Jak vybrat Pověřence pro ochranu osobních údajů

GDPR do českého právního řádu zavádí zcela nový institut - funkci Pověřence pro ochranu osobních údajů a řada organizací bude muset tuto pozici vytvořit a obsadit. Těm ostatním, na které se GDPR také vztahuje, je to minimálně doporučeno.

Kvalifikovaný Pověřenec pro ochranu osobních údajů (DPO - Data Protection Officer) vám z pozice "interního auditora" dokáže pomoci upravit směrnice, postupy, souhlasy se zpracováním a další agendu, které je a bude povinná pro všechny, v celém životním cyklu zpracování osobních údajů. Konkrétní osoba, která bude tuto funkci zastávat, potom musí mít dostatečnou znalost práva i praxe v oblasti zpracování osobních údajů.

Společnosti, které nemají přímou povinnost pozici DPO zřídit, přesto musí realizovat řadu interních změn. Namísto externích služeb tak můžete investovat do vlastních řad.

To znamená v prvním kroku zajistit internímu manažerovi potřebnou kvalifikaci. A právě ta je součástí kurzu, který je navíc akreditovaný dle e-CF pro pozici: Pověřenec ochrany osobních údajů. Evropský Úřad pro ochranu osobních údajů a pracovní skupina WP 29 doporučuje zřídit alespoň neformální funkci "pověřence" těm organizacím, kde to povinné není, ale dochází zde ke zpracování osobních údajů.

Pověřenec pro ochranu osobních údajů musí být při výkonu svých úkolů nezávislý a nesmí současně zastávat další roli, která by s pozicí pověřence mohla být ve střetu (např. vedoucí IT) a bude muset být včas zapojen do všech důležitých byznysových rozhodnutí a mít dostatek zdrojů pro výkon svých úkolů.

Pozor na chyby v kontextu GPDR

Ačkoliv vytvoření a obsazení funkce Pověřence pro ochranu osobních údajů představuje pro organizaci jistou zátěž, jsou zde však důvody, proč to udělat.

Právní povinnost:

• GDPR ukládá povinnost jmenovat Pověřence pro ochranu osobních údajů širokému okruhu organizací - orgány veřejné správy, samosprávy či veřejné instituce či organizace, která provádějí rozsáhlé a komplexní zpracování osobních údajů - banka, pojišťovna, operátor, nebankovní poskytovatel finančních služeb, provozovatel větších kamerových či jiných bezpečnostních systémů, provozovatel cloudových služeb aj.

• Samotné nevytvoření pozice pověřence či obsazení této pozice osobou bez dostatečných znalostí a kvalifikace přitom představuje porušení GDPR, které může být sankcionováno až do výše 10 milionů EUR nebo 2% ročního obratu celé skupiny, podle toho, která částka bude vyšší.

• Povinnost se vztahuje i na subjekt, který zpracovává citlivé osobní údaje - poskytovatel zdravotních služeb, provozovatel služby využívající biometrické či genetické údaje, všechny tyto subjekty jsou povinny pověřence jmenovat.

Compliance:

• Vytvoření pozice Pověřence pro ochranu osobních údajů a její plné zapojení do systému pro zpracování osobních údajů je důležitou součástí compliance programu, kterým může organizace doložit, že vynaložila veškeré rozumně očekávatelné úsilí na to, aby její činnost byla v souladu s GDPR.

• To může být důležité při dozoru ze strany ÚOOÚ či při soudním sporu - dostatečně zavedený compliance program v oblasti zpracování osobních dat (včetně vytvoření pozice DPO a jejího obsazení kvalifikovanou osobou), může přispět vyvinění organizace v konkrétním řízení či sporu.

• Totéž platí i pro případnou trestněprávní odpovědnost - právnické osoby mohou být rovněž trestně stíhány pro neoprávněné nakládání s osobními údaji, přičemž potrestány mohou být i finanční sankcí nebo dokonce zrušením.

• I při trestním stíhání právnických osob platí, že faktické zavedení dostatečného compliance programu může vést k zastavení stíhání.

Důvěra:

• Pokud organizace vytvoří pozici Pověřence pro ochranu osobních údajů, vybaví jej dostatečnými zdroji a prostředky pro výkon jeho úkolů a obsadí tuto pozici osobou, která profesně i lidsky garantuje dostatečnou kontrolu zpracování osobních údajů, může to být vnímáno jako veřejný závazek organizace zpracovávat osobní údaje férově, transparentně a respektovat práva všech dotčených osob.

• Tuto skutečnost mohou pozitivně vnímat jak zaměstnanci a klienti organizace, kteří budou vědět, na koho se v případě nejasností či dotazů týkajících se zpracování jejich osobních údajů obrátit, ale i obchodní partneři.

• Veřejný závazek k dodržování GDPR a dalších pravidel pro zpracování osobních dat spolu se správným nastavením a obsazením funkce Pověřence pro ochranu osobních údajů tak může být i konkurenční výhodou.

Článek TAYLLORCOX s.r.o. ze dne středa 7. února 2018

Další články od TAYLLORCOX s.r.o.