodpovednosti

Úlohy DPO (Data Protection Officer) sú v rámci GDPR jasne definované. V praxi sa dajú zhrnúť do niekoľkých okruhov:

1) Informuje a radí organizácii aj zamestnancom

DPO vysvetľuje:

  • aké sú povinnosti podľa GDPR,
  • čo znamená zákonnosť, minimalizácia, obmedzenie uchovávania,
  • aké pravidlá treba dodržať pri práci s údajmi zákazníkov, klientov, zamestnancov.

Tu často vidím najväčšiu hodnotu: DPO prekladá GDPR do reálnych postupov, aby ľudia vedeli, čo robiť, a nefungovali len podľa „pocitu“.

2) Monitoruje súlad s GDPR a internými pravidlami

DPO sleduje, či organizácia dodržiava:

  • GDPR,
  • interné smernice,
  • nastavené procesy,
  • bezpečnostné a organizačné opatrenia.

Súčasťou toho môžu byť kontroly, audity a pravidelné vyhodnocovanie. Nie preto, aby „hľadal vinníka“, ale aby sa slabé miesta našli skôr, než vznikne incident alebo sťažnosť.

3) Školí a zvyšuje povedomie

Školenia nie sú formalita. DPO často pripravuje:

  • onboarding školenia pre nových zamestnancov,
  • krátke praktické školenia pre konkrétne tímy (HR, marketing, zákaznícka podpora),
  • odporúčania k typickým situáciám (posielanie údajov e-mailom, zdieľanie prístupov, práca z domu).

4) Pomáha pri DPIA (posúdení vplyvu na ochranu údajov)

Ak spracúvanie predstavuje vyššie riziko (napríklad nové technológie, rozsiahle monitorovanie, citlivé údaje), organizácia má riešiť DPIA.

DPO má pri DPIA pomáhať, najmä:

  • posúdiť riziká,
  • navrhnúť opatrenia,
  • skontrolovať, či je DPIA spracované primerane.

5) Spolupracuje s dozorným orgánom

DPO môže byť kontaktnou osobou pri:

  • konzultáciách,
  • kontrolách,
  • riešení incidentov (napríklad únikov údajov),
  • komunikácii pri sťažnostiach.

6) Rieši žiadosti a sťažnosti dotknutých osôb (procesne a metodicky)

Ľudia majú práva: prístup k údajom, oprava, výmaz, obmedzenie spracúvania, prenosnosť, námietka. DPO typicky:

  • nastaví interný proces, ako žiadosti vybavovať,
  • dohliada na lehoty a obsah odpovedí,
  • pomôže posúdiť, čo je oprávnené a čo nie.

DPO nemusí každú žiadosť vybaviť osobne, ale má zabezpečiť, aby to organizácia robila správne a jednotne.

pocitac prezentacia

DPO nie je „zodpovedná osoba za porušenia“ (a to je dôležité)

Častý mýtus: „Keď máme DPO, zodpovednosť ide za ním.“

Nie. Za súlad s GDPR je zodpovedný prevádzkovateľ (organizácia) a jej vedenie. DPO má poradnú, kontrolnú a koordinačnú rolu. GDPR výslovne počíta s tým, že DPO:

  • poskytuje odporúčania,
  • monitoruje,
  • upozorňuje na riziká,

ale nenesie osobnú zodpovednosť za to, že firma porušila GDPR, ak sa vedenie rozhodlo inak alebo ak sa pravidlá nedodržali v praxi.

Zároveň však platí, že DPO je kľúčový pri „preukázateľnosti“. V spore alebo pri kontrole často rozhoduje, či viete doložiť, že ste mali nastavené procesy, posúdenia rizík, školenia a dohľad.

Aké vlastnosti a postavenie musí mať DPO

GDPR kladie dôraz nielen na odbornosť, ale aj na postavenie DPO v organizácii.

Odbornosť

DPO má mať primerané znalosti v oblasti:

  • ochrany osobných údajov,
  • informačnej bezpečnosti v kontexte spracúvania,
  • interných procesov a rizík.

Nie je to len o zákone. DPO v praxi potrebuje rozumieť aj tomu, ako tečú dáta cez systémy a dodávateľov.

Nezávislosť

DPO má vykonávať svoju funkciu nezávisle. To znamená:

  • bez pokynov, ako má rozhodnúť v otázkach ochrany údajov,
  • bez sankcií za to, že upozorní na problém.

Konflikt záujmov je reálna téma. Typicky je problém, ak je DPO zároveň osoba, ktorá rozhoduje o účeloch a prostriedkoch spracúvania, napríklad šéf IT, šéf HR alebo šéf marketingu. Nie vždy automaticky, ale často je to rizikové.

Priamy prístup k vedeniu

DPO musí mať možnosť komunikovať priamo s top manažmentom. Ak DPO „zaparkujete“ na nízkej úrovni bez vplyvu, je to recept na formálne plnenie povinnosti bez reálneho efektu.

Povinnosti organizácie voči DPO

Ak DPO určíte, organizácia musí splniť viacero praktických povinností:

1) Zverejniť kontaktné údaje DPO

Kontaktné údaje DPO majú byť dostupné dotknutým osobám aj dozornému orgánu. V praxi to znamená napríklad:

  • uviesť kontakt v zásadách ochrany osobných údajov,
  • uviesť kontakt na webe v sekcii ochrany súkromia,
  • mať interný komunikačný kanál pre zamestnancov.

2) Zapájať DPO do všetkých relevantných otázok

DPO má byť pri:

  • nových projektoch,
  • zmenách systémov,
  • zmenách dodávateľov,
  • zavádzaní nových marketingových nástrojov,
  • nastavovaní kamerového systému,
  • riešení incidentov.

