Úloha povinného bezpečnostného dôstojníka (DPO) podľa GDPR

Photo of author
Napísal Webpomoc

Ponúkam strategické poradenstvo a riešenia šité na mieru s cieľom pomôcť organizáciám chrániť súkromie a záujmy zamestnancov.

Keď sa povie GDPR, väčšina firiem si predstaví „papierovanie“: smernice, poučenia, zmluvy so sprostredkovateľmi, záznamy o spracovateľských činnostiach a nekonečné otázky, kto má čo podpísať.

V praxi je však GDPR hlavne o riadení rizík a o tom, aby firma vedela preukázať, že osobné údaje spracúva zákonne, primerane a bezpečne. A presne tu prichádza na scénu zodpovedná osoba, často označovaná ako DPO (Data Protection Officer).

V tomto článku vám vysvetlím:

  • kto je DPO a aká je jeho úloha,
  • kedy je DPO povinný,
  • čo musí vedieť a robiť,
  • aké sú najčastejšie chyby firiem,
  • prečo sa firmám oplatí mať DPO nastaveného správne (aj z pohľadu legislatívy a byrokracie).

Kto je DPO podľa GDPR

DPO je osoba určená prevádzkovateľom alebo sprostredkovateľom, ktorá pomáha organizácii plniť povinnosti podľa GDPR a zároveň je kontaktným bodom pre:

  • Úrad na ochranu osobných údajov (dozorný orgán),
  • dotknuté osoby (zamestnanci, zákazníci, pacienti, klienti, žiaci a podobne).

Dôležité je pochopiť jednu vec: DPO nie je „ten, kto to celé podpíše“ ani „ten, kto nesie všetku zodpovednosť“. Zodpovednosť za súlad s GDPR zostáva vždy na prevádzkovateľovi. DPO je odborný garant a poradca, ktorý má mať priestor a nezávislosť, aby upozorňoval na riziká, nastavoval procesy a pomáhal ich udržiavať.

Kedy je DPO povinný

GDPR stanovuje prípady, kedy musí byť DPO určený. Povinnosť vzniká najmä vtedy, ak:

  1. spracúvanie vykonáva orgán verejnej moci alebo verejnoprávny subjekt (s určitými výnimkami),
  2. hlavné činnosti organizácie zahŕňajú pravidelné a systematické monitorovanie dotknutých osôb vo veľkom rozsahu,
  3. hlavné činnosti zahŕňajú spracúvanie osobitných kategórií osobných údajov (citlivé údaje) alebo údajov o uznaniach viny a trestných činoch vo veľkom rozsahu.

Aby sme sa vyhli problémom s dodržiavaním týchto predpisov, je dôležité pravidelne [aktualizovať dokumenty týk

Čo znamená „vo veľkom rozsahu“ a „monitorovanie“

Tieto pojmy GDPR presne nedefinuje, čo je častý zdroj neistoty. V praxi sa posudzuje najmä:

  • počet dotknutých osôb,
  • množstvo a rozsah údajov,
  • dĺžka trvania spracúvania,
  • geografický rozsah,
  • povaha spracúvania (napríklad profilovanie, rozsiahle kamerové systémy, online tracking).

Príklady, kde často vychádza DPO ako povinný:

  • zdravotnícke zariadenia a poskytovatelia zdravotnej starostlivosti,
  • väčšie školy a vzdelávacie inštitúcie (podľa rozsahu a systému),
  • firmy s rozsiahlym kamerovým systémom v prevádzkach,
  • call centrá alebo online služby s výrazným profilovaním správania,
  • väčšie HR agentúry a spracovanie údajov uchádzačov vo veľkom.

Ak si nie ste istí, či DPO musíte mať, odporúčam neurobiť „rýchly odhad od stola“. Správny postup je krátka analýza povinnosti určenia DPO, kde sa k záveru priloží aj odôvodnenie. To je presne ten typ dokumentu, ktorý vám v prípade kontroly znižuje riziko problémov.

DPO a „bezpečnostný dôstojník“: pozor na pojmy

V slovenskej praxi sa niekedy používa označenie „bezpečnostný dôstojník“ aj pre DPO. Formálne však:

  • GDPR používa pojem zodpovedná osoba (DPO),
  • „bezpečnostný“ môže zvádzať k tomu, že ide iba o IT bezpečnosť.

