Hledáte pověřence pro ochranu osobních údajů? Můžeme vám pomoci

GDPR zavádí povinnost jmenovat pověřence pro ochranu osobních údajů. DPO (Data Protection Officer) bude dohlížet na řádné zacházení s osobními údaji, hlásit případné úniky dat nebo porušení zákona. Jmenování pověřence je důležitým pilířem prokazování souladu s GDPR. Tím, že podnikatelé svého DPO jmenují, se ale nezbavují odpovědnosti za případné porušení nařízení, které zpřísňuje ochranu osobních údajů.

Na jedné straně budete vy, coby manažer, nebo majitel firmy, který toho o GDPR zase tolik neví, protože se musí soustředit hlavně na své podnikání. Na druhé straně bude odborník, který se staví do role profesionála v oblasti ochrany osobních údajů. A v nejlepším možném případě také skutečným odborníkem bude. Před vámi ale stojí nelehký úkol, abyste si svého pověřence dobře vybrali. Dnes vás na tuto situaci zkusím připravit.

Musíte jmenovat svého DPO?

První otázkou, kterou byste si ohledně DPO měli zodpovědět, je, zda se vás povinnost jmenovat pověřence dotýká. Aby bylo jasněji, na otázku, zda právě vy potřebujete svého DPO, není jednoznačná odpověď. Ano i ne. Podívejme se proto podrobněji na tři klíčové situace, kdy byste pověřence ve firmě měli jmenovat:

• Zpracování dat provádí veřejný subjekt. Příkladem jsou obecní nebo městské úřady a další veřejné instituce, například knihovny, nemocnice nebo školy. Všechny tyto instituce budou muset povinně jmenovat svého DPO.  
• Hlavní činnosti subjektu vyžadují pravidelné a systematické sledování osobních údajů ve velkém měřítku. Zde je hned několik pojmů, které lze vykládat různě, například termíny „hlavní činnost“, „pravidelně“ nebo „systematicky“. Do této kategorie budou rozhodně spadat společnosti, u nichž představuje zpracování osobních údajů klientů drtivou většinu každodenní činnosti, například poskytují zabezpečovací nebo monitorovací služby. Dalším příkladem jsou zdravotní pojišťovny, které také pracují, systematicky a pravidelně, s osobními údaji. Z dalších společností to budou například firmy věnující se marketingu a sociálním sítím nebo společnosti prodávající různé aplikace, protože i ty systematicky a pravidelně monitorují internetová data.
• Hlavní činnosti zahrnují rozsáhlé zpracování citlivých osobních údajů. Zde také narážíme na několik pojmů, kterým je třeba porozumět, například „hlavní činnost“ nebo „rozsáhlé“. Pojem „rozsáhlé“ ovšem není v nařízení GDPR definovaný, takže autority výklad ponechávají na firmách a organizacích. Do definice budou spadat společnosti, které pracují s velkým množstvím dat a/nebo působí na velkém teritoriu (nadnárodní koncerny). Půjde například o nemocnice, městské dopravní systémy, pojišťovny, banky, poskytovatele internetových nebo telekomunikačních služeb, marketingové společnosti, jež analyzují spotřebitelské chování.

Odpovědnost na DPO nepřenesete

Pověřencem se může stát vlastní zaměstnanec společnosti i externí spolupracovník. Jeho hlavním úkolem bude monitorování souladu zpracování osobních údajů s povinnostmi vyplývajícími z GDPR, bude také provádět interní audity, školit pracovníky a celkově bude mít pod patronátem agendu interní ochrany dat. Aby pověřenec dobře plnil úkoly, které z GDPR plynou, je třeba, aby měl určité znalosti a dovednosti. Protože nařízení je nové a profese DPO se teprve formuje, je nutné mít se na pozoru, koho do své firmy pouštíte.

Můžete si všimnout, že se vyrojili rádoby odborníci na GDPR, objevují se nejen IT specialisté, ale i různí školitelé a pomoc s nařízením začaly nabízet i některé právní firmy. Na vás bude nelehký úkol – vybrat si z nabídky ty nejlepší služby a toho nejlepšího DPO. 

Tím, že si najmete svého pověřence, se nezbavujete odpovědnosti za dodržování GDPR a za správné zpracování a zabezpečení osobních údajů. K čemu a proč tedy DPO musíte najmout?

Chápejte svého pověřence jako odborníka, který ve vaší firmě nebo organizaci bude figurovat jako „inspektor ochrany osobních údajů“. DPO by měl být zapojen do agendy správy osobních údajů, měl by být informován o změnách a nastavení zabezpečení, měl by konzultovat a školit vaše zaměstnance, provádět audity, spolupracovat s dozorovými orgány a zejména sledovat, zda jsou veškeré postupy v souladu s GDPR a souvisejícími zákony.

Nechápejte DPO jako někoho, kdo vám bude pomáhat obcházet zákon, pokud by vás myšlenky vedly tímto směrem. Pověřenec bude ve vaší firmě přítomný proto, aby kontroloval dodržování nařízení. Aby DPO mohl správně vykonávat svoji funkci, musí zůstat nezávislý. Kooperuje totiž s různými stranami, nejen s vámi, ale také s dohledovými a kontrolními orgány. Pověřenec by se neměl ocitnout ve střetu zájmů. V praxi to znamená, že jím nemůže být personální, IT, finanční nebo marketingový ředitel.

