Pověřenec pro ochranu osobních údajů

Pověřenec podle GDPR

S účinností obecného nařízení o ochraně osobních údajů či GDPR vznikne správcům i zpracovatelům nová povinnost jmenovat pověřence pro ochranu osobních údajů (data protection officer či DPO). Pověřenec by měl správcům (zpracovatelům) mimo jiné usnadnit dodržování souladu jejich činnosti s GDPR.

Pohled do historie

Funkce pověřence byla v zemích EU zavedena směrnicí 95/46/ES. Česká republika se vydala především cestou oznamovací/registrační povinnosti a nevyužila možnost spočívající v zakotvení v právním řádu osoby pověřené ochranou osobních údajů. Pověřenec ustanovený na základě směrnice měl, obdobně jako ten dle GDPR, nezávislým způsobem zajistit interní uplatňování vnitrostátních předpisů přijatých k provedení směrnice a také vést seznam zpracování prováděných správcem. Dle informací z roku 2005 obsažených ve stanovisku pracovní skupiny zřízené podle článku 29 směrnice (WP29) pouze pět členských států EU využilo výjimku z notifikace a zavedlo tak předpoklady pro výkon funkce pověřence (Německo, Nizozemí, Švédsko, Lucembursko a Francie). Ze států nám právní tradicí bližších zavedlo v roce 2013 funkci pověřence také Slovensko, které na rozdíl od jiných států umožnilo výkon této funkce svěřit pouze fyzickým osobám.

Kdo musí pověřence jmenovat

Povinnost jmenovat pověřence mají orgány veřejné moci či veřejný subjekt s výjimkou soudů jednajících v rámci svých soudních pravomocí.

Dalšími případy povinného ustanovení pověřence jsou: hlavní činnosti správce nebo zpracovatele spočívají v operacích zpracování, které kvůli své povaze, svému rozsahu nebo svým účelům vyžadují rozsáhlé pravidelné a systematické monitorování subjektů údajů (čl. 37 odst. 1 písm. b) GDPR); nebo hlavní činnosti správce nebo zpracovatele spočívají v rozsáhlém zpracování zvláštních kategorií údajů uvedených v článku 9 a osobních údajů týkajících se rozsudků v trestních věcech a trestných činů uvedených v článku 10 (čl. 37 odst. 1 písm. c) GDPR).

Soukromoprávní subjekty by tedy měly nejprve vyhodnotit výše zmíněné atributy vztahující se k rozsáhlosti zpracování, aby nebylo pochyb o (ne)jmenování pověřence. V pochybnostech lze správcům doporučit vypracování analýzy – dokumentu, ve kterém by byly rozpracovány důvody zejména pro nejmenování DPO, čímž by současně byla naplněna jedna z povinností GDPR, dle které musí správce být schopen prokázat soulad své činnosti s nařízením. Pracovní skupina WP29 obdobně ve svém stanovisku k DPO doporučuje, aby ti správci, kteří povinnost jmenovat pověřence nemají a nejmenují ho ani dobrovolně, doložili interní vyhodnocení se zohledněním relevantních faktorů, proč nebyl pověřenec jmenován. Taková analýza se s největší pravděpodobností bude dokládat dozorovému orgánu, a to v průběhu kontrolní neboli dozorové činnosti nebo v rámci případné předchozí konzultace s dozorovým orgánem.

Dobrovolný pověřenec

Povinnost jmenovat pověřence se sice od května 2018 nebude vztahovat na všechny správce a zpracovatele, ale samotná pracovní skupina WP29 i v případě subjektů, na které povinnost jmenování nedopadá, doporučuje též dobrovolné jmenování, jelikož existence pověřence může snížit riziko porušení pravidel stanovených nařízením.

