Článok GDPR

Aké sú povinnosti Zodpovednej osoby na ochranu osobných údajov

30 jan 2019

Podľa všeobecného nariadenia o ochrane osobných údajov (General Data Protection Regulation, GDPR), ktoré vstúpilo do platnosti 25. mája 2018, musia niektoré organizácie menovať zodpovednú osobu na ochranu osobných údajov (Data Protection Officer; DPO). Ktorých organizácií sa to týka a čo presne DPO robí? Lisbeth Svensson, DPO skupiny Bisnode, odpovedá na tieto a ďalšie otázky.

Aké sú hlavné úlohy DPO?

DPO by mal zabezpečovať, aby sme spracovávali osobné údaje s rešpektom a v súlade so zákonmi o ochrane súkromia. To zahŕňa informovanie, poradenstvo a dohľad nad tým, aby organizácia všetko chápala a pracovala v súlade so zákonmi. DPO by mal zabezpečovať, aby mala organizácia v poriadku všetku dokumentáciu a aby táto dokumentácia bola priebežne aktualizovaná. DPO je taktiež hlavným kontaktom pre orgán na ochranu osobných údajov.

Aká kvalifikácia a odborné znalosti sú od riadneho DPO vyžadované?

Je zásadné, aby veľmi dobre rozumel záležitostiam týkajúcich sa ochrany súkromia, do ktorých GDPR spadá. DPO je obvykle v kontakte s väčšinou oddelení v rámci organizácie, takže dobré porozumenie predmetu podnikania a schopnosť pochopiť (a byť pochopený) kolegov s veľmi odlišnými popismi pracovných pozícii je nutnosťou. Inými slovami, dobré komunikačné schopnosti sú tiež dôležité. Moje súčasné znalosti sú široké a zahŕňajú IT, predaj, projektový management, riadenie ľudí a dáta. Sú to pre mňa veľmi dobré oporné body a myslím, že je to pre mňa veľkou výhodou.

Aké sú Vaše hlavné povinnosti v spoločnosti Bisnode?

Moja primárna zodpovednosť je zaistiť, aby sme chránili a nakladali s osobnými údajmi v súlade so zákonmi. V súčasnosti som intenzívne zapojená do nášho programu GDPR a zodpovedám na mnoho otázok prichádzajúcich z rôznych častí našej organizácie. Taktiež sa ubezpečujem, že sme zaviedli všetky potrebné smernice a procesy a že sme zaistili, aby v našich projektoch a systémoch boli patrične zohľadnené otázky ochrany súkromia. V ďalšom vývoji bude veľmi dôležitou úlohou zaistiť, aby sme udržali prácu na ochrane súkromia v chode, pretože dátumom 25. mája nič určite nekončí.

Ktoré typy spoločností teraz musia mať DPO?

Formálne musí byť DPO vymenovaný pre orgány verejnej správy a verejnoprávne subjekty a pro tie spoločnosti, ktorých hlavnou činnosťou je rozsiahle, pravidelné a systematické sledovanie dotknutých osôb alebo rozsiahle spracovávanie zvláštnych kategórií údajov a osobných údajov týkajúcich sa odsúdenia za trestné činy a priestupky.

Odporúčam, aby si každá spoločnosť, ktorá spracováva osobné údaje, menovala svojho DPO – alebo aspoň určila niekoho, kto bude zodpovedný za záležitosti týkajúce sa ochrany súkromia, a to v závislosti na veľkosti spoločnosti a množstve údajov, ktoré má spoločnosť k dispozícii.

Ako budú vyzerať úlohy DPO po 25. máji 2018?

Ja osobne budem pokračovať v práci, ktorú robím dnes, ale tiež začnem auditovať naše podnikanie tak, aby som zaistila, že budeme aj naďalej konať v súlade so zákonmi. Je tu veľa otázok týkajúcich sa našej organizácie a projektov, ktoré sa objavujú v priebehu každého dňa. Som si istá, že dôjde k dolaďovaniu, ktoré bude nutné urobiť potom, čo už budú naše nové procesy chvíľu fungovať. A konečne budem aj ďalej zvyšovať povedomie a školiť ľudí tam, kde to bude nutné.

Má spoločnosť Bisnode zodpovednú osobu DPO v každej krajine?

Spoločnosť Bisnode vymenovala miestne zodpovedné osoby DPO, avšak niektorí z nich pôsobia na viacerých trhoch. To je preto, aby mohol byť DPO ľakho dosiahnuteľný a aby podliehal miestnej legislatíve. Pokiaľ hovorí miestnym jazykom, je to rovnako výhoda. Nie je však nutné mať viacerých DPO len preto, že podnikáte vo viacerých krajinách.

Čo považujete vo Vašej úlohe za najväčšiu výzvu?

Chcem zaistiť, aby boli pravidelne vo svojej rannej fáze s DPO konzultované všetky nové procesy a vývoj. Ako obvykle je ľahšie poskytnúť dobrú radu predtým, ako je niečo vybudované alebo nadobudnuté či realizované.

Aké príležitosti vidíte pre spoločnosť ako je Bisnode v období po zavedení GDPR?

Naše podnikanie a jeho príležitosti ostanú po zavedení GDPR z veľkej časti rovnaké, avšak je nesmierne dôležité, aby sme pomohli zaistiť, aby naši zákazníci mali tie správne informácie na to, čo robia, a aby ich údaje boli presné a aktuálne.

Vedľajším efektom programu GDPR je, že niektoré úkony pomôžu urýchliť naše procesy v iných oblastiach.

Čo si myslíte, že sú najväčšie mylné predstavy o GDPR?

Existujú tri veci, o ktorých sa veľmi často dozvedám a na ktoré sa ma často pýtajú:

Po prvé, prenositeľnosť dát. Áno, je možné v niektorých prípadoch požiadať o prenos dát k inému správcovi, ale nie vždy je to možné pre všetky typy dát. 

Za druhé si niektorí ľudia teraz myslia, že spoločnosti budú vždy potrebovať súhlas so spracovaním osobných údajov. To nie je pravda. Existuje šesť právnych dôvodov a súhlas je len jeden z nich.

Za tretie niektorí ľudia sa domnievajú, že spoločnosti už nemôžu naďalej uchovávať osobné údaje, ktoré potrebujú. Skutočnosť je taká, že, pokiaľ k tomu majú právne dôvody, spoločnosti môžu v prípade potreby údaje uchovávať. Nemôžu legálne uchovávať viac údajov, ako potrebujú, a nie dlhšie, ako potrebujú, a samozrejme musia zaistiť, že rešpektujú práva jednotlivca.

Prihlásiť sa na odber newsletteru

Newsletter je určený pre všetkých záujemcov o tipy, trendy a inšpirácie v oblasti smart data.