Inými slovami, DPO nemá byť posledná zastávka „na podpis“. Má byť pri navrhovaní riešenia.

3) Poskytnúť zdroje

Zdroje znamenajú:

  • čas,
  • prístup k informáciám,
  • spoluprácu tímov,
  • rozumný rozpočet (napríklad na školenia, audit, právne konzultácie, bezpečnostné opatrenia).

Interný vs. externý DPO: čo sa viac oplatí

DPO môže byť:

  • interný (zamestnanec),
  • externý (dodávateľsky, napríklad poradenská spoločnosť alebo konzultant).

Interný DPO pozná firmu zvnútra, no treba si dať pozor na konflikt záujmov a na to, či má skutočne kapacitu a odborný rast.

Externý DPO býva silný v skúsenostiach z praxe, auditných postupoch a porovnaní naprieč odvetviami. Nevýhodou môže byť, ak organizácia nechce zdieľať informácie alebo ak externý DPO nemá prístup k reálnym procesom.

Dôležitejšie než forma je, aby DPO:

  • bol zapojený,
  • bol nezávislý,
  • mal informácie,
  • vedel preukázateľne pracovať.

Najčastejšie chyby, ktoré vídam pri DPO

  1. DPO iba na papieri, bez reálneho zapojenia do projektov.
  2. Nesprávna osoba kvôli konfliktu záujmov (rozhoduje o účeloch spracúvania a zároveň „dohliada“ na súlad).
  3. Chýbajú zverejnené kontakty alebo sú zverejnené nefunkčne (neexistuje proces, kto e-maily spracúva).
  4. DPO nemá prístup k vedeniu, takže odporúčania sa strácajú v hierarchii.
  5. Organizácia očakáva, že DPO preberie zodpovednosť za súlad, a tým prestane riešiť vlastné povinnosti.

Ako zistíte, či DPO potrebujete

Ak si nie ste istí, odporúčam položiť si tieto otázky:

  • Sme verejný orgán alebo verejný subjekt?
  • Monitorujeme ľudí pravidelne a systematicky vo veľkom rozsahu (online, kamery, profilovanie)?
  • Spracúvame citlivé údaje alebo údaje o trestných činoch vo veľkom rozsahu?
  • Máme veľa žiadostí od dotknutých osôb alebo sťažností?
  • Máme veľa systémov a dodávateľov, cez ktoré tečú osobné údaje?
  • Vieme preukázať súlad s GDPR, alebo len „tušíme“, že je to v poriadku?

Ak aspoň niekoľko odpovedí smeruje k riziku alebo rozsahu, DPO sa oplatí riešiť aj dobrovoľne.

Zhrnutie: čo je DPO a prečo je dôležitý

DPO (úradník pre ochranu údajov) je odborná a nezávislá kontaktná osoba, ktorá pomáha organizácii dodržiavať GDPR, nastavuje procesy, monitoruje súlad, školí ľudí, asistuje pri DPIA a komunikuje s dozorným orgánom.

Povinný je najmä pre:

  • verejné subjekty,
  • organizácie s rozsiahlym monitorovaním osôb,
  • organizácie, ktoré vo veľkom rozsahu spracúvajú citlivé údaje alebo údaje o trestných činoch.

A posledná dôležitá veta: DPO nie je ten, kto „nesie vinu“ za porušenie GDPR. Zodpovednosť má organizácia. DPO je však často rozhodujúci v tom, či organizácia vie súlad preukázať a či má ochranu údajov reálne pod kontrolou.

Často kladené otázky

Čo je to DPO a akú má úlohu v organizácii?

DPO (Úradník pre ochranu údajov) je odborník, ktorý v organizácii dohliada na správne a systematické riešenie ochrany osobných údajov podľa GDPR. Pôsobí ako poradca, kontrolór a komunikačný most medzi organizáciou, dotknutými osobami a dozorným orgánom.

Kedy je podľa GDPR povinné určiť DPO?

Povinnosť určiť DPO majú verejné orgány a subjekty, organizácie vykonávajúce rozsiahle a pravidelné monitorovanie osôb vo veľkom rozsahu, alebo tie, ktoré spracúvajú osobitné kategórie osobných údajov vo veľkom rozsahu.

Prečo sa DPO často spája s webmi, cookies a analytikou?

Aj bežné používanie cookies či analytiky môže znamenať spracúvanie osobných údajov, ako sú online identifikátory alebo IP adresy. DPO nastavuje pravidlá, aké údaje sa zbierajú, prečo, na akom právnom základe a ako sa o tom informuje používateľ.

Je DPO len IT-čkár alebo právnik kontrolujúci dokumenty raz ročne?

Nie. DPO nie je iba technik na nastavenie cookies lišty ani právnik vykonávajúci občasnú kontrolu. Je to odborník zapojený priebežne do procesov, projektov a zmien týkajúcich sa osobných údajov v organizácii.

Aké sú hlavné funkcie DPO v praxi?

DPO pomáha zabezpečiť súlad s GDPR, radí zamestnancom a vedeniu, komunikuje s dotknutými osobami aj dozorným orgánom a dohliada na systematické spracovanie osobných údajov v organizácii.

Na čo si dať pozor pri menovaní DPO v organizácii?

Menovanie DPO by nemalo byť len formálnou záležitosťou. Je dôležité zabezpečiť jeho nezávislosť, dostatočné zdroje a priebežné zapojenie do všetkých procesov spracovania osobných údajov v organizácii.

Predchádzajúci článok Ďalší článok

Čo potrebujete nájsť?