DPO – Data Protection Officer – Pověřenec pro ochranu osobních údajů

Jedna z nových povinností podle GDPR je jmenovat pověřence pro ochranu osobních údajů.

Přesné vzdělání institutu pověřence pro ochranu osobních údajů není jednoznačně určeno, ale tento musí dle článku 37 odst. 5 GDPR splňovat určité profesní kvality zejména odborné znalosti práva, schopnost plnit úkoly pověřence, znalost organizace i příslušné věcné oblasti, jakož i probíhající zpracování, informačních systémů, bezpečnosti dat a bezpečnostních potřeb správce.

Úroveň odborných znalostí není přesně definována, ale měla by odpovídat citlivosti, komplexnosti a množství údajů, které orgán zpracovává.

Podle článku 38 odst. 2 Obecného nařízení má správce pověřence podporovat při plnění jeho úkolů a poskytnout mu k tomu odpovídající zdroje. Tím se rozumí žádat o pomoc i další odborné specialisty z jiných oblastí a v případě větší organizace i podpůrný tým se stanovenými úkoly. Z tohoto lze odvodit určitou flexibilitu ohledně vnímání funkce pověřence vnitřního i vnějšího. Jakkoli by tato jedna osoba měla být představitelem této funkce, počítá se s tím, že úkoly pověřence může plnit širší tým, který snadněji obsáhne požadované vlastnosti a dovednosti.

Mezi klíčové oblasti metodické a poradní působnosti pověřence patří aplikace zásad, implementace práv subjektů, záměrná a standardní ochrana osobních údajů, záznamy o činnostech zpracování, zabezpečení zpracování, oznamování porušování tohoto zabezpečení, nebo hodnocení dopadů.

Pověřenec musí mít přístup ke všem zpracovávaným osobním údajům správcem, u něhož působí a ve všech jeho dislokacích. Pověřenec musí být podřízen vrcholovému managementu firmy, ale nesmí od nich dostávat žádné pokyny v souvislosti s výkonem této funkce nebo určení, jak má při ochraně osobních údajů postupovat. Pověřenec nesmí být pro výkon své činnosti propuštěn ani jinak sankciován.

Pověřenec by zejména neměl zastávat základní úlohu správce při určování účelu a prostředků zpracování osobních údajů, tj. o rozhodování sběru či využití osobních údajů. Pověřenec by neměl být zejména odpovědný za plnění těch povinností správce, které má monitorovat, zejména za přijetí technických a organizačních opatření zajišťující plnění Obecného nařízení nebo například za zabezpečení osobních údajů ve společnosti.

Základní a nepominutelné úkoly pověřence jsou:

  • Komunikovat se subjekty úřadů, které mají právo se na něj obracet
  • Poradenství správci a zaměstnancům při ochraně osobních údajů a ohledně posouzení vlivu na ochranu osobních údajů
  • Monitorování souladu s předpisy na ochranu osobních údajů s vnitřními dokumenty správce
  • Spolupracovat s dozorovým úřadem a působit jako kontaktní místo pro dozorový úřad
  • Své úkoly plnit s přihlédnutím k riziku a povaze, rozsahu, kontextu a účelu zpracování

Pověřenec musí být jmenován vždy pokud:

  • Zpracování provádí veřejný subjekt
  • Hlavní činností správce nebo zpracovatele spočívají v rozsáhlém zpracování zvláštních kategorií údajů nebo osobních údajů týkající se rozsudků v trestních věcech a trestných činů
  • Pokud hlavní činnosti správce nebo zpracovatele spočívají v operacích zpracování, které vyžadují rozsáhlé pravidelné a systematické monitorování subjektů údajů

Příklady rozsáhlého zpracování jsou:

  • Zpracování údajů o pacientech v běžné nemocnici
  • Zpracování cestovních dat jednotlivců používající MHD
  • Zpracování zákaznických dat v rámci běžné obchodní činnosti banky nebo pojišťovny
  • Zpracování osobních údajů vyhledávačem pro potřeby behaviorální reklamy
  • Zpracování dat poskytovatele telefonních a internetových služeb a další.

Koho všech se to může týkat?

Personální agentury, poskytovatelé cloudových úložišť, společnosti nabízející správu marketingových kampaní, provozovatelé webových stránek s cookies, soukromé vysoké školy, lékárny, mobilní operátoři, poskytovatelé internetu, dopraví podniky, společnosti mající věrnostní programy, eshopy, cestovní kanceláře, bezpečnostní agentury, pojišťovny, banky, úvěrové a spořitelní družstva, realitní kanceláře, leasingové společnosti, směnárny, finanční poradci, účetní, realitní makléř, exekutoři, poskytovatelé mobilních aplikací a mnozí další.