DPO rieši ochranu osobných údajov komplexne, teda aj:

  • právny základ spracúvania,
  • informačné povinnosti,
  • práva dotknutých osôb,
  • zmluvné vzťahy so sprostredkovateľmi,
  • prenosy do tretích krajín,
  • incidenty a porušenia ochrany osobných údajov,
  • interné procesy, školenia a auditovateľnosť.

IT bezpečnosť je časť skladačky, nie celý obraz.

Hlavné úlohy DPO podľa GDPR

GDPR priamo uvádza rámcové úlohy DPO. V praxi ich prekladám do „firemného jazyka“ takto:

1) Informovať a radiť vedeniu aj zamestnancom

DPO má byť človek, ktorý vie preložiť GDPR do konkrétnych krokov pre vašu firmu. Nie teória, ale rozhodnutia typu:

  • potrebujeme súhlas alebo stačí zmluva či oprávnený záujem,
  • čo presne má byť v poučení zamestnancov,
  • ako nastaviť retenčné lehoty,
  • čo musí byť v zmluve so sprostredkovateľom,
  • čo zverejniť v informačnej povinnosti na webe.

2) Monitorovať súlad s GDPR

Monitorovanie neznamená „kontrolovať každého“. Znamená to mať systém:

  • pravidelné preverenie procesov (napríklad raz ročne),
  • kontrola dokumentácie (aby bola aktuálna, nie „z roku 2019“),
  • dohľad nad tým, či sa reálne robí to, čo je v smernici napísané,
  • návrhy nápravných opatrení.

3) Školenia a zvyšovanie povedomia

Najčastejší zdroj incidentov je človek, nie technológia. DPO pomáha nastaviť:

  • vstupné školenia pre nových zamestnancov,
  • pravidelné opakovanie (krátke, praktické),
  • jasné pravidlá pre e-maily, prílohy, zdieľanie, prístupové práva,
  • postup pri žiadostiach dotknutých osôb.

Výhoda pre firmu: keď máte školenia a záznamy, viete preukázať, že ste prevenciu riešili. To je dôležité aj pri prípadnom posudzovaní sankcie.

4) Poradenstvo pri DPIA (posúdenie vplyvu na ochranu údajov)

Ak firma zavádza rizikové spracúvanie (napríklad rozsiahle monitorovanie, nové systémy, profilovanie), môže byť potrebné DPIA. DPO:

  • pomáha vyhodnotiť, či je DPIA povinné,
  • spolupracuje na identifikácii rizík,
  • navrhuje opatrenia na ich zníženie,
  • dohliada, aby bol výstup použiteľný a obhájiteľný.

5) Spolupráca s dozorným orgánom

Ak príde kontrola alebo komunikácia zo strany úradu, DPO je koordinátor:

  • zabezpečí konzistentnú komunikáciu,
  • pripraví podklady,
  • pomôže nastaviť postup, aby firma reagovala včas a vecne.

6) Kontaktné miesto pre dotknuté osoby

Keď niekto požiada o prístup k údajom, výmaz, opravu alebo namieta spracúvanie, DPO pomáha nastaviť proces:

  • kto prijíma žiadosť,
  • kto ju posúdi,
  • kto odpovie,
  • v akej lehote,
  • ako sa zdokumentuje postup.

Tu firmy často urobia chybu, že žiadosť zostane „visieť“ na info@ alebo recepcii. DPO nastaví jednoduchý, funkčný tok úloh.

Postavenie DPO: nezávislosť, konflikt záujmov a podpora vedenia

GDPR vyžaduje, aby DPO:

  • konal nezávisle,
  • nedostával pokyny, ako má vyhodnotiť súlad,
  • nebol za výkon úloh odvolaný alebo sankcionovaný,
  • mal prístup k vedeniu a zdrojom.

Konflikt záujmov: častá pasca

DPO nemá byť osoba, ktorá rozhoduje o účeloch a prostriedkoch spracúvania. Problémové pozície bývajú napríklad:

  • riaditeľ/CEO (najmä v menšej firme, kde všetko schvaľuje),
  • HR manažér (rozhoduje o spracúvaní zamestnancov),
  • IT manažér (ak určuje architektúru a prístupy),
  • marketing manažér (profilovanie, kampane, databázy).

