„Pokud máte dotaz ohledně zpracování vašich osobních údajů, můžete se obrátit na našeho DPO.“ Věta, která na vás vyskočí v mnoha informačních dokumentech a zásadách společností. Pověřenec pro ochranu osobních údajů, nebo také DPO (Data Protection Officer), je role specificky stanovená v nařízení GDPR, kterou nepotřebuje každá organizace. Kdy je ale potřeba pověřence jmenovat? A jak vybrat vhodného pověřence? Jaké jsou výhody pověřence a co má přesně dělat?
Pozice DPO ve společnosti je specifická. Není to osoba, která rozhoduje o tom, co se bude zpracovávat, jak a kým, DPO je spíše auditor a poradce. Poskytuje rady vedení společnosti i jejím zaměstnancům, sleduje, zda společnost dodržuje pravidla GDPR ↗, spolupracuje s dozorovými úřady a funguje jako kontaktní osoba pro jednotlivce, kteří mají otázky ohledně zpracování svých osobních údajů.
DPO musí být nezávislý na společnosti, ve které pracuje. Nesmí dostávat pokyny a nesmí být ve střetu zájmu. Nesmí být za svou činnost správcem ani zpracovatelem osobních dat sankcionován.
Když v roce 2018 nabylo účinnosti GDPR, kolem tématu pověřence se rozjela vášnivá debata. Mnozí zarputile tvrdili, že každá společnost potřebuje mít pověřence pro ochranu osobních údajů. Není to ovšem pravda.Pravidla pro jmenování pověřence pro ochranu osobních údajů jsou obsažena v čl. 37 GDPR. Ten uvádí, že jej musí jmenovat správce nebo zpracovatel (pozor, i v pozici zpracovatele musíte mít někdy pověřence), a to za předpokladu, že:
Důležité je zmínit, že jak v případě monitorování, tak zpracovávání citlivých údajů se musí jednat o hlavní činnost správce/zpracovatele. Typickým příkladem může být nemocnice, která zpracovává zdravotní údaje o svých pacientech, vede zdravotní záznamy, přičemž toto je bezesporu jedna hlavních činností dané nemocnice.
Dalším praktickým příkladem může být společnost, která zajišťuje správu monitorovaných prostor. Například bezpečnostní společnost, jenž dostala na starost desítky veřejných prostor, které má monitorovat, zajišťovat bezpečnost v areálech apod. I toto je bezesporu hlavní činnost takové společnosti a povinnosti jmenovat pověřence se nevyhne.
Kromě hlavní činnosti však musí být splněno ještě kritérium toho, že je zpracování prováděno ve velkém rozsahu. Konkrétní číslo se v GDPR nedozvíme, a tak je potřeba hodnotit velký rozsah individuálně. Je možné vycházet z různých vodítek, které nabízí EDPB ↗ (European Data Protection Board), který uvádí typické příklady, kdy jde o zpracování ve velkém rozsahu:
Na rozdíl od nemocnice jednotlivý lékař nebude splňovat toto kritérium a nemusí tak jmenovat pověřence pro ochranu osobních údajů.
Nad rámec povinného jmenování může každá společnost jmenovat pověřence pro ochranu osobních údajů dobrovolně. V praxi se s tímto setkáváme minimálně. Existuje však jedna častá nepřesnost.
Je totiž rozdíl mezi pověřencem pro ochranu osobních údajů (DPO) a interní osobou odpovědnou za zpracování osobních údajů. DPO je oficiální role. Má jasně nadefinované povinnosti a pravidla v GDPR. Ve chvíli, kdy je jmenován DPO, musí společnost plnit spoustu povinností. Jednou z nich je například zapojení DPO do zpracování, nebo ohlášení DPO na Úřad pro ochranu osobních údajů. Postavení DPO je navíc nezávislé. Je to jakýsi „interní auditor“ a kontrolor, který ne vždy bude ctít pokyny společnosti, která jej jmenovala.
