Pověřenec pro ochranu osobních údajů
Nařízení GDPR zavádí institut pověřence pro ochranu osobních údajů (DPO – Data Protection Officer), který slouží jako organizační opatření ke zlepšení ochrany osobních údajů. Zatímco předchozí český zákon o ochraně osobních údajů tento institut neznal, v některých evropských zemích se osvědčil, a proto byl začleněn do GDPR.
Kdo je pověřenec pro ochranu osobních údajů?
Pověřenec je nezávislá osoba nebo subjekt, který pomáhá správcům a zpracovatelům zajistit soulad se zásadami GDPR. Nemá přímou odpovědnost za zpracování osobních údajů (to zůstává na správci nebo zpracovateli), ale dohlíží na správné nastavení procesů a plnění povinností vyplývajících z GDPR.
Podle čl. 38 GDPR musí být pověřenec včas a odpovídajícím způsobem zapojen do všech záležitostí týkajících se ochrany osobních údajů. Správce a zpracovatel jsou povinni:
- Poskytnout pověřenci zdroje nezbytné k výkonu jeho úkolů.
- Zajistit přístup k osobním údajům a operacím zpracování.
- Umožnit pověřenci neustálé vzdělávání v oblasti ochrany osobních údajů.
- Respektovat jeho nezávislost – pověřenec nesmí být odvolán nebo sankcionován za plnění svých úkolů.
- Organizačně podřídit pověřence přímo vrcholovému vedení.
Pověřenec může být:
- Interní zaměstnanec správce nebo zpracovatele.
- Externí subjekt poskytující služby na základě smlouvy.
Pověřenec musí mít odpovídající znalosti právních předpisů v oblasti ochrany osobních údajů a zároveň rozumět technologickým aspektům zpracování dat, zejména pokud dochází k automatizovanému zpracování.
Úkoly a kompetence pověřence
Podle čl. 39 GDPR pověřenec pro ochranu osobních údajů plní následující úkoly:
- Poskytování informací a poradenství správci nebo zpracovateli a jejich zaměstnancům o povinnostech vyplývajících z GDPR a dalších předpisů.
- Monitorování souladu s GDPR a interními směrnicemi správce či zpracovatele.
- Školení zaměstnanců a zvyšování povědomí o ochraně osobních údajů.
- Posuzování vlivu na ochranu osobních údajů (DPIA) a dohled nad jeho implementací.
- Spolupráce s dozorovým úřadem (ÚOOÚ) a komunikace s ním.
- Fungování jako kontaktní osoba pro ÚOOÚ v otázkách zpracování osobních údajů.
Pověřenec musí přihlížet k rizikům spojeným s konkrétními operacemi zpracování a hledat řešení, která zajistí soulad s GDPR bez zbytečné administrativní zátěže.
Kdy je jmenování pověřence povinné?
Dle čl. 37 GDPR musí správce a zpracovatel jmenovat pověřence, pokud:
- Jde o orgán veřejné moci (s výjimkou soudů jednajících v rámci svých pravomocí).
- Hlavní činností správce je rozsáhlé a pravidelné monitorování subjektů údajů (například sledování chování uživatelů na internetu).
- Hlavní činností správce je rozsáhlé zpracování citlivých osobních údajů (například údaje o zdravotním stavu, biometrické údaje, informace o trestních činech).
Rozsah a typy zpracování vyžadující pověřence
Pracovní skupina WP29 doporučuje při posuzování nutnosti jmenování pověřence zvážit tyto faktory:
- Počet dotčených subjektů údajů.
- Objem a typy zpracovávaných údajů.
- Doba trvání nebo pravidelnost zpracování.
- Zeměpisný rozsah operací zpracování.
Příklady organizací, které musí jmenovat pověřence:
- Nemocnice (zpracování zdravotních údajů pacientů).
- Banky a pojišťovny (rozsáhlé zpracování osobních údajů klientů).
- Poskytovatelé internetových služeb (monitorování online aktivit).
- Bezpečnostní agentury provozující kamerové systémy na veřejných místech.
Příklady organizací, které obvykle pověřence nepotřebují:
- Individuální lékaři nebo právníci.
- Malé firmy bez rozsáhlého zpracování osobních údajů.
- Podniky zpracovávající osobní údaje pouze pro interní administrativní účely.
Závěr
Jmenování pověřence pro ochranu osobních údajů je povinné pouze pro určité organizace, ale i tam, kde není povinnost stanovena, může být přínosné jej jmenovat. Pověřenec pomáhá zajistit soulad s GDPR, minimalizuje právní rizika a zvyšuje důvěru subjektů údajů.
Pokud si nejste jisti, zda potřebujete pověřence pro ochranu osobních údajů, doporučujeme odbornou konzultaci.