Security (5) Tip (25)

Prečo menovať zodpovednú osobu aj tam, kde to nie je potrebné?

 

Všeobecné nariadenie o ochrane osobných údajov (General Data Protection Regulation, GDPR), ktoré bude plne účinné od 25. mája 2018, do slovenského právneho poriadku zavádza úplne nový inštitút, funkciu zodpovednej osoby pre ochranu osobných údajov, (Data Protection Officer, alebo tiež DPO).
Množstvo organizácií spracúvajúcich osobné údaje (o klientoch, zamestnancoch či ďalších osobách) bude musieť túto pozíciu vytvoriť a obsadiť. Tým ostatným, na ktoré sa GDPR tiež vzťahuje, je to minimálne odporúčané.

 

Zodpovedná osoba pre ochranu osobných údajov

DPO ako konkurenčná výhoda

Informácie sú dnes tie najcennejšie aktíva. Ak ich chcete zhodnocovať aj naďalej, musíte byť GDPR Compliance.
Kvalifikovaná zodpovedná osoba pre ochranu osobných údajov vám z pozície "interného audítora" dokáže pomôcť upraviť smernice, postupy, súhlasy so spracovaním a ďalšiu agendu, ktorá je a bude povinná pre všetkých, v celom životnom cykle spracovania osobných údajov.
Aj spoločnosti, ktoré nemajú priamu povinnosť pozíciu DPO zriadiť, musia realizovať rad interných zmien. Namiesto externých služieb tak môžete investovať do vlastných radov.
To znamená v prvom kroku zaistiť internému manažérovi potrebnú kvalifikáciu. A práve tá je súčasťou kurzu Zodpovedná osoba pre ochranu osobných údajov.
Dokonca aj Európsky Úrad na ochranu osobných údajov a pracovná skupina WP 29 odporúča zriadiť aspoň neformálne funkciu "zodpovednej osoby" tým organizáciám, kde to povinné nie je, ale dochádza tu k spracovaniu osobných údajov. 
Konkrétna osoba, ktorá bude túto funkciu zastávať, potom musí mať dostatočnú znalosť práva aj prax v oblasti spracovania osobných údajov.
Pritom zodpovedná osoba pre ochranu osobných údajov bude musieť byť pri výkone svojich úloh nezávislá a nesmie zároveň zastávať ďalšiu rolu, ktorá by s pozíciou zodpovednej osoby mohla byť v konflikte (napríklad vedúci IT), bude musieť byť včas zapojená do všetkých dôležitých biznis rozhodnutí a mať dostatok zdrojov pre výkon svojich úloh.

 

3 fatálne chyby v kontexte GDPR, ktoré môžu poškodiť reputáciu, ale aj pochovať vašu firmu

Dôvody, prečo využiť vo vašej organizácii zodpovedné osoby, sme zhrnuli a ďalej opakovať nebudeme. Hoci vytvorenie a obsadenie funkcie zodpovednej osoby pre ochranu osobných údajov môže predstavovať istú záťaž, môžeme nájsť aspoň tri hlavné dôvody, prečo by to organizácia mala urobiť.
1. Právo – právna povinnosť
GDPR ukladá povinnosť vymenovať zodpovednú osobu pre ochranu osobných údajov širokému okruhu organizácií.
Či už sa teda jedná o orgán verejnej správy, samosprávy či verejnú inštitúciu (ministerstvo, úrad, kraj, obec, škola) alebo organizáciu, ktorá vykonáva rozsiahle a komplexné spracovanie osobných údajov (banka, poisťovňa, operátor, nebankový poskytovateľ finančných služieb, prevádzkovateľ väčších kamerových či iných bezpečnostných systémov, prevádzkovateľ cloudových služieb).
Povinnosť sa vzťahuje aj na subjekty, ktoré spracúvajú citlivé osobné údaje (poskytovateľ zdravotných služieb, prevádzkovateľ služby využívajúce biometrické či genetické údaje), všetky tieto subjekty sú povinné zodpovednú osobu vymenovať.
Samotné nevytvorenie pozície zodpovednej osoby či obsadenie tejto pozície osobou bez dostatočných znalostí a kvalifikácie pritom predstavuje porušenie GDPR, ktoré môže byť sankcionované až do výšky 10 miliónov EUR alebo 2% ročného obratu celej skupiny.
2. Compliance – DPO ako súčasť compliance programu
Vytvorenie pozície zodpovednej osoby pre ochranu osobných údajov a jej plné zapojenie do systému pre spracovanie osobných údajov je dôležitou súčasťou compliance programu, ktorým môže organizácia doložiť, že vynaložila všetko rozumne očakávateľné úsilie na to, aby jej činnosť bola v súlade s GDPR.
To môže byť dôležité pri dohľade zo strany Úradu pre ochranu osobných údajov či pri súdnom spore, pretože práve dostatočne zavedený compliance program v oblasti spracovania osobných dát, a to vrátane vytvorenia pozície zodpovednej osoby a jej obsadenie dostatočne kvalifikovanou osobou, môže prispieť k uľahčeniu zbavenia viny organizácie v konkrétnom konaní či spore.
To isté platí aj pre prípadnú trestnoprávnu zodpovednosť. Právnické osoby môžu byť takisto trestne stíhané pre neoprávnené nakladanie s osobnými údajmi, pričom potrestané môžu byť aj finančnou sankciou alebo dokonca zrušením.
Aj pri trestnom stíhaní právnických osôb platí, že faktické zavedenie dostatočného compliance programu môže viesť k zastaveniu stíhania.
3. Dôvera – záväzok spracovávať osobné údaje férovo a transparentne
Ak organizácia vytvorí pozíciu zodpovednej osoby pre ochranu osobných údajov, vybaví zodpovednú osobu dostatočnými zdrojmi a prostriedkami na výkon jej úloh a obsadí túto pozíciu osobou, ktorá profesijne aj ľudsky garantuje dostatočnú kontrolu spracovania osobných údajov, môže to byť vnímané ako verejný záväzok organizácie spracovávať osobné údaje férovo, transparentne a rešpektovať práva všetkých dotknutých osôb.
Túto skutočnosť môžu pozitívne vnímať ako zamestnanci a klienti organizácie, ktorí budú vedieť, na koho sa v prípade nejasností či otázok týkajúcich sa spracovania ich osobných údajov obrátiť, tak aj obchodní partneri.
Tí môžu verejný záväzok k dodržiavaniu GDPR a ďalších pravidiel pre spracovanie osobných dát chápať ako jeden z možných dôvodov, prečo práve s takouto organizáciou spolupracovať. Vytvorenie, správne nastavenie a obsadenie funkcie zodpovednej osoby pre ochranu osobných údajov tak môže byť aj konkurenčnou výhodou.

Záver – ako naštartovať projekt GDPR Compliance?

Ako zodpovednú osobu pre ochranu osobných údajov organizačne začleniť, aké kompetencie a úlohy poverencovi uložiť, ako nastaviť princípy, pravidlá a procesy sa dozviete v kurze Zodpovedná osoba pre ochranu osobných údajov.
 

 

 

 

 

 

 

 

Páči sa Vám to? Zdieľajte a pošlite ďalej...

Zobraziť všetky aktuality

Zoznam štítkov

Tip (25) ITIL (8) PRINCE2 (8) Security (5) Blog (4) Soft-Skills (3) MSP (3) MoR (1) RISK (1)

Najčítanejšie

Najnovšie články

Informácie k jednotlivým certifikátom.

Nájdete nás na facebooku

*

Položky označené * sú povinné.

Komentáre