Evropský sbor pro ochranu osobních údajů (EDPB) vydal v lednu 2024 zprávu o závěrech koordinované kontrolní akce zaměřené na prověření, jak organizace zajišťují splnění podmínek pro postavení a fungování pověřence podle článků 37 - 39 GDPR.
Akce probíhala během celého roku 2023, přičemž některé aktivity pokračují i v roce 2024. Šetření ve svých členských státech provedly příslušné dozorové orgány, v České republice tedy Úřad pro ochranu osobních údajů.
Výsledná zpráva vzešla z celkem 17.490 odpovědí a reakcí na dotazy dozorových úřadů. Většinou odpovídaly organizace a jen ve 2.382 případech samotní pověřenci. Pro zajímavost, úřady původně obeslaly téměř 62 tisíc respondentů. Relativně nízká míra participace tak svým způsobem naznačuje, že ve vnímání GDPR jako bezprostřední hrozby došlo k určitému posunu a firmy již nemají problém požadavek dozorového úřadu vymlčet.
Co bylo cílem koordinovaných kontrol a jak to dopadlo?
Cílem bylo přispět k vyšší efektivitě a konzistentnějšímu vykonávání role pověřenců napříč EU. Proto také výsledná zpráva přehledně shrnuje hlavní výzvy a problémy, jimž pověřenci často čelí. Zpráva také obsahuje doporučení pro sjednání nápravy.
Samotná zpráva neobsahuje velká překvapení. Kdokoli, kdo se v oblasti ochrany osobních údajů pohybuje, by nejspíše vypíchl podobné hlavní body:
Zdroje přidělené pověřencům jsou v kontextu povinností a činností, které mají vykonávat, nedostatečné
Nedostatečná je expertíza pověřenců, mnoho pověřenců není odborně na výši
Často hrozí riziko střetu zájmů, protože organizace pozici pověřence často slučují s jinou nekompatibilní funkcí
Jsou výstupy koordinované kontroly věrohodné?
Nálezy zasahují prakticky do všech požadavků, které na roli pověřenců GDPR klade. Díky zvolené formě “sebevyšetření” však panuje obava, že zjištění zahrnutá ve výsledné zprávě obsahují určitou systematickou chybu. Dotazník sice vydal EDPB, ale jednotlivé dozorové úřady měly volnost v jeho implementaci.
Proč?
Některé úřady (např. rakouský, bavorský či švédský) zvolily kvalitativní metodu získávání informací a provedly formální vyšetřování u malého množství vybraných organizací. Naproti tomu např. belgický, chorvatský či slovinský úřad zvolily kvantitativní metodu. Úřady oslovily stovky až tisíce organizací, často přímo oslovily všechny pověřence, které evidují. Různé metody pochopitelně komplikují porovnatelnost výsledků.
Dalším faktorem je rozdíl mezi kvalitou výstupu od pověřence a od organizace jako takové. Zejména v případě větších organizací se silným právním oddělením panuje obava, že tyto mohou mít mizivý zájem na tom poukázat, resp. přiznat jakýkoliv nesoulad, respektive mají tendence poskytovat odpovědí takové, které nesoulad neukáží.
Na výsledky akce tak každopádně nelze pohlížet jako na výstup z řádného auditu provedeného nezávislou stranou a jde spíše o indikativní záležitost.
Skutečný stav je zřejmě ještě mnohem horší, než průzkum naznačil.
Hlavní problémy pověřenců pro ochranu osobních údajů
Hlavní problémy, které úřady při koordinované akci zjistily, lze shrnout do těchto 7 oblastí:
Nejmenování pověřence v situaci, kdy je to pro organizaci povinné
Nedostatečné zdroje pro pověřence
Nedostatečná odborná úroveň pověřenců v důsledku nedostatečného školení a vzdělávání
Úkoly, které má podle GDPR zajišťovat pověřenec, jsou vykonávány jinými rolemi (vč. nedostatečné zahrnutí DPO do rozhodování organizace)
Konflikty zájmů a nedostatečná nezávislost pověřenců
Chybějící přístup DPO k nejvyššímu vedení a absence reportingu nejvyššímu vedení
Nedostatečná podpora a jasnost pokynů a stanovisek ze strany dozorových orgánů
Kvalitních pověřenců je málo napříč EU
Průzkum zahrnoval všechny formy DPO přípustné dle GDPR, tedy jak interní a externí, tak i skupinové pověřence. Zde nutno podotknout, že i na pověřence jmenované dobrovolně (tedy bez přímé právní povinnosti dle čl. 37 GDPR) se vztahují povinnosti a práva dle článků 37 až 39 GDPR. Dobrovolnost jmenování pověřence tak není omluvou pro nevhodné nastavení jeho pozice v organizaci.
Evropský sbor přiznává, že díky zvolené metodice je nutné na výsledky pohlížet opatrně a nelze z nich vyvozovat kategorické závěry. Je tedy otázkou, proč nebyl raději zvolen jiný postup, shodný napříč EU, který by zajistil použitelné a skutečně kvalitní výsledky a umožnil přijetí vhodných nápravných opatření. Jistě, definice v článcích 37 - 39 GDPR jsou poměrně vágní, ale s ohledem na náklady, které jsou organizace nuceny vynakládat na implementaci GDPR, by bylo žádoucí dodat jasnější výklad pro vhodné nastavení pozic pověřenců. Ideálně ve SMART podobě, která umožní i neprávníkům opatření vhodně implementovat. Toto připouští i Sbor, kdy v posledním souhrrném nálezu konstatuje, že v oblasti výkladu a doporučení pro povinné osoby je nutné výrazně přidat.
