DPO čili Pověřenec pro ochranu osobních údajů

Důležitým pilířem prokazování souladu s GDPR je jmenování tzv. pověřence pro ochranu osobních údajů neboli DPO (anglicky Data Protection Officer).

Hlavním úkolem DPO bude monitorování souladu zpracování osobních údajů s povinnostmi vyplývajícími z nařízení, provádění interních auditů, školení pracovníků a celkové řízení agendy interní ochrany dat.

Povinnost pověřence jmenovat nastává ve třech případech, pokud:

1. zpracování provádí orgán veřejné moci či veřejný subjekt (s výjimkou soudů),
2. hlavní činnosti správce nebo zpracovatele spočívají v operacích zpracování, které vyžadují rozsáhlé pravidelné a systematické monitorování občanů,
3. hlavní činnosti správce nebo zpracovatele spočívají v rozsáhlém zpracování zvláštních kategorií údajů nebo osobních údajů týkajících se rozsudků v trestních věcech a trestných činů.

Ve všech třech případech by měla být správci nebo zpracovateli nápomocna osoba s odbornými znalostmi v oblasti právních předpisů a postupů týkajících se ochrany údajů. Tito pověřenci, bez ohledu na to, zda se jedná o zaměstnance správce, nebo externě poskytovanou službu, by měli být schopni plnit své povinnosti a úkoly nezávislým způsobem. Některé organizace mohou dospět k závěru, že dobrovolné jmenování pověřence může být užitečné, což budou dozorové orgány podporovat.

Úkol ve veřejném zájmu a výkon veřejné moci může být plněn nejenom státním orgánem, ale také jinými fyzickými nebo právnickými osobami, kterým je tato pravomoc svěřena na základě národních předpisů. Může jít například o oblast veřejné dopravy, zásobování vodou a energiemi, silniční infrastrukturu nebo veřejnoprávní vysílání.

Podle nařízení může být jediný pověřenec jmenován i pro několik státních orgánů, institucí či firem, které mají podobnou organizační strukturu. V odpovědnosti pověřence jsou rozmanité úkoly, proto musí správce zajistit, aby je jediný pověřenec zvládl plnit efektivně i přesto, že má odpovědnost za několik orgánů veřejné moci nebo veřejných subjektů. Osobní dostupnost pověřence (fyzická ve stejných prostorách jako zaměstnanci, po horké lince nebo jiným zabezpečeným komunikačním prostředkem) je nezbytná, aby měl občan jistotu, že ho dokáže kontaktovat. Pověřenec je při výkonu svých úkolů vázán tajemstvím nebo důvěrností v souladu s právem Unie nebo členských států.

Příklady rozsáhlého zpracování osobních údajů:

• zpracování údajů o pacientech v rámci běžné činnosti nemocnice
• zpracování cestovních dat jednotlivců používajících městskou hromadnou dopravu (např. sledování prostřednictvím čipové průkazky)
• zpracování údajů o aktuální zeměpisné poloze zákazníků
• zpracování zákaznických dat v rámci běžné obchodní činnosti pojišťovny nebo banky
• zpracování osobních údajů vyhledávačem pro potřeby behaviorální reklamy
• zpracování obsahových, provozních či lokalizačních dat poskytovatelem telefonních a internetových služeb

Příklady zpracování, která nejsou rozsáhlá:

• zpracování údajů o pacientech jednotlivým lékařem
• zpracování osobních údajů týkající se rozsudků v trestních věcech a trestných činů jednotlivým právníkem

Pravidelné a systematické monitorování jasně zahrnuje všechny formy sledování a profilování na internetu, i pro účely behaviorální reklamy. Uveďme opět pár příkladů:

• provozování telekomunikační sítě nebo telekomunikačních služeb
• cílení internetové reklamy pomocí e-mailu
• profilování a bodování (skórování) pro účely posouzení rizik (např. pro účely hodnocení úvěrového rizika, stanovení výše pojistného, předcházení podvodům, odhalování praní peněz)
• sledování polohy, například u mobilních aplikací
• věrnostní programy
• behaviorální reklama; sledování zdravého životního stylu, tělesné kondice a zdravotních dat pomocí na těle nositelných zařízení
• kamerové systémy

Pověřenci nenesou osobní odpovědnost za nedodržování GDPR. Nařízení jasně stanoví, že jsou to správci nebo zpracovatelé, kteří musí zajistit a být schopni doložit, že zpracování je prováděno v souladu s GDPR. Právní soulad v oblasti ochrany dat je odpovědností správce nebo zpracovatele.

Ačkoliv nařízení výslovně neupřesňuje, jaké profesní kvality by při jmenování pověřence měly být zváženy, podstatné by měly být vědomosti z oblasti národní a evropské legislativy a praxe v oboru ochrany osobních údajů a důkladná znalost GDPR. Užitečná je znalost oboru podnikání a chodu organizace, která je správcem. Pověřenec by také měl mít dostatečnou znalost prováděných operací zpracování, stejně jako informačních systémů a technického zabezpečení dat.

Nepřítomnost konfliktu zájmů úzce souvisí s požadavkem nezávislého jednání. Byť pověřenci smějí mít i jiné funkce, mohou jim být svěřeny pouze úkoly a povinnosti, které nezakládají střet zájmů. Především z toho plyne, že pověřenec v organizaci nemůže zastávat pracovní místo, na kterém by stanovoval účely a prostředky zpracování osobních údajů. Typickým příkladem pozic, u nichž by výkon funkce DPO mohl představovat konflikt zájmů, jsou ředitelé IT či personálních oddělení, ale též marketingový nebo obchodní ředitel, který v rámci výkonu svých pravomocí může určovat pravidla zacházení s osobními údaji zákazníků nebo klientů.

Funkci pověřence je možné vykonávat na základě smlouvy o poskytování služeb uzavřené mezi jednotlivcem nebo externí organizací (jinou než organizace správce nebo zpracovatele). V posledně jmenovaném případě je důležité, aby každý pracovník organizace vykonávající funkci DPO splňoval všechny příslušné požadavky GDPR, a tedy např. nebyl ve střetu zájmů.

Stejně tak je důležité, aby každý takový pracovník byl chráněn ustanoveními GDPR. Například smlouva o poskytování služeb nemá být nespravedlivě vypovězena v důsledku činnosti pověřence a také žádný pracovník organizace provádějící úkoly pověřence nemá být nespravedlivě propuštěn. Je také možné kombinovat individuální schopnosti a silné stránky, takže více spolupracovníků v týmu může účinněji poskytovat služby svým klientům.

Zde je český překlad oficiálních Pokynů k funkci pověřence pro ochranu osobních údajů: