Menu

Přinese pojištění pověřencům klidnější spánek?

Pro řadu firem je pozice pověřence pro ochranu osobních údajů (DPO) nová. Je nutné připomenout, že ne všechny organizace musí tuto osobu jmenovat. Ty, kterých se tato povinnost týká, si v první řadě musí ujasnit, jaké povinnosti a odpovědnost bude jejich pověřenec mít.

Firmy a organizace mohou vybrat pověřence z vlastních řad, stejně tak si mohou najmout externího experta. O výhodách či nevýhodách obou řešení jsme již na našem blogu psali.

Ať už zvolíte jednu, nebo druhou možnost, DPO převezme zodpovědnost za dodržování GDPR. Za porušení nařízení hrozí společnostem značné pokuty, to už není třeba připomínat, strašení pokutami už bylo za poslední měsíce více než dost.

Spolu s výstražným prstem je třeba se ptát: Mohou pověřenci (u)nést tak vysokou osobní zodpovědnost za porušení ochrany osobních údajů ze strany svých zaměstnavatelů nebo klientů? Jaká jsou rizika pro interní i externí DPO? Jak se mohou proti rizikům chránit? Pomůže pojištění?

Pověřencova odpovědnost

Jedním z klíčových aspektů GDPR jsou zmíněné vysoké pokuty. Společnosti, jichž by se mohly dotknout miliardové sankce, jsou proto motivovány k hledání opravdových expertů, kteří jim rizika pomohou eliminovat.

Pokud autority (v ČR je to Úřad pro ochranu osobních údajů) pokutují společnost, která jednala na základě doporučení svého DPO, může tato společnost požadovat náhradu škody po svém pověřenci. A to zvláště v případech, kdy se domnívá, že pověřenec byl nedbalý.

Zákony v některých zemích dokonce pracují s trestněprávní odpovědností DPO při porušení nařízení ochrany osobních údajů. Není proto těžké představit si situaci, kdy odpovědnost na svých bedrech ponese DPO, a to z pohledu GDPR i z pohledu národní legislativy.

Rizika

I když GDPR poskytuje pověřencům určitou ochranu, nejsou hájeni před všemi riziky. Například článek 39 GDPR stanovuje minimální povinnosti pověřence a článek 38 zakazuje organizacím a firmám, aby pověřence instruovaly, jak má tyto povinnosti plnit. „Správce a zpracovatel zajistí, aby pověřenec pro ochranu osobních údajů nedostával žádné pokyny týkající se výkonu těchto úkolů. V souvislosti s plněním svých úkolů není správcem nebo zpracovatelem propuštěn ani sankcionován. Pověřenec pro ochranu osobních údajů je přímo podřízen vrcholovým řídícím pracovníkům správce nebo zpracovatele,“ uvádí článek.

Nařízení se ovšem nezmiňuje o tom, co se stane, pokud se organizace spolehne na nesprávné nebo nepřesné rady DPO. Pokyny Sboru, dříve Pracovní skupiny 29 (WP29), jsou jasnější. „DPO nejsou osobně odpovědní v případě nedodržení GDPR.“ Ačkoli toto ustanovení zmírňuje riziko vymáhání odpovědnosti, nemusí nutně ochránit osobu odpovědnou za situaci, která nastala kvůli její nedbalosti. DPO tak může být vystaven značné odpovědnosti.

I když zaměstnavatel mávne nad vymáháním odškodnění rukou, jsou zde pořád ještě akcionáři nebo samotní spotřebitelé či zákazníci, kteří se mohou cítit poškozeni. Třetí strany tak mohou pověřenci pořádně zavařit, pokud se obrátí na autority dohlížející na dodržování GDPR. Akcionáři se prostě mohou domáhat náhrady škody a spotřebitelé svých práv. Pravdou ovšem je, že za svá práva a ušlý zisk jsou zvyklí se bít hlavně akcionáři a spotřebitelé v USA. V Evropě zatím nejde o zavedenou zvyklost. To se ale s GDPR může změnit.

Odpovědnost DPO závisí do velké míry na tom, jaké místo v hierarchii organizace zastává a jaké má pravomoci. Mimo jiné jde i o to, co je uvedeno ve smlouvě, kterou pověřenec s firmou uzavřel. Do vztahu promlouvá rovněž národní legislativa nebo dohody o odškodnění.