Podle průzkumu je cca 70 % pověřenců v zaměstnaneckém poměru, tedy cca třetina pověřenců funguje na smluvní bázi. Na obrázku níže je vidět zastoupení oblastí, z nichž se poveřencii rekrutují. Nepřekvapivě vede právní oddělení, ale zajímavé a pozitivní je vidět, že jen necelých 9 % pověřenců je z IT nebo oddělení bezpečnosti.
Průzkum dále ukázal, že jen cca 13 % pověřenců má méně než 3 roky zkušeností v roli DPO nebo v dané oblasti podnikání. Přibližně polovina pověřenců má více než 5 let zkušeností. Nepřekvapivě bylo potvrzeno, že odborníci, a to navíc zkušení, na trhu nejsou. Ani organizace, které by chtěly angažovat dobrého pověřence a vytvořit mu vhodné podmínky, mnohdy vhodného kandidáta nenajdou a jsou nuceny roli obsadit méně vhodnými osobami.
Vzdělávání a udržování odborné úrovně pověřenců
GDPR správcům a zpracovatelům ukládá povinnost zajistit pro pověřence přístup ke vzdělávání a udržování odborné úrovně. Proto je zarážející, že znalost zákonů na ochranu osobních údajů byla jen v 75 % případů podmínkou pro jmenování konkrétního pověřence.
Jen zhruba čtvrtina organizací uvedla, že pověřenec využije více než 32 hodin školení ročně. Je zarážející, že ve většině případů to je méně než 24 hodin školení a vzdělávání, přičemž přibližně 4 % organizací dává svým pověřencům nula hodin.
Jaká je budoucnost pověřenců pro ochranu osobních údajů?
EU se u GDPR nezastavila a přidává další regulace, například DSA, DMA, AI Act, DORA a další. Řada z nich obsahuje aktivity ne zcela nepodobné těm, které zajišťuje GDPR pověřenec, případně rovnou na pověřence kladené. Je tedy nezbytné vyjasnit, kdy je "využití" pověřenců pro zajištění nových agend přípustné a kdy by vznikalo tření. Jenže výsledky průzkumu ukazují, že jsme v situaci, kdy pověřenec většinou nefunguje pořádně ani podle právního předpisu, který jeho roli vymezuje. Proto není vůbec jasné, jak by měl fungovat při zajišťování povinností podle více různých regulací. Ze zprávy EDPB nicméně jasně vyznívá, že role pověřence není omezena jen na GDPR.
V tomto kontextu je zajímavé zjištění, že zejména v případě externích pověřenců jsou jejich kapacity často tak natažené mezi mnoha klienty, že reálně nemohou dostatečně vhodně fungovat. To platí zejména v případě nenadálých událostí. Byť tedy mnohé organizace mají formálně jmenované pověřence, reálně hrozí, že tento nemusí být k okamžiku nečekaných problémů, kdy je jeho přínos nejvíce očekáván, k dispozici.
Dle Evropského sboru se kámen úrazu skrývá v nedostatečném financování a zajištění dostatku času pro vykonávání povinností DPO. To zahrnuje často velmi limitovanou zastupitelnost za nepřítomného pověřence.
Budoucnost? Certifikace a vzdělávání pověřenců!
Výsledná zpráva EDPB ke kontrolní akci k pozici pověřenců nepřináší (v pozitivním smyslu) žádná překvapení. Pověřenci často nedostávají od organizací potřebnou podporu a nejsou zahrnováni do strategického rozhodování. Jejich úkolem je spíše pomoci organizaci „nějak“ splnit regulaci, než pomoci při strategickém rozvoji organizace a předcházení problémům a zajištěním souladu při zpracování osobních údajů.
Jelikož mnozí pověřenci nedisponují dostatečným vzděláním a znalostmi, mnohdy si ani neuvědomují, že jsou za své aktivity odpovědní a v případě nekonání, či nesprávného vykonávání povinností pověřenců a způsobení škod, mohou být sankcionováni. Nevytváří tak dostatečný tlak na organizace, aby jejich pozice skutečně odpovídala požadavkům a smyslu GDPR. Naopak se často mohou nacházet v konfliktu zájmu, čímž organizaci vystavují riziku citelných pokut.
Zatím není jasné, jestli a jaké konkrétní kroky budou následovat. Lze předpokládat, že dojde k aktualizaci pokynů pro pověřence. Obávám se ale, že tyto pokyny i nadále nejspíše zůstanou v provedení „právničtina“ a nelze tak mít přehnaná očekávání, že by jasně a deteministicky „inženýrsky“ vykolíkovaly hřiště.
Určitou naději budí posun k většímu využívání certifikací a vzdělávacích programů pro pověřence. Ostatně vzdělávání pověřenců, osob pověřených na základě dalších regulací a vedoucích zaměstnanců je jistě správnou cestou nejen k zajištění souladu, ale také k tomu, aby organizace dokázaly právní povinnost přetavit do obchodní výhody.
Není asi na místě očekávání, že by dozorové úřady v dohledné době plánovaly něco jako zakleknutí na správce a zpracovatele osobních údajů. Stejné výtky týkající se nedostatečných zdrojů a pravomocí pověřenců lze vysledovat i u samotných dozorových úřadů. Jelikož již probíhá jiná koordinovaná akce pro rok 2024 zaměřená na výkon práva na přístup k osobním údajům, závěry z loňského dozorového šetření zřejmě velkou revoluci nepřinesou.