Otázka: Výkonom dohľadu sme poverili zodpovednú osobu. Je pravdou, že musíme pre ňu zriadiť aj špeciálnu e-mailovú schránku?
Odpoveď: Platí, že kontaktné údaje zodpovednej osoby slúžia na:
- jej oznámenie úradu
- komunikáciu s dotknutými osobami
- a poskytovanie informácií a poradenstva prevádzkovateľovi, sprostredkovateľovi a ich zamestnancom.
Pre tieto účely je poskytovanie kontaktných údajov jednoducho nevyhnutné. Pričom kontaktnými údajmi rozumieme meno, priezvisko, poštovú adresu, e-mailový a telefonický kontakt. Kedy a ako ich používať?
Oznamovanie kontaktných údajov úradu
Všeobecné nariadenie o ochrane údajov vo svojom čl. 37 ods. 7 uvádza, že prevádzkovateľ alebo sprostredkovateľ oznámia kontaktné údaje zodpovednej osoby dozornému úradu.
O konkrétnych kontaktných údajoch vašej zodpovednej osoby ste Úrad na ochranu osobných údajov SR informovali v procese jej oznámenia. V opačnom prípade by registrácia na úrade neprebehla v poriadku.
Kontaktné údaje, ktorých súčasťou je aj meno a priezvisko vašej zodpovednej osoby by ste oznamovali úradu aj vtedy, ak by u vás došlo k takému porušeniu ochrany údajov, ktoré by znamenalo riziká pre práva a slobody dotknutých osôb. Akékoľvek riziká: nízke, stredné, vysoké. Povinnosť oznamovania porušenia úradu, súčasťou ktorého sú aj údaje zodpovednej osoby sa týkajú všetkých z nich. Ide o meno, priezvisko a kontakt priamo na zodpovednú osobu – telefonický a e-mailový.
Taliansky úrad na ochranu (GPDP, GARANTE PER LA PROTEZIONE DEI DATI PERSONALI) napríklad udelil pokutu prevádzkovateľovi, ktorým bola obec za to, že neposkytla konkrétne kontaktné údaje na zodpovednú osobu. Okrem iného je vytýkal, že kontaktné údaje na zodpovednú osobu, ktoré uvádzala sú rovnaké ako na samotnú obec. (Celý text tohto sporu si môžete prečítať na adrese: https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9773950. Je dostupný v talianskom jazyku.)
Komunikácia s dotknutými osobami
Komunikácia s dotknutými osobami, resp. oznámenie kontaktných údajov poverenej zodpovednej osoby dotknutým osobám prebieha v týchto dvoch situáciách:
- a) keď dochádza k získavaniu osobných údajov
- b) keď dôjde k takému bezpečnostnému incidentu, ktorý zasiahne osobné údaje, pričom pravdepodobne povedie k vysokému riziku pre dotknuté osoby.
A. Pri získavaní osobných údajov firma alebo organizácia povinne informuje dotknuté osoby v rozsahu čl. 13 alebo čl. 14 všeobecného nariadenia o ochrane údajov. Okrem iného by mal prevádzkovateľ poskytnúť dotknutým osobám kontaktné údaje zodpovednej osoby. V tejto časti však nariadenie bližšie nešpecifikuje, ktoré konkrétne údaje by to mali byť. Cieľom však je zabezpečiť, aby dotknuté osoby mohli priamo komunikovať so zodpovednou osobou.
Usmernenie, ktoré sa týka zodpovedných osôb WP243 rev. 01 vo svojom znení uvádza, že ide o: poštovú adresu, vyhradené telefónne číslo a vyhradenú e-mailovú adresu.
Telefonický kontakt alebo e-mailový kontakt priamo na zodpovednú osobu je vyžadovaný z toho dôvodu, aby:
- bola zaručená maximálna dôvernosť komunikácie s dotknutou osobou a zároveň pre to,
- aby dotknuté osoby nemali obavy so zodpovednou osobou otvorene komunikovať o otázkach, ktoré sa týkajú ich osobných údajov.
Neodporúčame preto uvádzať ako kontaktný údaj na vašu zodpovednú osobu e-mailovú adresu typu: info@nazovfirmy.sk, služby@nazovfirmy.sk, nazovfirmy@nazofirmy.sk a pod.
Pre vašu zodpovednú osobu si preto zriaďte e-mailovú adresu napríklad vo formáte: zodpovednaosoba@nazovfirmy.sk, dpo@nazovfirmy.sk (DPO je skrátené označenie z anglického jazyka pre zodpovednú osobu, tzv. data protection officer a je často využívaný aj v praxi slovenských firiem a organizácií), gdpr@nazovfirmy.sk a pod.
Meno a priezvisko zodpovednej osoby nie je potrebné pri získavaní osobných údajov dotknutý osobám oznamovať.
B. V prípade bezpečnostných incidentov, keď prevádzkovateľ má povinnosť oznamovať porušenie dotknutým osobám, nariadenie priamo uvádza povinnosť oznamovania mena/názvu a kontaktných údajov zodpovednej osoby. V tomto prípade je preto oznámenie mena a priezviska zodpovednej osoby už nevyhnutnosťou.
Poskytovanie informácií a poradenstva
Odborné usmerňovanie pracovníkov – oprávnených osôb a manažmentu prevádzkovateľa či sprostredkovateľa, je jednou z činností, ktoré zodpovedná osoba poskytuje. Preto každý zamestnanec by mal poznať meno, priezvisko, telefonický a e-mailový kontakt na zodpovednú osobu. Odporúča sa preto tieto údaje poskytnúť prostredníctvom intranetu firmy, v internom telefónnom zozname alebo prostredníctvom bezpečnostných smerníc, ktoré sú oprávneným osobám k dispozícií.
Odporúčame vám preto, pre vašu zodpovednú osobu zriadiť špeciálnu e-mailovú adresu, prípadne aby mala k dispozícii aj vyhradené telefónne číslo.