Už jen půl roku mají firmy a státní organizace na to, aby si vybraly svého pověřence pro ochranu osobních údajů. Tady je sada otázek, které vám usnadní výběr správného odborníka.
GDPR zavádí povinnost jmenovat pověřence pro ochranu osobních údajů. DPO (Data Protection Officer) bude dohlížet na řádné zacházení s osobními údaji, hlásit případné úniky dat nebo porušení zákona. Jmenování pověřence je důležitým pilířem prokazování souladu s GDPR. Tím, že podnikatelé svého DPO jmenují, se ale nezbavují odpovědnosti za případné porušení nařízení, které zpřísňuje ochranu osobních údajů.
Na jedné straně budete vy, coby manažer, nebo majitel firmy, který toho o GDPR zase tolik neví, protože se musí soustředit hlavně na své podnikání. Na druhé straně bude odborník, který se staví do role profesionála v oblasti ochrany osobních údajů. A v nejlepším možném případě také skutečným odborníkem bude. Před vámi ale stojí nelehký úkol, abyste si svého pověřence dobře vybrali. Dnes vás na tuto situaci zkusím připravit.
První otázkou, kterou byste si ohledně DPO měli zodpovědět, je, zda se vás povinnost jmenovat pověřence dotýká. Aby bylo jasněji, na otázku, zda právě vy potřebujete svého DPO, není jednoznačná odpověď. Ano i ne. Podívejme se proto podrobněji na tři klíčové situace, kdy byste pověřence ve firmě měli jmenovat:
Pověřencem se může stát vlastní zaměstnanec společnosti i externí spolupracovník. Jeho hlavním úkolem bude monitorování souladu zpracování osobních údajů s povinnostmi vyplývajícími z GDPR, bude také provádět interní audity, školit pracovníky a celkově bude mít pod patronátem agendu interní ochrany dat. Aby pověřenec dobře plnil úkoly, které z GDPR plynou, je třeba, aby měl určité znalosti a dovednosti. Protože nařízení je nové a profese DPO se teprve formuje, je nutné mít se na pozoru, koho do své firmy pouštíte.
Můžete si všimnout, že se vyrojili rádoby odborníci na GDPR, objevují se nejen IT specialisté, ale i různí školitelé a pomoc s nařízením začaly nabízet i některé právní firmy. Na vás bude nelehký úkol – vybrat si z nabídky ty nejlepší služby a toho nejlepšího DPO.
Tím, že si najmete svého pověřence, se nezbavujete odpovědnosti za dodržování GDPR a za správné zpracování a zabezpečení osobních údajů. K čemu a proč tedy DPO musíte najmout?
Chápejte svého pověřence jako odborníka, který ve vaší firmě nebo organizaci bude figurovat jako „inspektor ochrany osobních údajů“. DPO by měl být zapojen do agendy správy osobních údajů, měl by být informován o změnách a nastavení zabezpečení, měl by konzultovat a školit vaše zaměstnance, provádět audity, spolupracovat s dozorovými orgány a zejména sledovat, zda jsou veškeré postupy v souladu s GDPR a souvisejícími zákony.
Nechápejte DPO jako někoho, kdo vám bude pomáhat obcházet zákon, pokud by vás myšlenky vedly tímto směrem. Pověřenec bude ve vaší firmě přítomný proto, aby kontroloval dodržování nařízení. Aby DPO mohl správně vykonávat svoji funkci, musí zůstat nezávislý. Kooperuje totiž s různými stranami, nejen s vámi, ale také s dohledovými a kontrolními orgány. Pověřenec by se neměl ocitnout ve střetu zájmů. V praxi to znamená, že jím nemůže být personální, IT, finanční nebo marketingový ředitel.
Důležité je znovu podotknout, že zodpovědnost za implementaci GDPR leží na bedrech firmy nebo organizace. I když v jiných oblastech je outsourcing možností, jak se vyhnout rizikům, v případě DPO tomu tak nebude. Lidé, kterých by se porušení GDPR dotklo, se mohou soudit se zpracovateli nebo správci svých osobních údajů, ale nikoliv s pověřenci.
Je v zájmu firem a organizací, aby si vybraly kvalifikovaného pověřence. Ačkoliv na něho nemohou přenést zodpovědnost za dodržování GDPR, jeho práce bude rozhodovat o tom, zda budou plněny všechny náležitosti vyplývající z nařízení. Stejně jako při výběru jiných pracovníků na klíčové pozice se i při výběru DPO ptejte a zjistěte si maximum informací.
Tady je základní set otázek, na které byste se kandidátů na pozici pověřence měli zeptat:
I když váš favorit mezi kandidáty odpoví na všechny výše položené otázky uspokojivě, neznamená to, že máte po všech stránkách vyhráno. Spolupráci s vaším novým DPO je třeba správně nastavit, a to zejména v oblasti rolí, odměn a řešení krizových situací, například v případě, kdy se někdo nabourá do vašich systémů a dojde k úniku dat.
Nepodceňujte proto smlouvu, kterou s pověřencem uzavřete. Zatímco pro DPO budou klíčové ty části smlouvy, které minimalizují jejich právní odpovědnost, pro management firmy zase bude důležité definovat si postupy a náhrady škody v případech, kdy pověřenec způsobí škodu nebo nebude řádně plnit svoje povinnosti.
Pro majitele firem nebo ředitele organizací je nutné položit si následující otázky:
V kontraktu je také třeba objasnit, kde a jak se budou ukládat data a materiály, s nimiž bude váš nově najatý pověřenec pracovat. Sám DPO by se měl snažit minimalizovat ukládání osobních údajů vašich klientů nebo obchodních partnerů. Úložiště dat a práci s nimi byste si měli rozhodně specifikovat a nastavit dopředu.
S konkrétním výběrem vhodného kandidáta na pozici DPO vám můžeme pomoct, právě jsme spustili naši DPO seznamku a zájem o ni je skutečně veliký. Svého DPO hledá i Facebook, výslovně nepožaduje právníka nebo IT experta, ale kandidát musí splňovat alespoň desetiletou praxi v oboru ochrany dat. Řada uchazečů registrovaných v naší seznamce by tomuto požadavku vyhověla. A co vy, nechcete to také zkusit? Pokud si s výběrem správného DPO nevíte rady, můžete nás kontaktovat na office@gdpr.cz.
Jsem nezávislá právní konzultantka ochrany osobních dat a bezpečnosti IT. O obsah portálu GDPR.cz pečuji jako jeho zakladatelka a šéfredaktorka s podporou redakčního týmu. Máte-li pro nás zajímavý tip, sem s ním!