Pověřenec pro ochranu osobních údajů – zkráceně Pověřenec

Data Protection Officer – zkráceně DPO

Pověřenec pro ochranu osobních údajů (dále jen pověřenec nebo DPO) je osoba, kterou musí část správců  a zpracovatelů osobních údajů jmenovat. Hlavním úkolem pověřence je dohlížet na soulad zpracování osobních údajů s Nařízením a radit správci se skutečnostmi spojených s ochranou osobních údajů. Poradenská a dohledová činnost není však jedinou činností, kterou pověřenec provádí, jeho úkoly lze shrnout následovně:

  • poskytování poradenství související s povinnostmi vyplývajícími z Nařízení
  • sloužit jako kontaktní místo pro subjekty údajů
  • dále sloužit jako kontaktní místo pro dozorový úřad (ÚOOÚ)
  • provádí monitorování souladu s Nařízením
  • poskytuje školení v oblasti GDPR (ochrany osobních údajů) zaměstnancům
  • vypracovává posudky při posouzení vlivu
  • kontinuálně prověřuje procesy správce a zpracovatele z pohledu ochrany osobních údajů
  • analyzuje procesy zpracování a ověřuje jejich soulad
  • informuje správce nebo zpracovatele o možných způsobech zlepšení, možných nesouladů
  • doporučuje metodiku pro provádění posouzení
  • doporučuje opatření, která by bylo potřeba přijmout
  • mimo jiné se zaměřuje na rizika v rámci procesu zpracování

Přestože Nařízení funkci pověřence zavádí plošně v rámci členským států EU, nejedná se o úplnou novinku. Funkce pověřence funguje v několika evropských zemích již řadu let, např. v Německu, Polsku, Maďarsku, Francii nebo Slovinsku.

Při jmenování pověřence je potřeba postupovat v souladu s Nařízením a uvědomit si, že se nejedná o řadového zaměstnance, který má na starosti jen ochranu osobních údajů, ale jde o specifickou a nezávislou pracovní pozici a nezávislé postavení v rámci organizace. Například, v souladu s Nařízením, musí být zajištěno, že pověřenec:

  • není ve střetu zájmů
  • je samostatnou osobou z pohledu výkonu funkce a nesmějí mu být ukládány žádné úkoly
  • je samostatným poradním orgánem
  • se neřídí nebo jinak nepodléhá obchodnímu nebo jinému záměru správce nebo zpracovatele
  • se musí vymezit vůči jakémukoliv rozporu s Nařízením
  • má přístup k nejvyššímu vedení organizace

Z výše uvedeného vyplývá, že zajistit interního pověřence (vlastního zaměstnance) v souladu s Nařízením, může být nejen náročné z pohledu zajištění a dodržení základních principů jeho fungování v organizaci, ale i nákladné a to nejen z pohledu mzdových nákladů, ale i nákladů spojených se získáním potřebné odbornosti pro výkon této pozice. Na proti tomu, spolupráce s externím pověřencem na základě smlouvy o poskytování služeb přináší řadu výhod, zejména:

  • vyšší odbornost, dosažená kombinací expertů z oblasti práva, IT, obchodu, procesního řízení, atd.
  • jednoznačně nedochází ke střetu zájmů
  • zajištění samostatnosti při výkonu funkce již vyplývá z povahy externí služby
  • výrazně nižší náklady spojené s výkonem služby pověřence

Je důležité zmínit, že pověřenec pro ochranu osobních údajů je v souvislosti s výkonem svých úkolů vázán tajemstvím nebo důvěrností, v souladu s právem Unie nebo členského státu. To tedy znamená, že my, jako poskytovatelé DPO služby máme povinnost mlčenlivosti a zejména zákaz takového jednání, kterým by se neoprávněná osoba mohla seznámit s informacemi, které jsme jako pověřenci získali v souvislosti s plněním svých úkolů. 

Povinnost jmenovat pověřence se jednoznačně vztahuje na správce a zpracovatele osobních údajů, kterými jsou:

  • orgány veřejné moci
  • pokud hlavní činností správce nebo zpracovatele je systematické, rozsáhlé a pravidelné monitorování
  • pokud hlavní činnost správce nebo zpracovatele zahrnuje zpracování zvláštní kategorie údajů

Vedle povinného jmenování pověřence je možné k prokázání souladu s Nařízením dle čl. 24 Nařízení jmenovat pověřence dobrovolně. To je velmi významné zejména z pohledu získání nezávislé osoby, která provádí dohled nad dodržováním souladu a jako důležitý komunikační kanál pro dohledový úřad.

Kam dál …