4.1. Monitorovanie súladu s nariadením
Článok 39 ods. 1 písm. b) zveruje zodpovedným osobám, popri iných úlohách, úlohu monitorovať súlad s nariadením. Recitál 99 ďalej stanovuje, že zodpovedná osoba „by mala pomáhať prevádzkovateľovi alebo sprostredkovateľovi pri monitorovaní vnútorného dodržiavania tohto nariadenia“. V rámci vykonávania tejto úlohy môžu zodpovedné osoby najmä:
- získavať informácie nato, aby určili spracovateľské činnosti,
- analyzovali a kontrolovali súlad spracovateľských činností, a
- prevádzkovateľovi alebo sprostredkovateľovi poskytovali informácie, poradenstvo a vydávali odporúčania.
Monitorovanie súladu neznamená, že zodpovedná osoba je osobne zodpovedná zato, ak sa vyskytne nesúlad. Nariadenie jasne stanovuje, že od prevádzkovateľa a nie zodpovednej osoby sa vyžaduje, aby prijal „vhodné technické a organizačné opatrenia, aby zabezpečil a bol schopný preukázať, že spracúvanie sa vykonáva v súlade s týmto nariadením“ (článok 24 ods. 1).
Súlad s pravidlami ochrany osobných údajov je zodpovednosťou spoločnosti (podniku), nie zodpovednej osoby.
4.2. Úloha zodpovednej osoby pri posudzovaní vplyvovPodľa článku 35 ods. 1 je úlohou prevádzkovateľa, nie zodpovednej osoby, vykonať, ak je to potrebné, posúdenie vplyvu na ochranu údajov („data protection impact assessment – DPIA“).
Zodpovedná osoba však môže poskytnutím asistencie prevádzkovateľovi zohrávať v tomto procese veľmi podstatnú a užitočnú úlohu. Sledujúc zásadu špeciálne navrhnutej ochrany údajov (data protection by design) článok 35 ods. 2 osobitne vyžaduje, aby sa prevádzkovateľ počas vykonávania posúdenia vplyvu na ochranu údajov „radil so zodpovednou osobou“. Na druhej strane, článok 39 ods. 1 písm. ukladá zodpovednej osobe povinnosť „poskytovať poradenstvo na požiadanie, pokiaľ ide o posúdenie vplyvu na ochranu údajov a monitorovanie jeho vykonávania.“
Skupina WP29 odporúča, aby sa prevádzkovateľ radil so zodpovednou osobou, okrem iného v týchto záležitostiach:
- či vykonať alebo nevykonať posúdenie vplyvu na ochranu údajov (DPIA)
- akú metodológiu pri posúdení vplyvu použiť
- či posúdenie vplyvu vykonať interne alebo externe prostredníctvom sprostredkovateľa služby
- aké záruky (vrátane technických a organizačných opatrení) prijať na zmiernenie rizík pre práva a záujmy dotknutých osôb
- či posúdenie vplyvu bolo alebo nebolo správne vykonané a či sú jeho závery (t. j. či pristúpiť alebo nie k spracúvaniu a o tom, aké záruky sa majú prijať) v súlade s nariadením.
Ak prevádzkovateľ nesúhlasí so stanoviskom zodpovednej osoby, záznamy o posúdení vplyvov na ochranu údajov by mali obsahovať aj zdôvodnenie, prečo sa nezohľadnilo stanovisko zodpovednej osoby.
Skupina WP29 ďalej odporúča, aby prevádzkovateľ jasne vymedzil, napríklad v zmluve so zodpovednou osobou, ale aj v oznámení zamestnancom, vedeniu (a tam, kde je to vhodné, aj ďalším zainteresovaným stranám), úlohy zodpovednej osoby a rozsah jej pôsobnosti najmä vo vzťahu k vykonávaniu posúdenia vplyvu na ochranu údajov.
4.3. Na riziku založený prístupČlánok 39 ods. 2 stanovuje, že zodpovedná osoba „
náležite zohľadňuje riziko spojené so spracovateľskými operáciami, pričom berie na vedomie povahu, rozsah, kontext a účely spracúvania“.
Tento článok odkazuje na všeobecný princíp založený na zdravom úsudku, ktorý môže mať v mnohých ohľadoch význam v každodennej práci zodpovednej osoby. V podstate sa od zodpovedných osôb žiada, aby si určili priority a sústredili sa na problémy, ktoré predstavujú väčšie riziká pre ochranu údajov. To neznamená, že by mali zanedbávať monitorovanie súladu spracovateľských operácií, ktoré so sebou nesú porovnateľne nižšie riziká, i keď to značí, že by sa mali zamerať primárne na oblasti s vysokým rizikom.
Tento selektívny a pragmatický prístup by mal zodpovednej osobe pomôcť pri poskytovaní poradenstva prevádzkovateľovi v tom, akú metodológiu použiť pri posúdení vplyvu na ochranu údajov, ktoré oblasti by mali podliehať internému alebo externému auditu ochrany osobných údajov, aké interné školenia zabezpečiť pre zamestnancov a vedenie zodpovedné za spracovanie osobných údajov, a na ktoré spracovateľské operácie by si mala zodpovedná osoba vyhradiť viac času a prostriedkov.
4.4. Úloha zodpovednej osoby pri uchovávaní záznamovPodľa článku 30 ods. 1 a ods. 2 sa od prevádzkovateľa alebo sprostredkovateľa, nie zodpovednej osoby, vyžaduje, aby „viedol záznamy o spracovateľských činnostiach, za ktoré je zodpovedný“ alebo aby „viedol záznamy o všetkých kategóriách spracovateľských činností, ktoré vykonal v mene prevádzkovateľa“.
V praxi zodpovedné osoby častokrát na základe informácií od rôznych oddelení, ktoré sú v rámci organizácie zodpovedné za spracúvanie osobných údajov, zostavujú inventáre a majú k dispozícii register spracovateľských operácií. Táto prax je uzákonená mnohými vnútroštátnymi právnymi normami a ako aj pravidlami na ochranu osobných údajov, ktoré sa vzťahujú na európske inštitúcie a orgány.
Článok 39 ods. 1 stanovuje minimálny rozsah úloh, ktoré náležia zodpovednej osobe. Nič však nebráni prevádzkovateľovi alebo sprostredkovateľovi v tom, aby zodpovednej osobe určil úlohu viesť záznamy o spracovateľských operáciách pod dohľadom prevádzkovateľa. Takýto záznam by sa mal chápať ako jeden z nástrojov umožňujúcich zodpovednej osobe vykonávať jej úlohy, pokiaľ ide o monitorovanie súladu, poskytovanie informácií a poradenstva prevádzkovateľovi alebo sprostredkovateľovi.
V každom prípade, záznamy, ktoré sa majú uchovávať podľa článku 30, môžeme vnímať aj ako nástroj, ktorý umožňuje prevádzkovateľovi alebo dozornému orgánu na požiadanie poskytnúť prehľad všetkých spracovateľských činností, ktoré organizácia vykonáva. Ide teda o základný predpoklad pre súlad s nariadením a o účinné opatrenie na zabezpečenie zodpovednosti.