Metodické usmernenie č. 1/2018 Inštitút zodpovednej osoby v podmienkach obcí a miest

Podľa § 81 ods. 2 písm. d) zákona o ochrane osobných údajov Úrad na ochranu osobných údajov Slovenskej republiky vydáva toto metodické usmernenie.

Autori: Úrad na ochranu osobných údajov Slovenskej republiky
Právny stav od: 25. 5. 2018
Dátum publikácie: 4. 5. 2018
Prameň: EPI Odborné články / epi - 2018
Oblasti práva: Správne právo / Informácie, informačný systém / Ochrana údajov / GDPR; Správne právo / Samospráva


ÚRAD NA OCHRANU OSOBNÝCH ÚDAJOV SLOVENSKEJ REPUBLIKY
Hraničná 12, 820 07 Bratislava 27

_____________________________________________________________________________________________________

č. 00204/2018-Op-1

Metodické usmernenie č. 1/2018 Inštitút zodpovednej osoby v podmienkach obcí a miest

Podľa § 81 ods. 2 písm. d) zákona č. 18/2018 Z. z. Úrad na ochranu osobných údajov Slovenskej republiky (ďalej len „úrad“) vydáva toto metodické usmernenie.

ÚVOD

Inštitút zodpovednej osoby v podmienkach Slovenskej republiky nie je novým inštitútom. V právnej úprave platnej a účinnej do 24.05.2018 je poverenie zodpovednej osoby dobrovoľné. Podľa novej právnej úpravy, ktorá sa začne uplatňovať odo dňa 25.05.2018, bude pre obce a mestá povinnosťou poverenie zodpovednej osoby výkonom dohľadu nad ochranou osobných údajov. Dôvodom na vydanie tohto metodického usmernenia sú zmeny, ktoré Nariadenie (EÚ) 2016/679 a zákon č. 18/2018 Z. z. (ďalej len „GDPR“ a „zákon“) prinášajú a ktoré sa dotknú aj obcí a miest. Toto metodické usmernenie sa venuje najmä otázkam ako organizačne zabezpečiť plnenie povinností súvisiacich s určením zodpovednej osoby v podmienkach obcí a miest.

1 PRÁVNA ÚPRAVA

Obce a mestá je potrebné chápať ako orgán verejnej moci v zmysle čl. 37 ods. 1 písm. a) GDPR resp. § 44 ods. 1 písm. a) zákona.

Podmienky určenia zodpovednej osoby ako aj jej úlohy a povinnosti obce/mesta vo vzťahu k zodpovednej osobe ustanovuje čl. 37 – čl. 39 GDPR resp. § 44 - § 46 zákona.

1.1 PODMIENKY, KTORÉ MUSÍ ZODPOVEDNÁ OSOBA SPĹŇAŤ

Zodpovedná osoba musí v prvom rade disponovať odbornými kvalitami. Pod týmito možno rozumieť napríklad:

  • dostatočné vedomosti a prax v oblasti ochrany osobných údajov,
  • odborná znalosť práva – najmä v GDPR, zákona a ďalších predpisov súvisiacich s ochranou osobných údajov,
  • vedomosti o fungovaní verejnej správy ako takej,
  • praktická znalosť organizácie, chodu a vnútorných predpisov danej obce/mesta,
  • dobrá znalosť spracovateľských činností, vykonávaných spracovateľských operácií ako aj systémov, aplikácií, prostriedkov spracúvania a potrieb obce/mesta
    týkajúcich sa zabezpečenia ochrany osobných údajov,
  • spôsobilosť plniť úlohy zodpovednej osoby, najmä poskytovanie poradenstva, vrátane poradenstva pri posúdení vplyvu, monitorovanie súladu mesta/obce s nariadením, riadenie rizík.

Úroveň odborných znalostí nie je presne vymedzená, mala by byť úmerná citlivosti, zložitosti a množstvu údajov, ktoré obec/mesto spracúva.

Obec/mesto zodpovedá za to, že poverená zodpovedná osoba vyššie uvedené predpoklady spĺňa a tieto možno preukázať napríklad:

  • dokladom o najvyššom dosiahnutom vzdelaní s ohľadom na odbornosť, zameranie,
  • rôznymi certifikátmi alebo potvrdeniami o absolvovaní kurzov alebo školení,
  • dokumentami preukazujúcimi prax tejto osoby v oblasti ochrany osobných údajov (napr. odporúčanie od predchádzajúceho zamestnávateľa, ...).

