Všechno, co potřebujete vědět o pověřenci pro ochranu osobních údajů.
V květnu roku 2018 vstoupilo v platnost Nařízení Evropského parlamentu a Rady (EU) 2016/679, známé pod zkratkou GDPR. Mimo jiné tím vyvstala povinnost zpracovatelům osobních údajů jmenovat tzv. pověřence pro ochranu osobních údajů.
Přestože již tuto povinnost mají všichni určitě vyřešenu, neuškodí si připomenout některé důležité informace.
Obec je orgánem veřejné moci ve smyslu článku 37 odst. 1 písm. a) Obecného nařízení. Má proto povinnost jmenovat pověřence. Obecné nařízení však umožňuje, aby více správců sdílelo jednoho pověřence.
Kdo je pověřenec pro ochranu osobních údajů?
Pověřenec pro ochranu osobních údajů (DPO neboli Data Protection Officer) plní funkci koordinátora či pomocníka ochrany osobních údajů příslušného správce nebo zpracovatele a zároveň funkci jakéhosi kontaktního bodu pro jeho komunikaci s dozorovými úřady (v ČR s Úřadem pro ochranu osobních údajů).
Tato osoba nemusí být nijak certifikována. Musí ale mít dostatečné právní povědomí o ochraně osobních údajů a vždy se musí jednat o konkrétní fyzickou osobu. To znamená, že je možné si zjednat pověřence z externí společnosti (na základě smlouvy o poskytování služeb), vždy ale musí být jmenována jedna konkrétní fyzická osoba.
V tomto případě je ale dobré pověřence zavázat mlčenlivostí, pokud jde např. o know-how (nelze vyloučit, že tuto funkci vykonává i v “konkurenční” organizaci).
Kdo musí pověřence pro ochranu osobních údajů jmenovat?
Obecné nařízení o ochraně osobních údajů vyžaduje jmenování pověřence pro ochranu osobních údajů ve třech konkrétních případech:
- je-li zpracování prováděno orgánem veřejné moci nebo veřejným subjektem (bez ohledu na to, jaké údaje jsou zpracovávány),
- spočívají-li hlavní činnosti správce nebo zpracovatele v operacích zpracování, které vyžadují rozsáhlé pravidelné a systematické monitorování subjektů údajů; a
- spočívají-li hlavní činnosti správce nebo zpracovatele v rozsáhlém zpracování zvláštních kategorií údajů nebo osobních údajů týkajících se rozsudků v trestních věcech a trestných činů.
Je ale obecně doporučováno, aby pověřence jmenovali i ostatní subjekty dobrovolně.Co takový pověřenec pro ochranu osobních údajů vlastně dělá?
Jeho hlavním úkolem je poskytování informací a poradenství správci či zpracovateli, včetně zaměstnanců, kteří se na zpracování podílejí. Dále monitoruje soulad zpracování s Obecným nařízením a dalšími předpisy. Nedílnou součástí výkonu funkce pověřence je dále spolupráce s Úřadem pro ochranu osobních údajů a působení jako kontaktní místo.
Co pověřenec pro ochranu osobních údajů ke své práci potřebuje?
V závislosti na povaze operací zpracování a na činnostech a velikosti organizace by pověřenci pro ochranu osobních údajů měly být poskytnuty tyto zdroje:
- aktivní podporu funkce ze strany vedoucích pracovníků,
- dostatečný čas na to, aby mohl plnit své povinnosti,
- odpovídající podporu z hlediska finančních zdrojů, infrastruktury (prostory, zařízení, vybavení) a případně pracovníků,
- oficiální oznámení všem zaměstnancům o jeho jmenování,
- přístup k dalším službám v rámci organizace, aby se zajistilo, že mohou od těchto dalších služeb obdržet základní podporu, vstupy nebo informace,
- průběžné školení.
Dotaz z praxe: Má pověřenec povinnost sepsat souhrnnou zprávu o vývoji zpracování osobních údajů za uplynulý rok u organizace, pro kterou pracuje?Obecné nařízení takovou povinnost výslovně nestanovuje. V rozporu to ale také není. Takový požadavek ze strany správce nebo zpracovatele je možné chápat jako zájem o problematiku ochrany osobních údajů a výslednou zprávu pověřence pak rovněž jako vhodný nástroj informování a ověření, zda mu sám vytvořil podmínky požadované obecným nařízením.
Důležité odkazy s informacemi o této funkci i GDPR:
- Ministerstvo vnitra – GDPR
- UOOU – Pověřenec pro ochranu osobních údajů
- Často kladené otázky (soubor PDF, 544 kB)
- Nařízení Evropského parlamentu a Rady (EU) 2016/679
- Zákon č. 101/2000 Sb., o ochraně osobních údajů
