Menu

Musíte mít pověřence? A jak ho vybrat?

GDPR je za dveřmi a spolu s ním vstupuje do vaší firmy i pověřenec pro ochranu osobních údajů neboli DPO. Kdy a jak jej jmenovat? A kdo ponese odpovědnost za pokuty?

GDPR zavádí povinnost jmenovat pověřence pro ochranu osobních údajů. Jeho funkce je v českém právním prostředí nová a přináší s sebou různé nepřesné výklady a interpretace. Na pověřence se proto podíváme podrobněji.

Hlavním úkolem pověřence (Data Protection Officer) je monitorování souladu zpracování osobních údajů s povinnostmi vyplývajícími z GDPR. Na starosti má také celkové řízení agendy interní ochrany dat.

Jestli se vás povinnost jmenovat pověřence týká, budou vás zajímat možnosti, jak spolupráci navázat, i jak je to s odpovědností pověřence za případné pokuty.

Pověřenec z vlastních řad

Vydat se můžete dvěma směry: vybrat pověřence z firemních řad, nebo najmout externistu.

V prvním případě můžete pověřencem jmenovat svého zaměstnance, který ovšem nesmí být ve střetu zájmů, v němž by se mohl ocitnout například jednatel nebo tajemník. Můžete také rozšířit řady zaměstnanců o nového kolegu.

Nařízení GDPR hovoří pouze obecně o „pracovníkovi“. Se svým interním pověřencem proto můžete uzavřít pracovní poměr, vyloučena není ani dohoda o provedení práce nebo dohoda o pracovní činnosti.

Pověřencem může být jmenován i státní zaměstnanec podle zákona o státní službě, stát se jím může také úředník ve smyslu zákona o úřednících územních samosprávných celků. Podle této legislativy se úředníkem rozumí zaměstnanec územního samosprávného celku podílející se na výkonu správních činností, který je zařazený do:

  • obecního úřadu,
  • městského úřadu,
  • magistrátu statutárního města nebo do magistrátu územně členěného statutárního města,
  • úřadu městského obvodu nebo úřadu městské části územně členěného statutárního města,
  • krajského úřadu,
  • Magistrátu hlavního města Prahy nebo do úřadu městské části hlavního města Prahy.

Správními činnostmi se rozumí plnění úkolů v samostatné nebo přenesené působnosti územního samosprávného celku podle zvláštních právních předpisů. Výkon funkce pověřence lze podřadit pod výkon samostatné působnosti obce.

Pověřenec – externista

Pro účely výkonu funkce „externího“ pověřence odkazuje GDPR na možnost uzavření „smlouvy o poskytování služeb“. Protože funkce pověřence není výslovně svěřena fyzické osobě, může být z logiky věci pověřencem i právnická osoba.

Protože GDPR přesněji neupravuje náležitosti spolupráce, je potřeba čerpat z občanského zákoníku. Ten ale nezná „smlouvu o poskytování služeb“, proto by se smlouva s pověřencem mohla řídit ustanovením § 1746 odst. 2 jako smlouva nepojmenovaná.

Konkrétní smluvní typy podle občanského zákoníku se totiž pro výkon funkce pověřence nejeví jako vhodné.

Nejblíže by výkonu funkce pověřence mohla být příkazní smlouva. Ve smlouvách příkazního typu se ale předpokládá plnění příkazů příkazce (správce nebo zpracovatel) příkazníkem (pověřenec). Takové postavení smluvních stran ovšem nerespektuje požadavek GDPR na nezávislost pověřence. Dokonce by se jednalo o přímý rozpor s ustanovením čl. 38 odst. 3 Nařízení, podle něhož správce a zpracovatel zajistí, aby pověřenec nedostával žádné pokyny týkající se výkonu svěřených úkolů.

Jako vhodná se nejeví ani smlouva o dílo. Plnění díla se v určitý moment zahájí a po dokončení předává, zatímco výkon funkce pověřence má trvalý charakter. S ohledem na absenci jiného vhodného smluvního typu se zdá jako nejvhodnější přiklonit se k už zmíněnému nepojmenovanému smluvnímu typu.

Ententýky aneb výběr pověřence

Jak se rozhodnout? Obě řešení mají své přednosti.

Volba „externího“ pověřence je výhodná v tom, že nejste striktně svázaní zákoníkem práce nebo zákonem o úřednících (případně zákonem o státní službě). Můžete proto variabilněji pracovat s rozsahem vzájemných práv a povinností. Nesmíte však zapomenout na rozsah pověřencových povinností stanovených GDPR a na požadavek jeho elementární nezávislosti.

Další výhodou je pověřencova odpovědnost za případnou škodu. Běžně se můžete setkat s tvrzením, že pověřenec neodpovídá za pokuty. To je sice pravda, jenže…

GDPR říká, že pověřenec nesmí být v souvislosti s plněním svých úkolů propuštěn ani sankcionován. Přesto není podle našeho názoru vyloučena jeho odpovědnost za škodu způsobenou úhradou sankce uložené podle GDPR nebo jiného předpisu.

Náhrada škody není ze své podstaty sankcí, a přestože odpovědnost za soulad zpracování údajů s GDPR je na bedrech správce/zpracovatele, nese pověřenec svoji odpovědnost vůči správci/zpracovateli z titulu výkonu své funkce.

V případě prokázání příčinné souvislosti mezi jednáním či opomenutím pověřence a uložením sankce může být pověřenec odpovědný za:

  • porušení obecné prevenční povinnosti,
  • porušení právní povinnosti,
  • porušení zákonné povinnosti,
  • porušení smluvní povinnosti.

To vše podle občanského zákoníku a samozřejmě s přihlédnutím k rozsahu smluvního sjednání odpovědnosti.

Výhodou „externího“ pověřence může být odpovědnost za celou vzniklou škodu, zatímco u „interního“ správce nebo zpracovatele narazíte na zákonné limity odpovědnosti zaměstnance za škodu.

Důvěřuj, ale prověřuj

Doporučujeme důkladně zvážit, jakou formu spolupráce s pověřencem zvolíte. Interní pověřenec má své výhody s ohledem na znalosti poměrů v organizaci. Na druhou stranu musíte řešit zastupitelnost pro případy nemocenské nebo pracovní neschopnosti.

Externí pověřenec může vyjít levněji než zaměstnanec a může vám jako podnikatel garantovat stabilní dostupnost svých služeb. V neposlední řadě musíte důkladně prověřit pověřencovy schopnosti pro výkon funkce. Bez ohledu na formu spolupráce je to nejzásadnější kritérium.

Nabídek na výkon funkce pověřence je v současné dobře přehršel, a čím větší množství nabídek, tím složitější volba.

Podle čeho se při výběru pověřence řídit? Zjednodušeně by se dalo říct, že by vás měl přesvědčit nejen svými znalostmi GDPR a ochrany údajů obecně, ale rovněž schopností operativně a věcně reagovat na nastalé situace.

Autorem článku je Mgr. Jan Mandát, právník specializující se na ochranu osobních údajů.

Stále hledáte svého pověřence? S jeho výběrem vám můžeme rozhodně pomoci.

Publikováno 23. 5. 2018 v kategorii Aktuality, Články
Mgr. Eva Škorničková
Mgr. Eva Škorničková

Jsem nezávislá právní konzultantka ochrany osobních dat a bezpečnosti IT. O obsah portálu GDPR.cz pečuji jako jeho zakladatelka a šéfredaktorka s podporou redakčního týmu. Máte-li pro nás zajímavý tip, sem s ním!


Hlavní partneři