Pověřenec pro ochranu osobních údajů – zkráceně Pověřenec
Data Protection Officer – zkráceně DPO
Pověřenec pro ochranu osobních údajů (dále jen pověřenec nebo DPO) je osoba, kterou musí část správců a zpracovatelů osobních údajů jmenovat. Hlavním úkolem pověřence je dohlížet na soulad zpracování osobních údajů s Nařízením a radit správci se skutečnostmi spojených s ochranou osobních údajů. Poradenská a dohledová činnost není však jedinou činností, kterou pověřenec provádí, jeho úkoly lze shrnout následovně:
- poskytování poradenství související s povinnostmi vyplývajícími z Nařízení
- sloužit jako kontaktní místo pro subjekty údajů
- dále sloužit jako kontaktní místo pro dozorový úřad (ÚOOÚ)
- provádí monitorování souladu s Nařízením
- poskytuje školení v oblasti GDPR (ochrany osobních údajů) zaměstnancům
- vypracovává posudky při posouzení vlivu
- kontinuálně prověřuje procesy správce a zpracovatele z pohledu ochrany osobních údajů
- analyzuje procesy zpracování a ověřuje jejich soulad
- informuje správce nebo zpracovatele o možných způsobech zlepšení, možných nesouladů
- doporučuje metodiku pro provádění posouzení
- doporučuje opatření, která by bylo potřeba přijmout
- mimo jiné se zaměřuje na rizika v rámci procesu zpracování
Přestože Nařízení funkci pověřence zavádí plošně v rámci členským států EU, nejedná se o úplnou novinku. Funkce pověřence funguje v několika evropských zemích již řadu let, např. v Německu, Polsku, Maďarsku, Francii nebo Slovinsku.
Při jmenování pověřence je potřeba postupovat v souladu s Nařízením a uvědomit si, že se nejedná o řadového zaměstnance, který má na starosti jen ochranu osobních údajů, ale jde o specifickou a nezávislou pracovní pozici a nezávislé postavení v rámci organizace. Například, v souladu s Nařízením, musí být zajištěno, že pověřenec:
- není ve střetu zájmů
- je samostatnou osobou z pohledu výkonu funkce a nesmějí mu být ukládány žádné úkoly
- je samostatným poradním orgánem
- se neřídí nebo jinak nepodléhá obchodnímu nebo jinému záměru správce nebo zpracovatele
- se musí vymezit vůči jakémukoliv rozporu s Nařízením
- má přístup k nejvyššímu vedení organizace
Z výše uvedeného vyplývá, že zajistit interního pověřence (vlastního zaměstnance) v souladu s Nařízením, může být nejen náročné z pohledu zajištění a dodržení základních principů jeho fungování v organizaci, ale i nákladné a to nejen z pohledu mzdových nákladů, ale i nákladů spojených se získáním potřebné odbornosti pro výkon této pozice. Na proti tomu, spolupráce s externím pověřencem na základě smlouvy o poskytování služeb přináší řadu výhod, zejména:
- vyšší odbornost, dosažená kombinací expertů z oblasti práva, IT, obchodu, procesního řízení, atd.
- jednoznačně nedochází ke střetu zájmů
- zajištění samostatnosti při výkonu funkce již vyplývá z povahy externí služby
- výrazně nižší náklady spojené s výkonem služby pověřence
Je důležité zmínit, že pověřenec pro ochranu osobních údajů je v souvislosti s výkonem svých úkolů vázán tajemstvím nebo důvěrností, v souladu s právem Unie nebo členského státu. To tedy znamená, že my, jako poskytovatelé DPO služby máme povinnost mlčenlivosti a zejména zákaz takového jednání, kterým by se neoprávněná osoba mohla seznámit s informacemi, které jsme jako pověřenci získali v souvislosti s plněním svých úkolů.
Povinnost jmenovat pověřence se jednoznačně vztahuje na správce a zpracovatele osobních údajů, kterými jsou:
- orgány veřejné moci
- pokud hlavní činností správce nebo zpracovatele je systematické, rozsáhlé a pravidelné monitorování
- pokud hlavní činnost správce nebo zpracovatele zahrnuje zpracování zvláštní kategorie údajů
Vedle povinného jmenování pověřence je možné k prokázání souladu s Nařízením dle čl. 24 Nařízení jmenovat pověřence dobrovolně. To je velmi významné zejména z pohledu získání nezávislé osoby, která provádí dohled nad dodržováním souladu a jako důležitý komunikační kanál pro dohledový úřad.
Kam dál …