Kdo může funkci pověřence vykonávat

Funkci pověřence může vykonávat interní zaměstnanec správce či zpracovatele nebo externí subjekt na základě smlouvy o poskytování služeb. V obou případech musí pověřenec pro ochranu osobních údajů splňovat všechny požadavky na něho kladené GDPR. Zejména v případě zaměstnance je pověřenec chráněn proti propuštění nebo jinému sankcionování z důvodu plnění jeho povinností. DPO se dále nesmí v souvislosti se svou činností dostat do střetu zájmů. Pověřenec smí pro správce, resp. zpracovatele, plnit i jiné úkoly za podmínky, že nepovedou ke střetu zájmů. Kvůli hrozbě střetu zájmů nesmí pověřenec v organizaci určovat účely a prostředky zpracování osobních údajů (a tedy zpravidla vykonávat vedoucí pozice, jejichž náplní toto je – může jít i např. o finančního ředitele, HR řediteli, či ředitele IT). Ke střetu zájmů může dojít i v případě, kdy by měl pověřenec zastupovat správce nebo zpracovatele v soudním či obdobném řízení v případech týkajících se ochrany osobních údajů. S touto podmínkou úzce souvisí ustanovení článku 38 odst. 3 GDPR, dle kterého pověřenec vykonává svou činnost nezávisle a s dostatečnou mírou samostatnosti. Za tímto účelem zejména nesmí dostávat pokyny týkající se výkonu svých úkolů, bez ohledu na to, zda se jedná o zaměstnance či externí osobu. Správce nebo zpracovatel jsou povinni zveřejnit kontaktní údaje pověřence a tím zajistit, aby měly subjekty údajů a dozorové orgány možnost přímo kontaktovat pověřence bez potřeby dalšího zprostředkování.

Pověřenec se přímo zodpovídá pouze nejvyššímu managementu správce či zpracovatele.

Jaké jsou požadavky na pověřence

Základní požadavky na osobu pověřence stanoví čl. 37 odst. 5 nařízení. Pověřenec osobních údajů by především měl být ustanoven na základě svých profesních kvalit.

Požadavky na profesní kvality definuje nařízení tak, že se jedná zejména o odborné znalosti práva a praxe v oblasti ochrany osobních údajů. Je zřejmé, že vyžadována bude znalost národního a evropského práva v oblasti ochrany osobních údajů a souvisejících předpisů příslušného odvětví, ve kterém správce či zpracovatel působí. Kromě toho by měl pověřenec mít též znalosti v oblasti IT a případně i manažerské dovednosti.

DPO by měl být podrobně seznámen s procesy a technologiemi zpracování osobních údajů u správce či zpracovatele, pro kterého bude tuto funkci vykonávat. Dále lze předpokládat, že v souvislosti s možnými přeshraničními kontrolami dozorových úřadů členských států EU by měl DPO ovládat minimálně jeden z úředních jazyků EU na takové úrovni, aby mohl v případě potřeby komunikovat s těmito zahraničními dozorovými úřady, případně s nově zřízeným Evropským sborem pro ochranu osobních údajů.

Čím se pověřenec zabývá

Základní úkoly pověřence definuje čl. 39 nařízení, přičemž další povinnosti nalézáme v dalších částech GDPR. Hlavním úkolem pověřence je monitorování souladu činností zpracování osobních údajů s nařízením. Za tímto účelem by měl pověřenec se správcem či zpracovatelem spolupracovat při zavádění vhodných technických a organizačních opatření k zajištění souladu a v souvislosti s tím poskytovat GDPR poradenství a doporučení. Spolupráce s dozorovými úřady bude klíčová, neboť znalosti v oblasti ochrany osobních údajů by měly přispět k zefektivnění vzájemné komunikace. Úřad by měl pověřence v problematice ochrany údajů považovat za své „rovnocenné partnery“. DPO bude dle nařízení působit jako kontaktní místo pro dozorový úřad v záležitostech týkajících se zpracování údajů. Veškeré interní předpisy, postupy, atd. by měly být vyhotoveny nebo připomínkovány právě pověřencem.

Pověřenec je oprávněn s dozorovým úřadem konzultovat jakékoliv věci, ve kterých není vázán důvěrností. Zaváhání DPO anebo špatně formulovaná rada správci/zpracovateli může být podnětem k zahájení dozorové činnosti. Výběr pověřence by i proto měl být řádně uvážen, neboť výše nařízením stanovených pokut je značná.

