Úradník pre ochranu údajov (Data Protection Officer, DPO) je nezávislá osoba alebo externý odborník, ktorého úlohou je zabezpečiť, aby organizácia spracúvala osobné údaje v súlade s platnými právnymi predpismi o ochrane údajov, predovšetkým s nariadením GDPR. DPO má kľúčovú úlohu v oblasti ochrany osobných údajov a pôsobí ako kontaktná osoba pre zamestnancov, dotknuté osoby aj dozorné orgány.
Kedy je potrebné vymenovať DPO?
Podľa GDPR je vymenovanie DPO povinné pre:
- verejné orgány a subjekty (okrem súdov pri výkone ich právomocí),
- organizácie, ktorých hlavné činnosti zahŕňajú pravidelné a systematické monitorovanie fyzických osôb vo veľkom rozsahu,
- organizácie, ktoré spracúvajú vo veľkom rozsahu špeciálne kategórie osobných údajov alebo údaje o trestných činoch a priestupkoch.
Aj organizácie, ktoré nemajú túto povinnosť, sa môžu rozhodnúť vymenovať DPO dobrovoľne.
Hlavné úlohy a povinnosti DPO
DPO vykonáva najmä tieto činnosti:
- informuje a radí organizácii a jej zamestnancom o povinnostiach v oblasti ochrany údajov,
- monitoruje súlad organizácie s GDPR a internými politikami, vrátane vykonávania auditov a školení,
- poskytuje poradenstvo pri posúdení vplyvu na ochranu údajov (DPIA) a dohliada na jeho realizáciu,
- spolupracuje s dozorným orgánom a pôsobí ako kontaktná osoba pre tento orgán aj pre dotknuté osoby,
- zabezpečuje odpovede na žiadosti a sťažnosti týkajúce sa spracúvania osobných údajov.
DPO musí mať odborné znalosti v oblasti ochrany údajov, byť nezávislý vo výkone svojej funkcie a mať priamy prístup k najvyššiemu vedeniu organizácie. Organizácia musí zverejniť kontaktné údaje DPO a zabezpečiť, aby bol včas zapojený do všetkých otázok týkajúcich sa ochrany osobných údajov.
DPO nie je osobne zodpovedný za dodržiavanie GDPR – zodpovednosť nesie samotná organizácia, no DPO zohráva zásadnú rolu pri zabezpečení a preukazovaní súladu s právnymi požiadavkami.