Neznamená to, že títo ľudia nemôžu s DPO spolupracovať. Znamená to, že DPO nemá byť zároveň „rozhodovací“ vlastník spracúvania.

Interný vs. externý DPO: čo je výhodnejšie pre firmy

GDPR umožňuje mať DPO interného (zamestnanca) alebo externého (dodávateľa).

Interný DPO

Výhody:

  • pozná firmu zvnútra,
  • je k dispozícii operatívne.

Riziká:

  • ťažšie sa zabezpečí nezávislosť,
  • často chýba špecializácia a prax z kontrol,
  • pri odchode zamestnanca odchádza aj know-how.

Externý DPO

Výhody pre firmy (najmä z pohľadu „nech nemáme problémy s legislatívou a uľahčíme si byrokraciu“):

  • máte prístup k špecialistovi, ktorý rieši GDPR denne,
  • zvyčajne dostanete jasnú dokumentáciu a postupy, ktoré sú auditovateľné,
  • lepšie sa riadi konflikt záujmov,
  • náklady sú predvídateľné a často nižšie než interná kapacita.

Riziká:

  • treba nastaviť kontaktné osoby a procesy, aby externý DPO mal informácie včas,
  • nevhodné, ak firma očakáva „nonstop dostupnosť“ bez interného koordinátora.

Praktický kompromis, ktorý funguje: externý DPO + interný garant (napríklad compliance/office manažér), ktorý zbiera podklady, koordinuje ľudí a drží procesy v chode.

Čo by mal mať DPO v praxi na stole (a firma tiež)

Ak chcete, aby to bolo profesionálne a obhájiteľné, DPO typicky zabezpečí alebo zastreší:

  • prehľad spracúvaní a záznamy o spracovateľských činnostiach (ROPA),
  • nastavenie právnych základov a účelov spracúvania,
  • informačné povinnosti (web, zamestnanci, klienti),
  • interné smernice (prístupy, heslá, čistý stôl, e-mail, incidenty),
  • zmluvy so sprostredkovateľmi a ich kontrolu,
  • retenčný plán a pravidlá výmazu,
  • procesy pre práva dotknutých osôb,
  • proces hlásenia porušenia ochrany údajov (incident response),
  • školenia + evidenciu školení,
  • pravidelný audit alebo kontrolné checklisty.

Toto je presne tá časť, ktorá firmám reálne znižuje byrokraciu. Keď je dokumentácia a procesy nastavené raz poriadne, nevymýšľate pri každej novej požiadavke všetko od začiatku.

Najčastejšie chyby firiem pri DPO

  1. DPO len „na papieri“: osoba je určená, ale nemá čas, kompetenciu ani priestor.
  2. Konflikt záujmov: DPO je zároveň človek, ktorý o spracúvaniach rozhoduje.
  3. Chýbajú zdroje: DPO nemá prístup k informáciám, zmluvám, systémom, vedeniu.
  4. Neaktuálna dokumentácia: smernice a záznamy sú staré, neodrážajú realitu.
  5. Neriešia sa sprostredkovatelia: chýbajú zmluvy, bezpečnostné opatrenia, preverenie dodávateľov.
  6. Ad hoc prístup k incidentom: bez procesu sa ľahko zmeškajú lehoty (napríklad 72 hodín pri oznamovaní porušenia dozornému orgánu, ak je to potrebné).
  7. Bez školení: zamestnanci nevedia, ako reagovať na žiadosť o výmaz, ako posielať údaje, čo je phishing.

Prečo sa firmám oplatí mať DPO nastaveného správne

Z pohľadu konzultanta je DPO pre firmu najmä poistka proti trom typom problémov:

  • legislatívne riziko: nesúlad, pokuty, nápravné opatrenia,
  • reputačné riziko: únik údajov alebo mediálne riešený incident,
  • prevádzkové riziko: chaos v procesoch, zdržania, duplicity, zbytočná administratíva.