1.2 POSTAVENIE A ÚLOHY ZODPOVEDNEJ OSOBY

Zodpovedná osoba má v kontexte novej právnej úpravy postavenie:

  • pomocníka a konzultanta v systéme ochrany osobných údajov,
  • kontaktnej osoby pre úrad a dotknuté osoby, ktorých osobné údaje sa spracúvajú (napr. obyvatelia obce).

Na to, aby mohla mať toto postavenie, je potrebné, aby bola skutočne dostupná - musí byť v prípade potreby reálne zastihnuteľná tak pre obec/mesto ako aj pre dotknuté osoby a úrad. Ak zodpovedná osoba vykonáva popri úlohách v súvislosti s ochranou osobných údajov aj inú agendu, musí sa zabezpečiť, aby všetku svoju agendu aj reálne „stíhala“ vykonávať.

Medzi minimum úloh zodpovednej osoby podľa novej právnej úpravy patria najmäK podrobnejšiemu popisu jednotlivých úloh zodpovednej osoby odporúčame pozrieť Usmernenie WP 29 týkajúce sa zodpovedných osôb, ktoré úrad zverejnil na svojom webovom sídle aj v slovenčine tu: https://www.dataprotection.gov.sk/uoou/sites/default/files/usmernenia_tykajuce_sa_zodpovednych_osob.pdf:

  • monitorovanie dodržiavania GDPR a zákona – pomáha obci/mestu dodržiavať súlad, preto na tento účel zbiera informácie na určenie spracovateľských činností obce/mesta,
    analyzuje a overuje ich súlad a poskytuje poradenstvo a odporúčania,
  • poskytnutie poradenstva na požiadanie, ak ide o posúdenie vplyvu na ochranu údajov,
  • spolupráca s úradom,
  • ďalšie úlohy – napr. vedenie záznamov o spracovateľských činnostiach, ktoré zodpovednej osobe uľahčujú monitorovanie súladu s GDPR resp. zákonom.

Ďalšie úlohy a povinnosti, ktorými obec/mesto zodpovednú osobu poverí nesmú viesť ku konfliktu záujmov. V praxi to znamená, že zodpovedná osoba nesmie v obci/meste zastávať pozíciu, z ktorej by určovala účely a prostriedky spracúvania osobných údajov, ako napr. funkcia starostu/primátora, vicestarostu/viceprimátora alebo aj ďalšie, ak je naplnená podmienka rozhodovania o účeloch a prostriedkoch spracúvania osobných údajov (účel a prostriedky spracúvania určuje prevádzkovateľ, resp. osoba oprávnená konať v mene prevádzkovateľa). Na účel vyhnutia sa konfliktu záujmov úrad odporúča určiť v interných predpisoch obce/mesta pozície, ktoré sú nezlučiteľné s funkciou zodpovednej osoby.
Obec/mesto musí zabezpečiť nezávislé vykonávanie úloh zodpovednou osobou. Toto možno zabezpečiť napríklad tak, že:

- zodpovedná osoba nebude dostávať žiadne pokyny

  • akým spôsobom má svoje úlohy podľa GDPR resp. zákona vykonávať,
  • aký výsledok má byť dosiahnutý pri monitorovaní súladu,
  • ako vyriešiť sťažnosť dotknutej osoby alebo
  • ako sa radiť s úradom v otázkach ochrany osobných údajov a pod.
  • zodpovedná osoba nesmie byť prevádzkovateľom odvolaná ani inak postihovaná za výkon úloh podľa GDPR resp. zákona,
  • zodpovedná osoba bude všetky správy, informácie a návrhy súvisiace s plnením svojich úloh poskytovať priamo osobe oprávnenej konať v mene prevádzkovateľa (spravidla
    primátor, starosta).

Úrad odporúča zadokumentovať každé stanovisko prevádzkovateľa, ktorým sa odkloní od odporúčaní zodpovednej osoby a tento odklon odôvodniť, nakoľko zodpovednosť za súlad
nesie prevádzkovateľ.

Zodpovedná osoba by mala mať priamu oznamovaciu povinnosť voči starostovi/primátorovi, aby ho tak mohla informovať o akýchkoľvek zisteniach a odporúčaniach v súvislosti s ochranou osobných údajov. Uvedené je potrebné zabezpečiť bez ohľadu na to, či je zodpovednou osobou zamestnanec obce/mesta alebo externý subjekt.

