1.67
Základní povinnosti pověřence pro ochranu osobních údajů
Mgr. Ing. Zdeňka Kůsová
NahoruOdborná úroveň pověřence
Obecné nařízení v čl. 37 odst. 5 ve vztahu k otázce odbornosti pověřence definuje, že: "Pověřenec pro ochranu osobních údajů musí být jmenován na základě svých profesních kvalit, zejména na základě svých odborných znalostí práva a praxe v oblasti ochrany údajů a své schopnosti plnit úkoly stanovené v článku 39 GDPR.
GDPR pak nikde nespecifikuje minimální požadavky, které musí pověřenec splňovat, aby mohl vykonávat svoji funkci. Jeho znalosti a zkušenosti by však měly reflektovat charakter a rozsah jím vykonávané činností a vyžadované úrovně ochrany, která je nezbytná pro osobní údaje.
V této souvislosti je zapotřebí opětovně akcentovat na fakt, že je povinností správce či zpracovatele zajistit (tj. vč. osoby správce) dodržování všech povinností vyplývajících z GDPR. Pokud bude tedy zvolen nedostatečně odborně způsobilý pověřenec, bude toto bráno jako porušení povinností správce či zpracovatele.
Pro úplnost lze opětovně poukázat na stanovisko skupiny WP 29 k této problematice: "Nezbytné dovednosti a odborné znalosti zahrnují:
-
odborné znalosti v oblasti vnitrostátní a evropské praxe a právních předpisů na ochranu údajů, včetně důkladného chápání obecného nařízení o ochraně osobních údajů,
-
porozumění prováděným operacím zpracování,
-
porozumění informačním technologiím a zabezpečení osobních údajů,
-
znalost podnikatelského odvětví a organizace,
-
schopnost prosazovat v rámci organizace kulturu ochrany osobních údajů.
NahoruPrávní titul k výkonu činností pověřence
Pověřenec pro ochranu osobních údajů může být pracovníkem správce či zpracovatele, nebo může úkoly plnit na základě smlouvy o poskytování služeb.
V případě, že bude činnost pověřence vykonávána na základě smlouvy s externím subjektem, pak lze doporučit řádně prověřit, zda osoba pověřence splňuje veškeré příslušné požadavky definované v GDPR (tedy včetně toho, že není ve střetu zájmů).
NahoruZveřejnění a sdělení kontaktních údajů pověřence
Dle čl. 37 odst. 7 GDPR je správce nebo zpracovatel povinen zveřejnit kontaktní údaje pověřence pro ochranu osobních údajů a sdělit je dozorovému úřadu. Dozorovým úřadem je v České republice Úřad pro ochranu osobních údajů.
V návaznosti na výše uvedené je zapotřebí podotknout, že shora citované ustanovení GDPR nezakládá povinnost sdělovat jméno a příjmení pověřence (byť je to všeobecně doporučováno), nýbrž pouze jeho kontaktní údaje (zpravidla telefonní číslo).
NahoruPostavení pověřence pro ochranu osobních údajů
Ustanovení čl. 38 GDPR kodifikuje základní povinnosti pověřence takto:
1. Správce a zpracovatel zajistí, aby byl pověřenec pro ochranu osobních údajů náležitě a včas zapojen do veškerých záležitostí souvisejících s ochranou osobních údajů.
2. Správce a zpracovatel podporují pověřence pro ochranu osobních údajů při plnění úkolů uvedených v článku 39 tím, že mu poskytují zdroje nezbytné k plnění těchto úkolů, k přístupu k osobním údajům a operacím zpracování a k udržování jeho odborných znalostí.
3. Správce a zpracovatel zajistí, aby pověřenec pro ochranu osobních údajů nedostával žádné pokyny týkající se výkonu těchto úkolů. V souvislosti s plněním svých úkolů není správcem nebo zpracovatelem propuštěn ani sankcionován. Pověřenec pro ochranu osobních údajů je přímo podřízen vrcholovým řídícím pracovníkům správce nebo zpracovatele.
4. Subjekty údajů se mohou obracet na pověřence pro ochranu osobních údajů ve všech záležitostech souvisejících se zpracováním jejich osobních údajů a výkonem jejich práv podle tohoto nařízení.
5. Pověřenec pro ochranu osobních údajů je v souvislosti s výkonem svých úkolů vázán tajemstvím nebo důvěrností, v souladu s právem Unie nebo členského státu.
6. Pověřenec pro ochranu osobních údajů může plnit i jiné úkoly a povinnosti. Správce nebo zpracovatel zajistí, aby žádné z těchto úkolů a povinností nevedly ke střetu zájmů.
S ohledem na důležitost jednotlivých povinností pro pověřence, subjekty údajů, jakož i správce či zpracovatele, přinášíme níže výklad těch ze shora citovaných ustanovení GDPR, jejichž interpretace by mohla přinést nesrovnalosti při jejich aplikaci do praxe:
1. Zapojení pověřence pro ochranu osobních údajů do veškerých záležitostí souvisejících s ochranou osobních údajů
Tato povinnost byla do GDPR inkorporována s ohledem na zajištění úplné informovanosti pověřence po celou dobu zpracovávání osobních údajů. Pouze takto je možné zajistit řádné plnění povinností týkajících se nakládání s osobními údaji dle GDPR.
Pracovní skupina WP 29 v této souvislosti zveřejnila tato doporučení pro organizace využívající služeb pověřence: "Proto by organizace měla…