3.1. Zapojenie zodpovednej osoby do všetkých záležitostí, ktoré súvisia s ochranou osobných údajovČlánok 38 Nariadenia stanovuje, že prevádzkovateľ a sprostredkovateľ zabezpečia, aby bola zodpovedná osoba „riadnym spôsobom a včas zapojená do všetkých záležitostí, ktoré súvisia s ochranou osobných údajov“.
Je zvlášť dôležité, aby bola zodpovedná osoba zapojená do všetkých záležitostí, ktoré súvisia s ochranou osobných údajov v čo najskoršom štádiu. Pokiaľ ide o posúdenie vplyvov, nariadenie vyslovene stanovuje skoré zapojenie zodpovednej osoby a ďalej upravuje, že prevádzkovateľ by sa mal radiť so zodpovednou osobou, keď vykonáva posúdenia vplyvu. Ak sa zabezpečí, že zodpovedná osoba bude od začiatku informovaná a bude sa s ňou konzultovať, uľahčí to zosúladenie sa s nariadením, zaistí aplikovanie prístupu založenom na princípe špecificky navrhnutej ochrany súkromia (privacy by design) a z tohto dôvodu by malo ísť štandardný postup v riadení organizácie. Je tiež dôležité, aby sa na zodpovednú osobu v rámci organizácie pozeralo ako na partnera v dialógu a bola súčasťou pracovných skupín zodpovedných za spracovateľské činnosti v rámci organizácie.
Následne by mala organizácia zabezpečiť napríklad, aby
- bola zodpovedná osoba pravidelne pozývaná na stretnutia najvyššieho a stredného manažmentu
- jej prítomnosť sa odporúča v prípadoch, že sa prijímajú rozhodnutia, ktoré majú dopad na ochranu osobných údajov. Všetky dôležité informácie by sa mali byť včas poskytnúť zodpovednej osobe, aby mohla poskytnúť náležité poradenstvo
- stanovisku zodpovednej osoby sa musí prikladať patričná váha. Skupina WP29 v prípade nesúhlasu odporúča ako správny postup, aby sa zaznamenalo, prečo sa nepostupovalo podľa stanoviska/rady zodpovednej osoby.
- V prípade porušenia ochrany osobných údajov alebo iného incidentu sa musí bezodkladne konzultovať so zodpovednou osobou.
Tam, kde je to vhodné, môže prevádzkovateľ alebo sprostredkovateľ vypracovať usmernenia/ inštrukcie k ochrane osobných údajov alebo programy nastavené pre situácie, kedy je potrebné konzultovať so zodpovednou osobou.
3.2. Potrebné zdroje
Článok 38 ods. 2 nariadenia vyžaduje, aby organizácia podporovala zodpovednú osobu „poskytnutím zdrojov potrebných na plnenie týchto úloh a poskytnutím prístupu k osobným údajom a spracovateľským operáciám, ako aj zdroje na udržiavanie jej odborných znalostí“.
Zvlášť by sa mali zohľadniť tieto body:
- aktívna podpora funkcie zodpovednej osoby zo strany najvyššieho vedenia (napr. na úrovni predstavenstva)
- poskytnutie dostatočného času pre zodpovednú osobu na plnenie jej úloh. To je zvlášť dôležité v prípadoch, keď je zodpovedná osoba vymenovaná na polovičný úväzok alebo tam, kde zamestnanec vykonáva funkciu zodpovednej osoby popri iných pracovných povinnostiach. Inak môžu protichodné priority vyústiť do zanedbania úloh zodpovednej osoby. Dostatok času, ktorý môže venovať plneniu úloh zodpovednej osoby je rozhodujúci. Odporúčame, aby bolo určené percento času, ktorý má byť vyhradený funkcii zodpovednej osoby, ak nejde o pozíciu vykonávanú na plný úväzok. Odporúčame tiež, aby sa stanovil rozsah času, ktorý má byť venovaný vykonávaniu funkcie zodpovednej osoby, stanovená primeraná úroveň priority úlohám zodpovednej osoby a aby zodpovedná osoba alebo organizácia pripravila pracovný plán.
- náležitá podpora v zmysle finančných zdrojov, infraštruktúry (priestorov, zariadení, vybavenia) a personálu, tam, kde je to vhodné.
