Zodpovedné osoby podľa nariadenia GDPR

Inštitút zodpovednej osoby pritom nie je novinkou, ktorú prináša Nariadenie. Tento inštitút sa objavil už predtým v Smernici Európskeho parlamentu a Rady 95/46/ES z 24. októbra 1995 o ochrane fyzických osôb pri spracovaní osobných údajov a voľnom pohybe týchto údajov a svoje miesto má aj v ešte zatiaľ účinnom zákone č. 122/2013 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov (§ 23 a nasl.).

GDPR počíta so zodpovednou osobou ako s hlavným aktérom nového nastavania systému správy osobných údajov. Nariadenie v príslušných ustanoveniach (čl. 37 až čl. 39) ustanovuje:

• podmienky určenia zodpovednej osoby,
• postavenie zodpovednej osoby a
• úlohy, ktoré zodpovedná osoba plní.

Pracovná skupina pre ochranu osobných údajov vydala dokument, v ktorom zhrnula usmernenia týkajúce sa zodpovedných osôb, ktorý bol revidovaný v apríli 2017. Pracovná skupina je nezávislým európskym poradným orgánom pre ochranu údajov a súkromia.

Určenie zodpovednej osoby môže, podľa Pracovnej skupiny pre ochranu osobných údajov, uľahčiť dodržiavanie predpisov. Za dodržiavanie predpisov v oblasti ochrany osobných údajov však v konečnom dôsledku zodpovedá prevádzkovateľ alebo sprostredkovateľ.

Tento článok bližšie rozoberá po­vinnosť prevádzkovateľov a sprostredkovateľov mať zodpovednú osobu, poukazuje na jej postavenie a úlohy, ktoré má plniť.

Prevádzkovateľ

V zmysle článku 4 ods. 7 GDPR je prevádzkovateľom „fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt, ktorý sám alebo spoločne s inými určí účely a prostriedky spracúvania osobných údajov; v prípade, že sa účely a prostriedky tohto spracúvania stanovujú v práve Únie alebo v práve členského štátu, možno prevádzkovateľa alebo konkrétne kritériá na jeho určenie určiť v práve Únie alebo v práve