POVĚŘENEC PRO OCHRANU OSOBNÍCH ÚDAJŮ (DPO)

Bližší specifikace podmínek pro jmenování fyzické osoby do funkce Pověřence pro ochranu osobních údajů upravuje Nařízení Evropského parlamentu a Rady (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů v článku 37.


Výkon funkce Pověřence

  • Pověřenec musí být důkladně seznámen s GDPR
  • v rámci organizace pověřenec monitoruje soulad s obecným nařízením GDPR
  • Pověřenec dokáže požadavky nařízení aplikovat do organizačních systémů
  • Pověřenec plní své povinnosti vyplývající pro něho z GDPR nezávislým způsobem
  • Pověřenec provádí interní audity a školení
  • navrhuje řešení v rámci bezpečnosti osobních údajů
  • Pověřenec řeší požadavky v rámci ochrany osobních údajů
  • Pověřenec komunikuje s Úřadem na ochranu osobních údajů

Obecné informace o funkci Pověřence

  • jedna osoba může vykonávat funkci Pověřence pro více subjektů (sdílení)
  • Pověřenci nelze udílet pokyny týkající se plnění úkolů (nezávislost, nestrannost)
  • Pověřenec nesmí být pro plnění svých úkolů propuštěn ani sankcionován
  • plnění jiných úkolů Pověřence nesmí vést ke střetu jeho zájmů
  • výkon funkce Pověřence není podmíněn certifikací, držitel jím však prokazuje své kvality
  • Pověřencem nemůže být nikdo z vedení organizace, a to na žádné její úrovni řízení
  • Pověřenec je vázán mlčenlivostí, která je zakotvena přímo v nařízení

KDO MÁ POVINNOST JMENOVAT POVĚŘENCE

Povinnost organizace jmenovat Pověřence pro ochranu osobních údajů (DPO) nastává v případě, že:

  • zpracování provádí orgán veřejné moci či veřejný subjekt, s výjimkou soudů jednajících v rámci svých soudních pravomocí;
  • hlavní činnosti organizace spočívají v operacích zpracování, které kvůli své povaze, svému rozsahu nebo svým účelům vyžadují rozsáhlé pravidelné a systematické monitorování subjektů údajů;
  • hlavní činnosti správce nebo zpracovatele spočívají v rozsáhlém zpracování zvláštních kategorií údajů uvedených v Článek 9 a osobních údajů týkajících se rozsudků v trestních věcech a trestných činů uvedených v Článku 10.


ORGÁNY VEŘEJNÉ MOCI

Orgán veřejné moci je orgán, který ze zákona autoritativně rozhoduje o právech a povinnostech fyzických a právnických osob nebo jiným způsobem zasahuje do jejich právní podstaty, a to buď přímo nebo jinými prostředky.

  • ministerstva
  • soudy
  • policie
  • správní úřady
  • samosprávní celky

VEŘEJNÉ SUBJEKTY

Subjekty zřízené za účelem uspokojování potřeb veřejného zájmu, které nemají průmyslovou nebo obchodní povahu, mají právní subjektivitu, jsou financovány převážně státem, regionálními nebo místními orgány nebo jinými veřejnoprávními subjekty nebo je těmito subjekty řízen, nebo v jeho správním, řídicím nebo dozorčím orgánu je více než polovina členů jmenována státem, regionálními nebo místními orgány nebo jinými veřejnoprávními subjekty.

  • školy a školky
  • veřejné knihovny
  • nadační fondy

HLAVNÍ ČINNOST

Hlavní činností je zpracování osobních údajů fyzických osob. Je důležité vždy správně analyzovat situaci organizace, kdy například u nemocnice je hlavní činností poskytování zdravotní péče, tu ovšem nemůže vykonávat bez zpracování zdravotních dat, proto je zpracování takových dat hlavní činností nemocnice.

  • nemocnice
  • bezpečnostní agentury
  • organizace pro přepravu osob
  • ubytovací zařízení
  • cestovní agentury

ROZSÁHLÉ ZPRACOVÁNÍ

Dle recitálu 91 jde především o citaci „rozsáhlé operace zpracování, jež mají sloužit ke zpracování značného množství osobních údajů na regionální, celostátní nebo nadnárodní úrovni, jež by mohly mít dopad na velký počet subjektů údajů a u nichž je pravděpodobné, že budou představovat vysoké riziko“.

  • hromadná doprava
  • pojišťovny
  • banky
  • marketingové agentury
  • telefonní operátoři
  • internetoví poskytovatelé

Poznámka: Výše uvedený výčet subjektů povinných zřídit funkci Pověřence není konečný a je potřeba vždy správně analyzovat všechny vnitřní činnosti organizace a následně uvést organizaci v oblasti ochrany osobních údajů do souladu s GDPR.

HLAVNÍ OMYLY PŘI JMENOVÁNÍ DPO

Obecné nařízení GDPR nestanovuje pro výkon funkce Pověřence přesné požadavky profesních kvalit a vzdělání. Proto mnoho organizací volí variantu jmenovat Pověřence ze svých řad, aby ušetřili peníze, které by jinak musely měsíčně vynakládat na výkon funkce Pověřence externím dodavatelem.
Často se však dopouštějí chyb, které je mohou stát nemalé finanční prostředky. Níže uvádím základní chyby, se kterými se běžně setkávám v praxi.

GDPR však uvádí základní požadavky, kterými jsou:

  • musí být jmenován na základě svých profesních kvalit
  • podstatné musí být vědomosti z oblasti národní a evropské legislativy a praxe v oboru ochrany osobních údajů a důkladná znalost Obecného nařízení

  • musí být jmenován na základě svých odborných znalostí práva a praxe v oblasti ochrany údajů
  • měl by tedy umět aplikovat GDPR v praxi a správně komentovat oblasti upravené pouze v obecné rovině

  • musí být jmenován na základě své schopnosti plnit úkoly stanovené v článku 39.
  • mělo by být vykládáno jednak ve vztahu k jeho osobním kvalitám a znalostem, ale také s ohledem na jeho postavení v organizaci. Osobní kvality by měly zahrnovat například integritu a vysokou úroveň profesionální etiky. Pověřencův prvotní zájem by měl být soulad s Obecným nařízením

  • Nesmí plnit úkoly, které by vedly ke střetu zájmů
  • pověřenec v organizaci nemůže zastávat pracovní místo, na kterém by stanovoval účely a prostředky zpracování osobních údajů

PŘÍKLAD 01. OBEC JMENUJE POVĚŘENCE Z ŘAD ZASTUPITELSTVA

U takto jmenovaného Pověřenec dochází jednoznačně ke střetu zájmů. Takový zastupitel stanovuje účely a prostředky pro zpracování osobních údajů, a to i v případě, že je pouze součástí kolektivního orgánu.

PŘÍKLAD 02. ŠKOLA ZŘÍZENÁ OBCÍ JMENUJE POVĚŘENCE Z VEDENÍ OBCE

Takový pověřenec je jednoznačně ve střetu zájmů, neboť obec jako zřizovatel školy jako příspěvkové organizace výlučně určuje prostředky na zpracování osobních údajů.

PŘÍKLAD 03. FIRMA SE ROZHODNE JMENOVAT POVĚŘENCEM SVÉHO ŘEDITELE

Takové jmenování Pověřence je přímým porušením nařízení GDPR, neboť je zde přímý střet zájmů.