Úrad zdôrazňuje, že určením zodpovednej osoby sa obec/mesto nezbavuje svojej zodpovednosti za spracúvanie osobných údajov v súlade s právnou úpravou. Ak prevádzkovateľ poverí zodpovednú osobu, ktorá nie je dostatočne odborne zdatná, nepreveril si jej odborné znalosti pred jej poverením, za prípadne zlyhanie pri plnení úloh (chybné stanovisko, nesprávne odporúčanie napr. pri posúdení vplyvu), nesie zodpovednosť prevádzkovateľ (obec/mesto) v plnej miere, keďže povinnosťou bolo dbať o odbornú zdatnosť (zásada zodpovednosti prevádzkovateľa); zodpovedná osoba teda osobne nezodpovedá za prípadný nesúlad, zodpovednosť za porušenie GDPR a zákona nesie prevádzkovateľ, avšak tento si môže voči zodpovednej osobe nárokovať škodu, ktorú mu spôsobila, a to v rámci pracovnoprávnych alebo obdobných vzťahov resp. na základe zmluvy, ktorú má s touto zodpovednou osobou uzatvorenú, ak ide o externý subjekt.

1.3 POVINNOSTI OBCÍ A MIEST VO VZŤAHU K ZODPOVEDNEJ OSOBE

Obec/mesto musí zabezpečiť:

a) zapojenie zodpovednej osoby riadnym spôsobom a včas do všetkého, čo súvisí s ochranou osobných údajov, napríklad:

  • zabezpečením prítomnosti zodpovednej osoby v prípadoch, keď sa prijímajú rozhodnutia s dosahom na ochranu osobných údajov tak, aby poskytla náležité
    poradenstvo (obec/mesto by malo prípadný odklon od stanoviska zodpovednej osoby doložiť dôvodmi),
  • pri bezodkladnej konzultácii v prípade narušenia ochrany osobných údajov a pod.

b) podporu zodpovednej osoby pri vykonávaní jej úloh podľa GDPR resp. zákona, napríklad formou:

  • poskytovania zdrojov – financie, priestory, zariadenie alebo vybavenie (napr. počítač) a dostatok času, priestoru, aby mohla riadne a včas vykonať svoje úlohy; vo väčších
    obciach/mestách aj personál, ak je to potrebné na vytvorenie tímu okolo zodpovednej osoby a upraviť štruktúru a úlohy jednotlivých členov tímu,
  • poskytovania prístupu k osobným údajom – aby mohla monitorovať súlad s GDPR a zákonom,
  • priebežnej odbornej prípravy zodpovednej osoby - neustále zvyšovať úroveň jej odborných znalostí v danej oblasti formou jej účasti na školeniach, kurzoch alebo
    seminároch, a to aj z dôvodu, že zodpovedná osoba následne preškoľuje aj zamestnancov obce/mesta ktorí pracujú s osobnými údajmi a pod.

c) zverejnenie kontaktných údajov zodpovednej osoby – na internetovej stránke (ak je zriadená) a úradnej tabuli, prípadne aj v obecných/mestských novinách a pod.

  • takýmto údajom môže byť e-mailová adresa alebo telefónne číslo, na ktorých je zodpovedná osoba zastihnuteľná. E-mailová adresa môže byť napr. vo forme
    zodpovednaosoba@názovobce/mesta.sk, teda nie je nevyhnutné, aby sa uvádzalo meno a priezvisko zodpovednej osoby; pri telefónnom čísle môže ísť o služobný mobil alebo o linku zriadenú na tento účel. Kontaktným údajom môže byť tiež korešpondenčná adresa napr. obecného/mestského úradu (alebo právnickej osoby, ktorá je zodpovednou osobou), ak tu má zodpovedná osoba kanceláriu, prípadne aj číslo jej dverí a pod.

d) oznámenie kontaktných údajov zodpovednej osoby úradu - úrad na tento účel zverejní na svojom webovom sídle formulár pre oznamovanie predmetných údajov.

2 KTO MÔŽE BYŤ ZODPOVEDNOU OSOBOU A AKO JU MOŽNO URČIŤ

Zodpovednou osobou môže byť fyzická osoba ako aj právnická osoba. Úrad odporúča v prípade určenia právnickej osoby ako zodpovednej osoby v zmluve uzavretej medzi
obcou/mestom a takouto právnickou osobou určiť menovite konkrétnu fyzickú osobu, ktorá bude funkciu zodpovednej osoby fakticky vykonávať a bude zastihnuteľná pre obec/mesto ako aj pre úrad a dotknuté osoby.

Zodpovednou osobou môže byť zamestnanec obce/mesta alebo externe spolupracujúca osoba. Jedna obec/mesto môže mať aj viacero zodpovedných osôb, napr. zodpovednú osobu pre IT, zodpovednú osobu pre personalistiku a pod., každá však zodpovedá samostatne a rovnako za výkon svojich úloh v danej oblasti. Takisto môže nastať situácia, že viacero obcí/miest zdieľa jednu zodpovednú osobu.

