Pověřenec pro ochranu osobních údajů

Nařízení GDPR zavádí institut pověřence pro ochranu osobních údajů (DPO – Data Protection Officer), který slouží jako organizační opatření ke zlepšení ochrany osobních údajů. Zatímco předchozí český zákon o ochraně osobních údajů tento institut neznal, v některých evropských zemích se osvědčil, a proto byl začleněn do GDPR.

Kdo je pověřenec pro ochranu osobních údajů?

Pověřenec je nezávislá osoba nebo subjekt, který pomáhá správcům a zpracovatelům zajistit soulad se zásadami GDPR. Nemá přímou odpovědnost za zpracování osobních údajů (to zůstává na správci nebo zpracovateli), ale dohlíží na správné nastavení procesů a plnění povinností vyplývajících z GDPR.

Podle čl. 38 GDPR musí být pověřenec včas a odpovídajícím způsobem zapojen do všech záležitostí týkajících se ochrany osobních údajů. Správce a zpracovatel jsou povinni:

• Poskytnout pověřenci zdroje nezbytné k výkonu jeho úkolů.
• Zajistit přístup k osobním údajům a operacím zpracování.
• Umožnit pověřenci neustálé vzdělávání v oblasti ochrany osobních údajů.
• Respektovat jeho nezávislost – pověřenec nesmí být odvolán nebo sankcionován za plnění svých úkolů.
• Organizačně podřídit pověřence přímo vrcholovému vedení.

Pověřenec může být:

• Interní zaměstnanec správce nebo zpracovatele.
• Externí subjekt poskytující služby na základě smlouvy.

Pověřenec musí mít odpovídající znalosti právních předpisů v oblasti ochrany osobních údajů a zároveň rozumět technologickým aspektům zpracování dat, zejména pokud dochází k automatizovanému zpracování.

Úkoly a kompetence pověřence

Podle čl. 39 GDPR pověřenec pro ochranu osobních údajů plní následující úkoly:

• Poskytování informací a poradenství správci nebo zpracovateli a jejich zaměstnancům o povinnostech vyplývajících z GDPR a dalších předpisů.
• Monitorování souladu s GDPR a interními směrnicemi správce či zpracovatele.
• Školení zaměstnanců a zvyšování povědomí o ochraně osobních údajů.
• Posuzování vlivu na ochranu osobních údajů (DPIA) a dohled nad jeho implementací.
• Spolupráce s dozorovým úřadem (ÚOOÚ) a komunikace s ním.
• Fungování jako kontaktní osoba pro ÚOOÚ v otázkách zpracování osobních údajů.

Pověřenec musí přihlížet k rizikům spojeným s konkrétními operacemi zpracování a hledat řešení, která zajistí soulad s GDPR bez zbytečné administrativní zátěže.

Kdy je jmenování pověřence povinné?

Dle čl. 37 GDPR musí správce a zpracovatel jmenovat pověřence, pokud:

• Jde o orgán veřejné moci (s výjimkou soudů jednajících v rámci svých pravomocí).
• Hlavní činností správce je rozsáhlé a pravidelné monitorování subjektů údajů (například sledování chování uživatelů na internetu).
• Hlavní činností správce je rozsáhlé zpracování citlivých osobních údajů (například údaje o zdravotním stavu, biometrické údaje, informace o trestních činech).

Rozsah a typy zpracování vyžadující pověřence

Pracovní skupina WP29 doporučuje při posuzování nutnosti jmenování pověřence zvážit tyto faktory:

• Počet dotčených subjektů údajů.
• Objem a typy zpracovávaných údajů.
• Doba trvání nebo pravidelnost zpracování.
• Zeměpisný rozsah operací zpracování.

Příklady organizací, které musí jmenovat pověřence:

• Nemocnice (zpracování zdravotních údajů pacientů).
• Banky a pojišťovny (rozsáhlé zpracování osobních údajů klientů).
• Poskytovatelé internetových služeb (monitorování online aktivit).
• Bezpečnostní agentury provozující kamerové systémy na veřejných místech.

Příklady organizací, které obvykle pověřence nepotřebují:

• Individuální lékaři nebo právníci.
• Malé firmy bez rozsáhlého zpracování osobních údajů.
• Podniky zpracovávající osobní údaje pouze pro interní administrativní účely.

Závěr

Jmenování pověřence pro ochranu osobních údajů je povinné pouze pro určité organizace, ale i tam, kde není povinnost stanovena, může být přínosné jej jmenovat. Pověřenec pomáhá zajistit soulad s GDPR, minimalizuje právní rizika a zvyšuje důvěru subjektů údajů.

Pokud si nejste jisti, zda potřebujete pověřence pro ochranu osobních údajů, doporučujeme odbornou konzultaci.