Naproti tomu interní osoba odpovědná za zpracování je osoba, kterou si určila společnost v rámci nastavení interních procesů. Tato osoba nemá specificky nastavené povinnosti v GDPR a rozsah a způsob určení kompetencí je na každé společnosti.
Chcete pomoct zajistit činnost pověřence pro ochranu osobních údajů? Stačí se ozvat ↗.
Článek 37 odst. 5 GDPR přímo uvádí, že: „Pověřenec pro ochranu osobních údajů musí být jmenován na základě svých profesních kvalit, zejména na základě svých odborných znalostí práva a praxe v oblasti ochrany údajů a své schopnosti plnit úkoly…“
Při výběru DPO je tedy potřeba zejména dbát na zkušenosti v oblasti ochrany osobních údajů, ale také na specifickou oblast, ve které podnikáte. Jiné odborné znalosti a požadavky budete chtít od pověřence, který má kontrolovat zpracování nemocničních dat a jiné od pověřence, který má na starost behaviorální monitorování v rámci programatické reklamy.
Na trhu existují desítky až stovky společností, které služby DPO poskytují. Vyznat se v tom, která poskytuje kvalitní a odborné služby je velmi složité. Jako základní praktická pomůcka určitě mohou sloužit reference. Vyžádejte si je. Chtějte vědět, pro koho v oblasti ochrany osobních údajů daný poskytovatel pracoval, na čem se podílel. Nebojte se také ptát na konkrétní znalosti v oblasti GDPR. Důležité je také procesní řízení a otázka: „Jak bude spolupráce probíhat a co vše budete zajišťovat,“ vůbec není od věci.
DPO nemusíte vybírat z interních řad. Mnohdy to není dobrý nápad, neboť jednou ze základních povinností, kterou musí každá společnost jmenující DPO zajistit je, že nebude DPO ve střetu zájmu. Interně je těžké tohoto stavu docílit. Například jmenování někoho z HR oddělení je legislativní sebevražda, protože střet zájmů může nastat velmi rychle.
DPO můžete outsourcovat na základě smlouvy o poskytování služeb. Nezapomeňte, že pokud outsourcujete tuto službu od právnické osoby, musí být v takové smlouvě jasně specifikováno, jaká konkrétní osoba bude službu pověřence poskytovat.
Službu DPO poskytujeme, konkrétně ji u nás zajišťuje Jiří Hradský ↗ nebo Roman Tomek ↗. Zvládneme to i u vás.
Jmenování DPO má formální náležitosti. K ohlášení je potřeba sepsat dokument, který obsahuje:
Tyto informace se zašlou elektronicky na e-mailovou adresu Úřadu pro ochranu osobních údajů posta@uoou.cz, nebo datovou schránkou. Tyto informace vždy poskytuje správce/zpracovatel, který pověřence jmenoval, nikdy samotný pověřenec.
Kromě toho je potřeba formálně uvést kontaktní údaje na DPO do informační dokumentace. Pozor, není potřeba uvádět konkrétní jméno a příjmení pověřence, stačí uvést jeho kontaktní údaje. Je to vhodné zejména v případech, kdy pověřence outsourcujete a může v průběhu činnosti dojít ke změnám, ať nemusíte složitě aktualizovat své privacy policy.
Činnost DPO je specifickou rolí, kterou nemusí mít každá organizace. Pokud už však dojde k jeho jmenování, je potřeba myslet zejména na to, že musí být pověřenec aktivně zapojen do zpracování ze strany správce. Pokud by k takovém zapojení nedošlo, sankci nedostane pověřenec, nýbrž samotná organizace, která jej jmenovala.
Jmenování DPO nemusí být věda, když víte, jak na to. Zajistíme pro vás všechno potřebné. Napište nám ↗, my se nejpozději následující pracovní den ozveme zpátky.
Jsem advokát specializující se na ochranu osobních údajů, e-commerce, compliance a související oblasti. Za dobu působení v kanceláři jsem provedl desítky firem audity, nastavením procesů souvisejících s technologiemi a právem.