Funkciu zodpovednej osoby môže vykonávať aj poslanec obecného/mestského zastupiteľstva, avšak nie z titulu svojej funkcie člena zastupiteľstva. Nakoľko funkcia poslanca
obecného/mestského zastupiteľstva je podľa § 11 ods. 2 písm. b) zákona o obecnom zriadení nezlučiteľná s funkciou zamestnanca obce/mesta, v ktorej bol zvolený, by zodpovednou osobou mohol byť v takejto obci/meste len na základe zmluvy o poskytovaní služby.

V podmienkach obcí/miest rozlišujeme niekoľko spôsobov určenia zodpovednej osoby:

a) zamestnanec

- na základe pracovnej zmluvy

  • odporúčame uzatvárať na dobu neurčitú, nakoľko zodpovedná osoba má poznať vnútorný chod a organizáciu obce/mesta detailne (klauzula o skúšobnej dobe tým
    nie je dotknutá),
  • musí obsahovať klauzulu o mlčanlivosti o osobných údajoch,
  • ak výkon funkcie zodpovednej osoby nie je jediná agenda osoby je vhodné podpísať so zamestnancom vyhlásenie, že u zamestnanca nedochádza ku
    konfliktu záujmov,

- funkcia zodpovednej osoby môže byť jediná činnosť, ktorú vykonáva, alebo môže mať na starosti aj ďalšiu agendu, ktorá nesúvisí s ochranou osobných údajov (v takom
prípade je potrebné zabezpečiť, aby nedošlo ku konfliktu záujmov),

- funkciu zodpovednej osoby musí vykonávať nezávisle bez akýchkoľvek pokynov svojho nadriadeného či priamo starostu/primátora,

- všetky svoje zistenia týkajúce sa ochrany osobných údajov referuje priamo starostovi/primátorovi a nie svojmu vedúcemu v rámci odboru alebo oddelenia, do ktorého je pracovne zaradený, ak vykonáva aj inú agendu,

- odmena za výkon práce zodpovednej osoby podľa Zákonníka práce, zákona č. 553/2003 Z. z. o odmeňovaní niektorých zamestnancov pri výkone práce vo verejnom záujme
prípadne iných predpisov,

- nemožno postihovať v oblasti odmeňovania alebo akýmkoľvek iným spôsobom za nezávislý výkon jeho povinností podľa GDPR a zákona.

- zastupovanie v prípade absencie

  • krátkodobá absencia - postupovať rovnako ako v prípade zastúpenia akéhokoľvek iného zamestnanca, v zásade nie je nutné podniknúť žiadne ďalšie kroky,
  • dlhodobá absencia - obec/mesto by mali ustanoviť „náhradnú“ zodpovednú osobu (napr. dočasne poverí iného zamestnanca alebo dočasne ustanoví externú
    zodpovednú osobu – aj takéto „dočasné“ zodpovedné osoby musia spĺňať všetky vyššie uvedené podmienky na výkon tejto funkcie).

b) externe spolupracujúca osoba

- je v inom ako pracovnoprávnom vzťahu s obcou/mestom,

- môže byť fyzická osoba alebo právnická osoba, ktorá uzatvára s obcou/mestom zmluvu o poskytovaní služby, ktorá by mala obsahovať najmä:

  • označenie osoby alebo osôb, ktoré budú úlohy zodpovednej osoby vykonávať,
  • v prípade viacerých osôb, označenie jednej konkrétnej osoby, ktorá bude hlavnou kontaktnou osobou pre dotknuté osoby a úrad,
  • uvedenie jednotlivých úloh, ktoré má zodpovedná osoba vykonávať,
  • dohodu predstavujúcu záruky nezávislosti výkonu funkcie zodpovednej osoby, ako napríklad povinnosť zodpovednej osoby oznámiť konflikt záujmov, taxatívny výpočet dôvodov, pre ktoré možno zmluvu vypovedať a zodpovednú osobu odvolať (môže ísť o dlhodobé neplnenie úloh, strata schopnosti vykonávať jednotlivé povinnosti)

- dôvody nesmú obsahovať skrytú sankciu za nezávislý výkon funkcie zodpovednej osoby a nesmú zakladať priestor pre ľubovoľné rozviazanie spolupráce so zodpovednou osobou zo strany obce/mesta,

  • klauzula o mlčanlivosť o osobných údajoch a o bezpečnostných opatreniach obce/mesta,

