Ak prevádzkovateľ spracúva osobné údaje prostredníctvom 20 a viac oprávnených osôb, je povinný najneskôr v lehote 60 dní výkonom dohľadu písomne poveriť zodpovednú osobu alebo viaceré zodpovedné osoby, ktoré dozerajú na dodržiavanie zákonných ustanovení pri spracúvaní osobných údajov. (§23 odsek 2)
Zodpovednou osobou môže byť len fyzická osoba, ktorá má spôsobilosť na právne úkony v plnom rozsahu, je bezúhonná a má platné potvrdenie úradu o absolvovaní skúšky podľa § 24. (§23 odsek 5)
Fyzická osoba môže byť poverená výkonom dohľadu nad ochranou osobných údajov po úspešnom absolvovaní skúšky. (§24 odsek 1)
Skúšku fyzickej osoby na účely výkonu funkcie zodpovednej osoby podľa tohto zákona zabezpečuje úrad. (§24 odsek 2)
Ďalšie zmeny sa týkajú registrácie a evidencie informačných systémov, ktoré priamo súvisia so zodpovednou osobou.
Ak prevádzkovateľ spracúva osobné údaje prostredníctvom menej ako 20 oprávnených osôb, je povinný prihlásiť na registráciu tie informačné systémy, ktoré podľa tohto zákona podliehajú registrácii podľa § 34. Povinnosť ustanovená prevádzkovateľovi podľa prvej vety sa nevzťahuje na sprostredkovateľa. (§23 odsek 3)
Povinnosť registrácie sa vzťahuje na všetky informačné systémy, v ktorých sa spracúvajú osobné údaje úplne alebo čiastočne automatizovanými prostriedkami spracúvania. (§34 odsek 1)
Povinnosť registrácie podľa odseku 1 sa nevzťahuje na informačné systémy, ktoré podliehajú dohľadu zodpovednej osoby, ktorú písomne poveril prevádzkovateľ podľa § 23 a ktorá vykonáva dohľad nad ochranou osobných údajov podľa tohto zákona. (§34 odsek 2)
alebo
obsahujú osobné údaje, ktoré sú spracúvané na základe zákona, priamo vykonateľného právne záväzného aktu Európskej únie alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná.
(§34 odsek 2)
Čo vlastne z toho pre organizáciu vyplýva. Ak máte viac ako 20 oprávnených osôb, t.j. zamestnancov alebo iných osôb, ktorí prichádzajú do styku s osobnými údajmi v rámci svojho pracovnoprávneho vzťahu alebo z výkonu verejnej funkcie, ste povinný poveriť zodpovednú osobu. Toto poverenie môžete vykonať až po jej úspešnom absolvovaní skúšky na Úrade pre ochranu osobných údajov. V tomto prípade nemusíte informačné systémy registrovať, ale stačí len evidencia u vás. V prípade, že máte menej ako 20 oprávnených osôb, ste povinný prihlásiť informačné systémy na registráciu, teda pokiaľ nespracuvávate osobné údaje na základe zákona, ktorý vám priamo nariaďuje ich spracovávanie (napr. daňový zákon, alebo zákon o sociálnom poistení).
Ako som už spomenul, novela zákona prináša aj množstvo iných zmien týkajúcich sa získavania, spracovania a poskytovania osobných údajov. Spresnilo sa čo má obsahovať bezpečnostný projekt, bezpečnostná smernica, ako má vyzerať poučenie oprávnených osôb, alebo aké údaje môžete zverejniť o svojich zamestnancoch bez toho, aby ste potrebovali ich súhlas.