Keď je DPO nastavený profesionálne, firma získava:

  • jasné pravidlá, kto čo robí a kedy,
  • rýchlejšie vybavovanie žiadostí dotknutých osôb,
  • pripravenosť na kontrolu bez stresu,
  • zníženie „papierovania“ vďaka štandardizácii,
  • lepší prehľad o tom, aké údaje vlastne spracúvate a prečo.

V realite to často znamená, že vedenie sa nemusí každý mesiac pýtať „či to máme v poriadku“, pretože má report a systém, nie dohady.

Ako začať, ak neviete, či DPO potrebujete

Ak to chcete spraviť efektívne a bez zbytočných výdavkov, odporúčam postup v troch krokoch:

  1. Rýchla analýza povinnosti DPO
  2. Krátky dokument s odôvodnením, či DPO je povinný, a prečo.
  3. Mapovanie spracúvaní a rizík
  4. Čo spracúvate, na akom základe, kto k tomu má prístup, ako dlho to držíte, komu to posielate.
  5. Nastavenie dokumentácie a procesov v primeranom rozsahu
  6. Nie 80-stranová smernica, ktorú nikto nečíta, ale praktické pravidlá, zmluvy a evidencie, ktoré viete udržiavať.

Ak chcete, môžem pripraviť aj pokračovanie článku vo forme praktického checklistu pre firmy (čo presne skontrolovať, ak DPO máte, alebo ak ho máte určiť), aby ste vedeli rýchlo odhaliť rizikové miesta a mať pokoj pri prípadnej kontrole.

Často kladené otázky

Čo je to DPO podľa GDPR a aká je jeho úloha vo firme?

DPO (Data Protection Officer) je osoba určená prevádzkovateľom alebo sprostredkovateľom, ktorá pomáha organizácii plniť povinnosti podľa GDPR. Slúži ako kontaktný bod pre Úrad na ochranu osobných údajov a dotknuté osoby a zabezpečuje odborné poradenstvo v oblasti ochrany osobných údajov. Zodpovednosť za súlad s GDPR však zostáva na prevádzkovateľovi.

Kedy je podľa GDPR povinné určiť zodpovednú osobu (DPO)?

Povinnosť určiť DPO vzniká najmä, ak organizácia spracúva údaje orgánu verejnej moci, vykonáva pravidelné a systematické monitorovanie osôb vo veľkom rozsahu alebo spracúva citlivé kategórie osobných údajov či údaje o trestných činoch vo veľkom rozsahu.

Ako sa posudzuje pojem „vo veľkom rozsahu“ pri povinnosti mať DPO?

GDPR presne nedefinuje „vo veľkom rozsahu“, preto sa posudzuje podľa počtu dotknutých osôb, množstva a rozsahu údajov, dĺžky trvania spracúvania, geografického rozsahu a povahy spracúvania, ako napríklad profilovanie alebo rozsiahle kamerové systémy.

Aké sú najčastejšie chyby firiem pri nastavovaní DPO?

Medzi časté chyby patrí nesprávne pochopenie zodpovednosti (DPO nie je zodpovedný za súlad s GDPR), nevypracovanie analýzy povinnosti určenia DPO, nedostatočná nezávislosť DPO a neaktualizovanie dokumentácie týkajúcej sa ochrany osobných údajov.

Prečo sa firmám oplatí mať správne nastaveného DPO?

Správne nastavený DPO pomáha riadiť riziká spojené so spracovaním osobných údajov, zabezpečuje zákonné a bezpečné spracovanie údajov, znižuje byrokratickú záťaž a minimalizuje riziko pokút či sankcií zo strany dozorných orgánov.

Aký je správny postup pri rozhodovaní o potrebe určenia DPO?

Odporúča sa vykonať krátku analýzu povinnosti určenia DPO s priloženým odôvodnením. Tento dokument pomôže vyhnúť sa nesprávnym rozhodnutiam a zabezpečiť súlad s legislatívou GDPR.

Pokuty a sankcie za nedodržanie GDPR – príklady z praxe

Vplyv GDPR na online marketing a reklamné kampane

Oslovte nás pre možnosti spolupráce

Radi by sme bližšie preskúmali vaše potreby a ciele, aby sme mohli lepšie porozumieť, ako by sme mohli spolupracovať.

KOntaktujte nás

© 2026 Powered by Webpomoc

Ochrana súkromia