- zmluvu odporúčame uzatvárať na dobu neurčitú, nakoľko zodpovedná osoba má poznať vnútorný chod a organizáciu obce/mesta detailne,

- podmienky odmeňovania a výška odmeny - záležitosť dohody obce/mesta a zodpovednej osoby,

- zastupovanie v prípade absencie – zodpovedná osoba by mala prijať príslušné opatrenia na to, aby jednotlivé úlohy boli vykonávané kontinuálne (napríklad určiť si lehoty
v akých majú byť jednotlivé úlohy vykonané pod hrozbou sankcie).

c) spoločná zodpovedná osoba

- GDPR ani zákon nevylučujú možnosť pre viacero obcí/miest určiť jednu zodpovednú osobu,

- spoločná zodpovedná osoba musí plniť svoje úlohy efektívne vo vzťahu ku všetkým spolupracujúcim obciam/mestám,

- spôsoby určenia spoločnej zodpovednej osoby:

  • zodpovedná osoba okresného/krajského mesta – zodpovedná osoba okresného/krajského mesta by vykonávala túto funkciu aj v menších obciach/mestách, ktoré patria do jej obvodu,
  • zmluva uzavretá medzi obcou/mestom a zodpovednou osobou – viaceré obce/mestá by samostatne uzavreli zmluvy s 1 zodpovednou osobou,
  • zmluva uzavretá medzi obcami/mestami – ide o zmluvu na účel uskutočnenia konkrétnej úlohy alebo činnosti a jej podstatou je, že jedna obec/mesto poskytne svoju zodpovednú osobu druhej obci/mestu (môže ísť napr. o prípady susediacich obcí/miest, alebo tiež o prípady, kedy je potrebné zabezpečiť kontinuitu plnenia úloh zodpovednej osoby z dôvodu jej dlhodobej absencie a dočasne túto nahradiť ďalšou zodpovednou osobou),
  • zmluva uzavretá medzi združením obcí/miest a zodpovednou osobou – podľa § 20 ods. 1 zákona o obecnom zriadení môžu obce (mestá) spolupracovať na základe zmluvy uzavretej na účel uskutočnenia konkrétnej úlohy alebo činnosti, na základe zmluvy o zriadení združenia obcí (miest), zriadením alebo založením právnickej osoby podľa osobitného zákona. Po vytvorení združenia môže toto združenie uzatvoriť zmluvu s konkrétnou zodpovednou osobou, ktorá by vykonávala funkciu zodpovednej osoby pre obce/mestá, ktoré združenie vytvorili.

3 SANKCIE ZA PORUŠENIE POVINNOSTI URČIŤ ZODPOVEDNÚ OSOBU

Za porušenie povinnosti určiť zodpovednú osobu ako aj ďalších povinností súvisiacich s inštitútom zodpovednej osoby hrozí obciam resp. mestám podľa čl. 84 ods. 4 písm. a) GDPR (§ 104 ods. 1 písm. a) zákona) uloženie pokuty až do výšky 10 000 000 EUR, a to v závislosti od okolností každého jednotlivého prípadu a po náležitom zohľadnení ďalších skutočností.Pozri čl. 83 ods. 2 nariadenia resp. § 106 ods. 1 zákona

ZÁVER

Určenie zodpovednej osoby je povinnosťou obce/mesta vyplývajúcou priamo z GDPR a zákona. Takéto určenie by však nemalo byť len formálne, ale zodpovedná osoba skutočne
musí spĺňať všetky podmienky uvedené v GDPR resp. zákone a musí svoje úlohy aj reálne vykonávať. Za týmto účelom je obec/mesto povinné zodpovednej osobe umožniť vykonávanie týchto úloh a nesmie jej v tom brániť alebo akýmkoľvek iným spôsobom mariť jej činnosť.

Za plnenie jednotlivých úloh obec/mesto nesmú zodpovednú osobu žiadnym spôsobom sankcionovať. Existencia zodpovednej osoby má zabezpečiť, aby boli postupy obcí/miest pri
spracúvaní osobných údajov súladné s GDPR a zákonom a má mu napomôcť pri plnení jeho jednotlivých povinností.

 

 

V Bratislave, dňa 20. marca 2018

 

Soňa Pőtheová
predsed

 

Autor: Úrad na ochranu osobných údajov Slovenskej republiky

Súvisiace odborné články

Súvisiace príklady z praxe

Súvisiace právne predpisy ZZ SR


S-EPI, s.r.o. © 2010-2018, všetky práva vyhradené