Externí pověřenci, kteří nejsou zaměstnanci, ale dodavateli služeb (na základě smlouvy o poskytování služeb podle článku 37), čelí mnohem většímu riziku odpovědnosti. Pokud firma najme DPO na základě smlouvy a spoléhá se na jeho rady, může v případě poškození žádat o náhradu škody. Podobný scénář dobře znají experti poskytující jiné druhy poradenství. Pokud je poskytovatel služeb nedbalý a zákazník utrpí újmu, může se stát terčem žaloby. Samozřejmě platí, že DPO poskytující služby vícero klientům se vystavují mnohem větším rizikům než například interní pověřenec vykonávající svoji činnost pouze pro jednu organizaci.

Zodpovědnost ležící na bedrech externích i interních DPO je možné zmírnit. V některých zemích už dokonce existují formy pojištění, které mohou rizika eliminovat. Je možné vyjít například z pojištění pro členy statutárních orgánů, ředitele nebo vysoce postavené úředníky. Určení statusu „vysoce postaveného úředníka“ není vždy jednoduché. Své o tom ví například banka Goldman Sachs, která vedla šest let trvající spor, v němž nakonec uspěla.

Interní pověřenci by si proto měli vždy ověřit, zda zaměstnavatel pokrývá jejich odpovědnost vůči třetím stranám. Soudní spory společnosti Goldman Sachs totiž ukazují, co se může stát, pokud pojmy nebudou dostatečně vyjasněné. Článek 38 totiž může být interpretován tak, že pojištění pro vysoké úředníky a manažery nebude možné použít. Mimo jiné tento článek říká: „Pověřenec pro ochranu osobních údajů je přímo podřízen vrcholovým řídícím pracovníkům správce nebo zpracovatele.“ DPO tedy nemusí být nutně posuzovaný jako vysoce postavený úředník.

Pojištění

Přesto je potenciální finanční riziko, kterému DPO čelí, dostatečnou motivací pro sjednání efektivního pojištění. O něm by měli popřemýšlet externí dodavatelé nebo DPO, jejichž odpovědnost nepokryje pojištění zaměstnavatele. Společnosti, které potřebují DPO, ale nemají své vnitřní zdroje, si často vybírají externí poradce. Ti ale mohou být v některých případech ve střetu zájmů.

V konfliktu zájmů se mohou ocitnout například advokáti, pokud by zastávali současně funkci DPO a byli požádáni, aby před soudem zastupovali svého klienta ve sporech týkajících se zpracování osobních údajů. Řada evropských států včetně ČR jasně ustanovila, že výkon funkce pověřence není poskytováním právních služeb ve smyslu zákona o advokacii. Česká advokátní komora s ohledem na možný střet zájmů při výkonu funkce pověřence a povinnosti zastupovat zájmy klienta jako advokát doporučuje ve vzájemné smlouvě s klientem vymezit činnosti, které nelze pro vyloučení střetu zájmů vykonávat (např. že advokát nebude zastupovat klienta před soudem v případě týkajícím se ochrany osobních údajů). Advokát v roli pověřence by měl především důsledně vyloučit všechny formy právního zastoupení a poskytování právního poradenství jak v oblasti zpracování a ochrany osobních údajů, tak v oblastech, kterých se zpracování těchto údajů nezbytně týká (např. pracovněprávní problematika, e-commerce, marketing apod.).

Advokáty zmiňujeme i z důvodu pojištění při výkonu své práce. S ohledem na shora uvedené, pojištění výkonu funkce pověřence není kryto hromadným pojištěním advokátů, neboť nejde o výkon advokacie, ale o jinou činnost advokáta dle § 56 a násl. zákona o advokacii.

Než se interní nebo externí pověřenci pustí do práce a než na svá bedra naloží pořádně těžké závaží, měli by si ujasnit rozsah své odpovědnosti. A určitě doporučujeme pojistit se. S tím vám dokážeme pomoci, díky potřebě vlastního pojištění odpovědnosti při výkonu funkce DPO máme český trh velmi dobře zmapovaný a pojistku přímo šitou na míru DPO umí jen velmi málo pojišťoven. Nejde o obecné pojištění odpovědnosti, ale o úplně nový pojistný produkt. V případě zájmu o radu nám napište na office@gdpr.cz.

Mgr. Eva Škorničková
Mgr. Eva Škorničková

Jsem nezávislá právní konzultantka ochrany osobních dat a bezpečnosti IT. O obsah portálu GDPR.cz pečuji jako jeho zakladatelka a šéfredaktorka s podporou redakčního týmu. Máte-li pro nás zajímavý tip, sem s ním!


Hlavní partneři