- oficiálne oznámenie určenia zodpovednej osoby všetkým zamestnancom, aby sa zabezpečilo povedomie o jej existencii a funkcii.
- prístup k ďalším službám v organizácii v nevyhnutnom rozsahu, ako napr. ľudské zdroje, IT, bezpečnosť atď., tak aby zodpovedná osoba od nich získala náležitú podporu, vstupy a informácie sústavné vzdelávanie. Zodpovedné osoby majú mať príležitosť aktualizovať svoje znalosti vo vzťahu k vývoju v oblasti ochrany osobných údajov. Tento cieľ by mal byť stanovený preto, aby sa neustále zvyšovala úroveň znalostí zodpovedných osôb, a teda by mali byť povzbudzované k tomu, aby sa zúčastňovali tréningových kurzov na tému ochrany osobných údajov a ďalších foriem profesionálneho vývoja, ako je účasť na fórach týkajúcich sa súkromia, workshopoch, atď.
- V závislosti od veľkosti a štruktúry organizácie môže byť potrebné vytvoriť zodpovednej osobe tím (zodpovedná osoba a jej vyhradení zamestnanci – personál).V týchto prípadoch by mala byť jasne vopred stanovená vnútorná štruktúra tímu, ako aj úlohy a zodpovednosti jednotlivých členov tímu. Obdobne to platí pre prípad, ak funkciu zodpovednej osoby vykonáva externý poskytovateľ služieb a tieto úlohy plní skupina osôb (tím), ktorý pracuje pre externého dodávateľa pod vedením pre klienta určenej kontaktnej osoby.
Vo všeobecnosti, čím zložitejšie sú spracovateľské operácie a/alebo o čo viac citlivé sú tieto operácie (pozn. ÚOOÚ v zmysle spracúvania osobitnej kategórie osobných údajov), o to viac zdrojov sa zodpovednej osobe malo poskytnúť. Funkcia zabezpečovania ochrany osobných údajov sa musí reálne vykonávať a mať dostatočné zdroje vo vzťahu k spracúvaniu, ktoré sa vykonáva.
3.3. Inštrukcie a „konať nezávisle“Článok 38 ods. 3 upravuje základné garancie, ktoré majú dopomôcť k tomu, aby boli zodpovedné osoby schopné vykonávať svoje úlohy v rámci organizácie s dostatočnou mierou autonómie. Od prevádzkovateľov/sprostredkovateľov sa predovšetkým očakáva, že zabezpečia, aby zodpovedná osoba „v súvislosti s plnením jej úloh nedostávala žiadne pokyny“. Recitál 97 dopĺňa, že zodpovedné osoby, „či už sú alebo nie sú zamestnancami prevádzkovateľa, by mali mať možnosť vykonávať svoje povinnosti a úlohy nezávisle.“
To znamená, že pri plnení úloh podľa článku 39 sa zodpovedným osobám nesmie určovať, ako postupovať pri riešení veci, napr. aký výsledok sa má dosiahnuť, ako prešetrovať sťažnosť alebo či vec konzultovať s dozorným orgánom. Okrem toho sa im nesmie nariadiť, aké stanovisko by mali zaujať v otázke týkajúcej sa právnej úpravy ochrany osobných údajov, napr. určitý výklad právnej normy.
Pod autonómiou zodpovednej osoby by sme však nemali rozumieť, že majú rozhodovacie právomoci, ktoré presahujú ich úlohy podľa článku 39. Prevádzkovateľ alebo sprostredkovateľ je naďalej zodpovedný za súlad s právnymi normami na ochranu osobných údajov a tiež musí vedieť tento súlad preukázať. Ak prevádzkovateľ alebo sprostredkovateľ prijme rozhodnutie, ktoré je nekompatibilné s nariadením a stanoviskom zodpovednej osoby, zodpovednej osobe by mala poskytnúť možnosť ozrejmiť svoje nesúhlasné stanovisko pred tými, ktorí tieto rozhodnutia prijímajú.
3.4. Odvolanie alebo postih za výkon úloh zodpovednej osobyČlánok 38 ods. 3 tiež stanovuje, že prevádzkovateľ alebo sprostredkovateľ zodpovedné osoby „nesmú odvolať alebo postihovať za výkon /ich/ úloh“. Táto požiadavka posilňuje autonómiu zodpovedných osôb a pomáha zaistiť, že budú konať nezávisle a mať dostatočnú mieru ochrany pri vykonávaní svojich úloh v súvislosti s ochranou osobných údajov.
