Keďže nároky na zodpovednú osobu za spracovanie osobných údajov (DPO - Data Protection Officer) ako aj jej právomoci sú vysoké, mali by jej výberu firmy venovať adekvátnu pozornosť.
Regulácia GDPR (General Data Protection Regulation) vyžaduje ustanoviť u prevádzkovateľov zodpovednú osobu pre spracúvanie osobných údajov, takzvaného Data Protection Officera (DPO) v troch konkrétnych prípadoch:
- Spracúvanie vykonáva orgán verejnej moci alebo verejnoprávny subjekt.
- Hlavnými činnosťami prevádzkovateľa alebo sprostredkovateľa sú také spracovateľské operácie, ktoré si vyžadujú pravidelné a systematické monitorovanie dotknutých osôb vo veľkom rozsahu.
- Hlavnými činnosťami prevádzkovateľa alebo sprostredkovateľa je spracúvanie osobitných kategórií údajov vo veľkom rozsahu alebo spracúvanie osobných údajov týkajúcich sa uznania viny za trestné činy a priestupky.
Zodpovednú osobu by mali firmy určiť na základe jej odborných kvalít, a to najmä na základe jej znalostí práva a postupov v oblasti ochrany údajov a aj na základe spôsobilosti plniť požadované úlohy. Medzi relevantné zručnosti a odborné znalosti DPO by mali patriť odborné znalosti z vnútroštátneho a európskeho práva a postupov v oblasti ochrany údajov vrátane dôkladného porozumenia všeobecnému nariadeniu o ochrane údajov, porozumenie vykonávaným spracovateľským operáciám, porozumenie informačným technológiám a bezpečnosti osobných údajov, znalosť podnikateľského sektora organizácie, či schopnosť presadzovať kultúru ochrany osobných údajov v rámci organizácie.
Odporúča sa zriadenie DPO aj firmám, ktorým nevyplýva táto povinnosť? Podľa odborníka na kybernetickú bezpečnosť Ľubomíra Kopáčka je to dvojsečná zbraň. Keď si dobrovoľne ustanovíte DPO a zabezpečíte ju aj zmluvne, dozorný orgán naňho bude prihliadať tak, ako keby to bol DPO určený z regulácie. To znamená, že bude mať úplne rovnaké právomoci, ale aj povinnosti. Pre firmy, ktoré DPO nepotrebujú, je vhodnejšie vybrať si napríklad konzultanta, alebo iný druh pomoci, ktorý nie je oficiálne DPO, napríklad Data Protection Coordinator.
Regulácia GDPR (General Data Protection Regulation) vyžaduje ustanoviť u prevádzkovateľov zodpovednú osobu pre spracúvanie osobných údajov, takzvaného Data Protection Officera (DPO) v troch konkrétnych prípadoch:
- Spracúvanie vykonáva orgán verejnej moci alebo verejnoprávny subjekt.
- Hlavnými činnosťami prevádzkovateľa alebo sprostredkovateľa sú také spracovateľské operácie, ktoré si vyžadujú pravidelné a systematické monitorovanie dotknutých osôb vo veľkom rozsahu.
- Hlavnými činnosťami prevádzkovateľa alebo sprostredkovateľa je spracúvanie osobitných kategórií údajov vo veľkom rozsahu alebo spracúvanie osobných údajov týkajúcich sa uznania viny za trestné činy a priestupky.
Zodpovednú osobu by mali firmy určiť na základe jej odborných kvalít, a to najmä na základe jej znalostí práva a postupov v oblasti ochrany údajov a aj na základe spôsobilosti plniť požadované úlohy. Medzi relevantné zručnosti a odborné znalosti DPO by mali patriť odborné znalosti z vnútroštátneho a európskeho práva a postupov v oblasti ochrany údajov vrátane dôkladného porozumenia všeobecnému nariadeniu o ochrane údajov, porozumenie vykonávaným spracovateľským operáciám, porozumenie informačným technológiám a bezpečnosti osobných údajov, znalosť podnikateľského sektora organizácie, či schopnosť presadzovať kultúru ochrany osobných údajov v rámci organizácie.
Odporúča sa zriadenie DPO aj firmám, ktorým nevyplýva táto povinnosť? Podľa odborníka na kybernetickú bezpečnosť Ľubomíra Kopáčka je to dvojsečná zbraň. Keď si dobrovoľne ustanovíte DPO a zabezpečíte ju aj zmluvne, dozorný orgán naňho bude prihliadať tak, ako keby to bol DPO určený z regulácie. To znamená, že bude mať úplne rovnaké právomoci, ale aj povinnosti. Pre firmy, ktoré DPO nepotrebujú, je vhodnejšie vybrať si napríklad konzultanta, alebo iný druh pomoci, ktorý nie je oficiálne DPO, napríklad Data Protection Coordinator.