Důležité je znovu podotknout, že zodpovědnost za implementaci GDPR leží na bedrech firmy nebo organizace. I když v jiných oblastech je outsourcing možností, jak se vyhnout rizikům, v případě DPO tomu tak nebude. Lidé, kterých by se porušení GDPR dotklo, se mohou soudit se zpracovateli nebo správci svých osobních údajů, ale nikoliv s pověřenci.

Sada otázek pro výběr DPO

Je v zájmu firem a organizací, aby si vybraly kvalifikovaného pověřence. Ačkoliv na něho nemohou přenést zodpovědnost za dodržování GDPR, jeho práce bude rozhodovat o tom, zda budou plněny všechny náležitosti vyplývající z nařízení. Stejně jako při výběru jiných pracovníků na klíčové pozice se i při výběru DPO ptejte a zjistěte si maximum informací.

Tady je základní set otázek, na které byste se kandidátů na pozici pověřence měli zeptat:

• Jak dlouho už působíte v oboru ochrany dat, informační bezpečnosti a práva na ochranu soukromí?
• Kolik let se věnujete některým z klíčových oborů, jako jsou audity, IT, data management nebo risk management?
• Kolik interních směrnic nebo oznámení o ochraně osobních údajů jste za svoji kariéru vytvořil/a?
• Jste členem/členkou některých oborových asociací?
• Jakou metodu hodnocení rizik byste využil/a jako DPO a proč?
• Jaké typy posouzení vlivu na ochranu osobních údajů (DPIA), jaké druhy ochrany soukromí a jaké informační bezpečnostní standardy využíváte?
• Jaké typy organizací nebo projektů jste vedl/a?
• V jakých zemích jste působil/a?
• Jste občanem/občankou některého ze států Evropské unie?
• Vzděláváte se v oblasti technologií a práva? Sledujete trendy a novinky v těchto oblastech?
• Jak si udržíte svoji nezávislost, i když budeme úzce spolupracovat?
• Můžete se dostat do potenciálního konfliktu zájmů, když se ujmete role DPO v naší společnosti?
• Jste schopen/schopna poskytovat právní poradenství v oblasti ochrany údajů? Jaký je rozsah těchto rad? Kde, jak nebo u koho si rozšíříte své vlastní limity?
• Máte nějaké zkušenosti a etické povinnosti, které musíte zachovat v tajnosti?
• Vyučoval/a jste někdy? Jaké předměty? V jakých oblastech jste považován/a za experta/expertku?
• Jaké vztahy máte s kontrolními orgány, které budou dohlížet na dodržování GDPR?
• Je vám blízký obor našeho podnikání, technologie a procesy, které používáme?
• Jak vyřešíte svoji potenciální právní odpovědnost související s pozicí DPO?
• Jakým způsobem a jak často budete informovat vedoucí management o své činnosti?
• Jaký typ zdrojů nebo informací budete potřebovat k výkonu role pověřence?
• Pokud se dohodneme na pravidelném poskytování vaší služby, jak budete k dispozici v akutních případech, například při nabourání do systémů třetí stranou nebo při úniku dat?
• Jaké první tři věci byste v roli DPO v naší společnosti udělal/a?

Kontrakt a podmínky spolupráce

I když váš favorit mezi kandidáty odpoví na všechny výše položené otázky uspokojivě, neznamená to, že máte po všech stránkách vyhráno. Spolupráci s vaším novým DPO je třeba správně nastavit, a to zejména v oblasti rolí, odměn a řešení krizových situací, například v případě, kdy se někdo nabourá do vašich systémů a dojde k úniku dat.

Nepodceňujte proto smlouvu, kterou s pověřencem uzavřete. Zatímco pro DPO budou klíčové ty části smlouvy, které minimalizují jejich právní odpovědnost, pro management firmy zase bude důležité definovat si postupy a náhrady škody v případech, kdy pověřenec způsobí škodu nebo nebude řádně plnit svoje povinnosti.

Pro majitele firem nebo ředitele organizací je nutné položit si následující otázky:

• Co se stane, když DPO nebude plnit své povinnosti?
• Co když způsobí škodu z nedbalosti?
• Co když se ukáže, že je ve střetu zájmů?
• Co se stane, pokud poskytne radu, která je nepřesná nebo není nezávislá?

V kontraktu je také třeba objasnit, kde a jak se budou ukládat data a materiály, s nimiž bude váš nově najatý pověřenec pracovat. Sám DPO by se měl snažit minimalizovat ukládání osobních údajů vašich klientů nebo obchodních partnerů. Úložiště dat a práci s nimi byste si měli rozhodně specifikovat a nastavit dopředu.

S konkrétním výběrem vhodného kandidáta na pozici DPO vám můžeme pomoct, právě jsme spustili naši DPO seznamku a zájem o ni je skutečně veliký. Svého DPO hledá i Facebook, výslovně nepožaduje právníka nebo IT experta, ale kandidát musí splňovat alespoň desetiletou praxi v oboru ochrany dat. Řada uchazečů registrovaných v naší seznamce by tomuto požadavku vyhověla. A co vy, nechcete to také zkusit? Pokud si s výběrem správného DPO nevíte rady, můžete nás kontaktovat na office@gdpr.cz.