Postihy sú nariadením zakázané len pre prípady, ak sa ukladajú za výkon úloh zodpovednej osoby. Napr. zodpovedná osoba je toho názoru, že určité spracovanie pravdepodobne povedie k vysokému riziku a odporučí prevádzkovateľovi alebo sprostredkovateľovi, aby vykonal posúdenie vplyvu, avšak prevádzkovateľ alebo sprostredkovateľ s týmto hodnotením zodpovednej osoby nesúhlasí. Tu nemožno odvolať zodpovednú osobu zato, že poskytla takéto poradenstvo.
Postihy môžu mať rôzne formy, môžu byť priame alebo nepriame. Mohlo by to byť napríklad nepovýšenie alebo oddialenie povýšenia, znemožnenie kariérneho postupu, neposkytnutie zamestnaneckých benefitov, ktoré iní zamestnanci čerpajú. Nie je nevyhnutné, aby boli tieto postihy aj zrealizované, postačuje aj hrozba, ak sa použijú nato, aby postihli zodpovednú osobu za výkon jej činnosti ako zodpovednej osoby.
Zodpovednú osobu však možno stále odvolať na základe rozhodnutia vedenia a za predpokladu, že by sa tak postupovalo aj pri iných zamestnancoch alebo zmluvných partneroch a za podmienok stanovených platným vnútroštátnym zmluvným, pracovným alebo trestným právom z iných dôvodov než za výkon úloh zodpovednej osoby (napríklad v prípade krádeže, fyzického, psychického alebo sexuálneho obťažovania alebo podobne závažného pochybenia).
V tomto kontexte si je dobré všimnúť, že nariadenie neupravuje, ako a kedy možno zodpovednú osobu odvolať a nahradiť niekým iným. Na druhej strane, čím viac má zmluva so zodpovednou osobou trvalý charakter, o to viac garancií sa poskytuje pred jej odvolaním a je o to viac pravdepodobné, že bude môcť postupovať nezávisle. Preto by skupina WP29 uvítala, ak by sa organizácie snažili postupovať v tomto zmysle.
3.5. Konflikt záujmov
Článok 38 ods. 6 dovoľuje zodpovedným osobám, aby „plnili iné úlohy a povinnosti“. Vyžaduje však, aby organizácia zabezpečila, že „žiadna z takýchto úloh alebo povinností neviedla ku konfliktu záujmov“.
Neexistencia konfliktu záujmov je úzko spojená s požiadavkou, aby zodpovedná osoba konala nezávisle. Hoci sa zodpovedným osobám dovoľuje, aby mali viacero funkcií, ďalšie úlohy a povinnosti im možno zveriť len vtedy, ak nevznikne konflikt záujmov. To predovšetkým znamená, že dotknutá osoba nemôže zastávať v organizácii pozíciu, v ktorej by určovala účely a prostriedky spracúvania osobných údajov. Vzhľadom nato, že každá spoločnosť má odlišnú organizačnú štruktúru, sa toto musí posudzovať prípad od prípadu.
V závislosti od činnosti, veľkosti a štruktúry organizácie, možno prevádzkovateľom alebo sprostredkovateľom ako správny postup odporučiť:
- určiť pozície, ktoré by mohli byť nekompatibilné s funkciou zodpovednej osoby
- nastaviť vnútroorganizačné pravidlá tak, aby sa predišlo konfliktom záujmov
- pracovať so všeobecnejším vysvetlením konfliktov záujmov
- preukázať, že ich zodpovedná osoba nemá žiaden konflikt záujmov, pokiaľ ide o jej funkciu zodpovedne osoby v rámci zvyšovania povedomia o tejto požiadavke na zodpovednú osobu
- zapracovať záruky do vnútroorganizačných pravidiel a zabezpečiť, že informácia o uvoľnenej pozícii zodpovednej osoby alebo zmluva o poskytovaní služieb je natoľko presná a detailná, že nedôjde ku konfliktu záujmov. Tu by sme mali mať na pamäti, že konflikty záujmov môžu mať viacero podôb v závislosti od toho, či je zodpovedná osoba prijímaná interným alebo externým výberovým procesom.