DPO bude mít důležité postavení mimo jiné také při plnění další z nových povinností dle GDPR – hodnocení posouzení vlivu na ochranu osobních údajů. WP29 výslovně doporučuje, aby si správce vyžádal stanovisko pověřence k otázkám týkajícím se posouzení vlivu na ochranu osobních údajů, a to zejména v otázce, zda v konkrétním případě posouzení vlivu provést, jakou metodologii při provádění použít, jaké prostředky ochrany ke snížení rizika porušení práv subjektů údajů implementovat, zda bylo posouzení řádně provedeno anebo zda jsou závěry posouzení v souladu s požadavky nařízení. Vzhledem ke komplexnosti témat, které má DPO řešit, je žádoucí jeho vysoká odbornost.

Zaměstnanec správce či externí subjekt jako pověřenec?

Nařízení předpokládá, že DPO může být zaměstnancem správce či zpracovatele anebo také externím subjektem, který může plnit úkoly na základě smlouvy o poskytování služeb. Plněním úkolů lze tedy pověřit nejen fyzickou, ale též právnickou osobu. Při této úvaze je třeba připomenout požadavek čl. 38 odst. 6 nařízení, který vyžaduje, aby žádný z úkolů a povinností, kterými DPO pověřil zaměstnavatel v rámci pracovně právního vztahu, nevedly ke střetu zájmů.

S ohledem na již existující institut DPO v některých státech EU a procesní a administrativní komplikace se zakotvením této ze zákona autonomní funkce do struktury podniku, je zřejmé, že výkon funkce bude často svěřen nikoli zaměstnancům správce, ale také externím subjektům, včetně specializovaných společností. Domníváme se, že právě z důvodu vyšší odbornosti, kterou může představovat tým lidí specializovaných na ochranu osobních údajů a který využívá vnitřních synergií v rámci specializované společnosti k vyšší operativnosti, může vytvářet podmínky pro výkon této funkce lépe a efektivněji, než pověřený zaměstnanec. Pro zajištění plynulé spolupráce se správcem nebo zpracovatelem by však v rámci týmu externího pověřence měla vždy být stanovena konkrétní osoba, která má daného správce/zpracovatele na starosti a působí vzhledem k němu jako osoba odpovědná.

Poté, co je pověřenec správcem nebo zpracovatelem jmenován, musí mu ten, kdo ho jmenoval a u koho pověřenec pro ochranu osobních údajů působí, kromě jiného poskytovat zdroje nezbytné k udržování jeho odborných znalostí. To bude relevantní zejména u pověřenců z řad zaměstnanců.

WP29 uvádí, že čím stabilnější bude smluvní vztah mezi správcem, resp. zpracovatelem a pověřencem, tím spíše bude umožněn nezávislý výkon činnosti pověřencem.

Odpovědnost pověřence

Pověřenec není přímo z nařízení odpovědný za nesoulad zpracování subjektu, který jej jmenoval. GDPR jednoznačně stanoví, že udržení činností zpracování v souladu s nařízením je odpovědností správce, resp. zpracovatele, který musí být také schopný tento soulad doložit. V případě, že správce nebo zpracovatel přijímají rozhodnutí v rozporu s nařízením a posudkem pověřence, by pověřenec měl mít možnost vysvětlit své odlišné stanovisko vrcholovému managementu. Pověřenec, který je zaměstnance, je správci či zpracovateli odpovědný podle pracovněprávních předpisů, odpovědnost pověřence, který je externím subjektem, se pak bude řídit především jeho smlouvou se správcem či zpracovatelem, případně obecnými právními předpisy.

DPO v číslech

Vzhledem k tomu, že GDPR budou podléhat i společnosti mající sídlo mimo EU při existenci evropského prvku zpracování, zejména za předpokladu, že zpracovávají data o občanech EU, je nutné, aby i tyto entity plnily povinnosti vyplývající z nařízení. Dle studie asociace International Association of Privacy Professionals bude s nástupem GDPR nezbytné přijmout až 28 000 pověřenců.